멀티 클라우드는 보안이라는 측면에서는 추천하기 힘든 유형의 IT 인프라다. 하지만 이미 널리 자리를 잡아가고 있어 되돌리기는 힘들어 보인다. 그렇다고 보안을 포기할 수는 없는데, 어떻게 해야 할까?

[보안뉴스 문가용 기자] 최근 베나피(Venafi)에서 발표한 보고서에 의하면 80%의 기업들이 지난 한 해 동안 클라우드와 관련된 보안 사고를 최소 한 번 이상 겪었다고 한다. 주로 API와 관련된 사고, 크리덴셜 탈취와 관련된 사고, 피싱 공격에 의한 사고가 많은 것으로 분석됐다. 80%라니, 솔직히 말해 현재 클라우드 생태계에서의 보안은(아마 클라우드만 그런 건 아니겠지만) 도무지 이길 수 없는 전쟁을 수행하는 것과 같아 보일 정도다.


그도 그럴 것이 우리가 각종 애플리케이션을 만드는 데 즐겨 사용하는 코드들 중 80%에 보안 위협 요소들이 섞여 있기 때문이다. 이런 상황이니 온프레미스나 클라우드나 어디인들 안전할 수 있을까. 아니, 안전이라는 단어를 입에 담는 것조차 민망할 지경이다. 기적이 일어나 누군가 모든 보안 문제를 해결해줬으면 얼마나 좋을까 상상할 때가 한두 번이 아니다. 하지만 그 기적은 절대로 일어날 수 없다. 보안 문제라는 것 자체가 너무나 복잡한 것이고, 한 번에 처리할 방법 자체가 존재하지 않기 때문이다.

클라우드라는 환경에서 이 ‘복잡함’이란 것은 무엇일까? 이는 클라우드 보안 자체를 어렵게 만드는 것이기도 한데, ‘클라우드 기반 서비스와 솔루션의 비일관성’이라고 표현할 수 있다. 같은 클라우드 서비스를 이용하는 업체라고 해도 저마다 보안 정책을 다르게 설정하고 적용하니 클라우드 환경을 만들고 운영하는 업체가 자사 클라우드 환경을 일관적으로 보호한다는 것 자체가 불가능하다. 게다가 클라우드 서비스의 종류는 또 얼마나 많은가?

심지어 지난 4~5년 동안 IT 업계는 현 시점에서 가장 안전하고 안정적인 클라우드 환경은 ‘멀티 클라우드’라고 알려 왔다. 다양한 서비스를 다양한 이유와 방법으로 이용하니 일관성이란 것은 더 찾아보기 힘들게 됐고, 그러니 클라우드 보안을 기획한다는 것 자체가 불가능하게 됐다. 

멀티 클라우드는 태생적으로 복잡하고 어려울 수밖에 없는 구조를 가지고 있다. 특히 여러 회사의 클라우드 서비스를 다채롭게 이용한다면 더 복잡해질 수밖에 없다. 물론 각 회사마다 어느 정도의 기본 보안 도구들을 제공하고 있긴 하다. 하지만 그것은 보편 타당한 ‘기본 중 기본’의 보호막일 뿐 클라우드 사용 조직들의 개별적인 필요를 반영하지 못한다. 클라우드 서비스 제공 업체가 자체적으로 도입한 클라우드 보안 도구를 가지고 온전히 사용자 기업들을 보호하는 사례는 아직 없고, 앞으로도 있을 수 있을까 의심된다.

클라우드 서비스 업체에 맞춤형 보안 도구를 요구할 수 있을까? 경우에 따라 가능할 수도 있지만, 그건 마치 세계 일주를 하려는 사람에게 ‘가는 곳마다 그 지역의 언어를 배우라’고 요구하는 것과 같다. 요구는 할 수 있다. 하지만 가능할까? 프랑스에 가려면 프랑스어를 배워야 하고, 한국에 가려면 한국어를 배워야 하며, 소말리아에 가려면 소말리아어를 배워야 한다면(그것도 네이티브 수준으로), 그게 실제로 구현될 수 있을까? 그렇게 배운 언어가 괜찮은 수준일까? 

다시 말하지만 클라우드 서비스 업체에 각 고객사에 맞는 보안 아키텍처를 구성해달라고 요구하는 건 세상의 수많은 언어를 학습하라는 것과 다름이 없다. 각 회사의 정책을 매번 새롭게 배워서 보안 도구로 재해석해 풀어내야 하니 말이다. 

이렇듯 현실적으로 클라우드 서비스 업체에 보안을 기대할 수 없는 상황에서 멀티 클라우드 체제를 도입하면 어떻게 될까? 이번엔 반대로 사용자 기업에서 모든 클라우드 서비스를 완벽히 학습해 이해해야 한다. 클라우드 업체마다 다른 서비스를 다른 인터페이스로 제공하며 다른 특장점을 가지고 있으며, 서로 다른 취약점을 가지고 있는데 말이다. 클라우드 서비스는 각 회사들이 아무런 표준이나 규정 없이 맨 땅에서부터 개발하기 시작했기 때문에 정말 많이 다를 수밖에 없다. 지금 이 시장의 큰 이름들은 거의 전부 개척자들이었던 것이다. 물론 클라우드 서비스의 표준이라는 건 지금도 존재하지 않는다.

멀티 클라우드를 권하는 전문가들의 조언이 틀리다고 말하는 건 아니다. 하지만 멀티 클라우드 체제를 확립하고 보안까지 잘 할 수 있는 사용자 기업이 그렇게 많지 않은 게 현실이라고 필자는 생각한다. 아직 이 업계에는 기본 바탕이 될 만한 표준이라는 게 하나도 없기 때문이다. 심지어 클라우드 보안이라는 말 자체의 정의 역시 사람마다 다 다르지 않은가. 

하지만 멀티 클라우드가 이미 대세가 되어버린 상황이다. ‘멀티 클라우드가 보안에 좋지 않다’ 결론은 크게 도움이 되지 않는다. 하지 말라고 말린들 누가 듣겠나. 필자는 ‘서비스형 보안(Security as a Service)’이 현 상황에서 가장 적절한 해결책이라고 생각한다. 클라우드 서비스의 기본 보안 도구에 대한 의존도를 낮추고 서드파티 보안 도구를 이용해 에지에서부터 보안을 강화함으로써 어떤 클라우드 서비스를 이용하든 모든 애플리케이션들에 동일한(즉 거의 표준화 된) 보안 정책을 적용하는 것을 말한다. 이미 많은 기업들이 이 ‘서비스형 보안’이라는 것에 눈을 돌리고 있기도 하다.

이런 식으로 접근했을 때 멀티 클라우드 환경 내 모든 애플리케이션에 동일한 보안 정책을 적용할 수 있게 된다. 그리고 이것이 멀티 클라우드의 근원적인 약점인 ‘비일관성 문제’를 어느 정도 상쇄시킨다. 멀티 클라우드의 복잡함은 사라지지 않을 문제다. 거기서부터 나오는 비일관성이라는 치명적인 단점도 마찬가지다. 다만 그런 사라지지 않을 특성들이 보안에 영향을 덜 미치게 할 수는 있다. 이런 관점에서 더 많은 전략이나 방법론들이 등장할 것을 기대한다.

글 : 로리 맥비티(Lori MacVittie), Tech Evangelist, F5 Networks
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>