클라우드를 통한 보안 강국의 시대가 오고있다.

우리 학교 전공과목 중 처음으로 보안에 대한 실습을 진행하는 웹 보안이라는 과목이 있다. 비프스위트, SQL Lite와 같은 해킹실습 툴을 이용해서 웹 사이트를 분석하거나 SQL Injection과 같은 실습을 해보는 과목이다.   마지막 학년이 되어서 학점에 크게 연연하지 않고 학교도 나가고싶을 때 나가고 공부도 하고싶은 것만 하기로 마음 먹었고 실제로 그렇게 하고 있다 ㅎㅎ.; 나는 과거에 꿈이 정보보안전문가였는데, 졸업 후 2년간 C언어로 시스템 개발자를 하다가 보안관제로 이직한 뒤 모의해커가 되겠다는 계획을 갖고 있었다. 그래서 IT BANK라는 학원도 다녀보고 학교에서 하게 되는 프로젝트도 열심히 했었는데 프로젝트로 개발을 하다보니 보안보다는 개발쪽이 나의 흥미에 더 적합하다는 생각을 하게 되었다. 결국 스프링 프레임워크를 독학해서 포트폴리오를 위해 웹사이트를 개발한 뒤 웹 서버단 개발자로 취업하려고 준비를 하고 있었는데, 그 와중에 또 모바일 개발이 더 하고싶어져 결국 최종적으로 모바일 개발자가 되기로 마음먹었다.   여튼 내 인생 소개는 그만하고.... 중간고사 기간이 다가오자 웹보안 교수님이 중간고사를 보지 않는 대신 웹보안과 관련된 하나의 주제를 정해서 그것에 대한 레포트를 작성하라고 하셨다. 이 글은 그렇게 해서 인터넷 여기저기를 뒤져서 자료를 종합하고 나의 생각을 덧붙인 글이다. 자필로 적었는데 난 문서화 시키는 것을 좋아해서 블로그에 글도 적을겸 문서화 하기 위해 이 글을 쓴다. 어쩌면 교수님이 내가 쓴 글을 보고 인터넷에서 그대로 배낀 글인지 확인하기 위해 검색하시다가 이 블로그를 발견하실지도 모르겠다...   주제 : 클라우드, 보안의 시대 클라우드(Cloud)라는 개념이 최초로 등장했을 때 대다수의 IT 종사자들은 '그게 뭔데?' 라는 반응을 보였다. 그 이유는 클라우드의 개념이 뭐야? 라는 생각보다는 실제로 클라우드가 적용된 세상, IT의 핵심 인프라로 클라우드가 자리 잡는 세상이 오지 않을 거라는 추측을 내포한 함축적인 반응이다. 그런데 이러한 반응이 잘못 되었다는 것을 증명하기라도 하는 듯 현재 빅데이터, IoT, AI 뿐이 아닌 여러 기업들의 서버 등 모든 분야에서 클라우드를 사용하며 자신의 가치를 보여주고있다. 이러한 흐름에 뒤쳐지지 않으려 많은 사업가들이 자사의 경쟁력 강화를 위하여 클라우드의 도입을 고민하고 있는 추세이다. 막상 '클라우드를 도입하겠다'라는 중대한 결정을 내리고 시장을 파악하다보면 부딪히게 되는 난관이 한 두가지가 아니다. 보안장비를 사내에 들여와서 보안 강화를 하는 On-Premise(온프레미스)방식의 대체 인프라로 사용할 것인가, 아니면 온프레미스를 보완하는 보안 인프라로 사용할 것인가와 같은 클라우드 도입의 근본적인 고민부터 가장 중요한 비용의 효율성 문제, 클라우드 자체의 '보안'을 믿을 수 있는가에 대한 고민까지, 즉 클라우드 도입에서 보안이 가장 핵심요소라고 볼 수 있는 것이다   네트워크 보안이 잘 갖추어지지 않은 A 회사가 있다고 가정해 보자. 직원 한명이 회사 내부에서 업무용으로 사용하던 자신의 노트북을 출장 업무로 인해 외부 건물에서 사용하고 있다. 그러던 중 malware(멀웨어)에 감염이 되었다. 멀웨어는 악성코드 중 하나로 PC를 손상시킬 목적으로 만들어진 소프트웨어이다. 사용자 PC의 중요한 정보를 훔치거나, 컴퓨터를 느리게 만들거나, 사용자 모르게 사용자의 이메일 계정으로 다른 계정에게 가짜 이메일을 보낼 수 있는 이 멀웨어는 웜, 스파이웨어, 애드웨어, 트로이목마 등 우리가 흔히 접할 수 있는 악성코드가 속한다. 그런데 이 직원은 자신의 노트북이 멀웨어에 감염된지 전혀 모르는 상태이다. 이러한 상황에서 이 직원이 출장 업무를 끝내고 다음 날 자신의 노트북을 다시 A 회사로 돌아와 자신의 업무를 하기 위해 A회사의 네트워크에 접속한다고 하면 무슨 사태가 벌어질까? 당연히 이 멀웨어가 A 회사의 네트워크에 침투해 사내 정보 유출은 물론 심각한 보안 문제의 잠재적 위협으로 존재하게 될 것이다. 최근 시스코가 이러한 상황의 예비책으로 웹보안을 위한 CWS(Colud Web Security), 이메일 보안을 위한 CES(Cloud Email Security), 단말기 APT(Advanced Persistent Threat)보안을 위한 AMP(endpoint Advanced Malware Protection) 그리고 DNS(Domain Name Service)를 보안으로 활용하기 위한 OepnDNS와 같은 여러 솔루션들을 선보였다.   CWS 서비스는 앞서 언급한 경우의 예방을 위해서 재택 근무자들에게는 사내 네트워크에 접속하지 못하게 하여 서비스를 제공할 수 없는 공백이 발생하는 단점을 보완하기 위해 URL과 컨텐츠를 필터링하는 WSA(Web Security Appliance) 솔루션을 클라우드에 접목시켜 사용자의 장소와 무관하게 일관되고 안정된 서비스를 제공한다. 사내 네트워크는 물론 사용자들이 많은 곳에 흩어져 있는 경우에도 중앙 관리의 편의성을 위해 CWS를 사용할 수 있으며 고객들은 장비의 운영이나 백업 등의 걱정에서 벗어날 수 있다. CES 서비스는 이메일 서버 앞단에서 모든 이메일을 필터링하는 ESA(Email Security Appliance) 솔루션을 클라우드에 접목시킨 서비스다.  스팸을 통한 업무시간 낭비를 줄이고 미엘이 내장되어 있는 위협에 대한 보안을 제공한다. endpoint AMP 서비스는 단말기에 AMP 에이전트를 설치하고 이를 통해 멀웨어의 유입이나 이동 경로 및 검역처리를 하여 단말기를 멀웨어의 위협으로부터 안전하게 방어해주는 솔루션이다. 이 솔루션은 SI(Security Intelligence)정보와 동적 분석및 최근 구글의 알파고를 통해 이슈가 되고 있는 머신러닝 등의 다양한 분석 기법을 활용하여 실시간으로 단말의 멀웨어 감염을 차단한다. 마지막으로 openDNS 서비스는 시스코가 운영하는 DNS 서버를 통해 보안을 제공하는 솔루션이다. 9억개가 넘는 DNS 주소를 보안 수준에 따라 분석해서 분류하며 여러 공격 툴이 DNS를 활용하는 방법들을 파악하여 위협이 존재하는 사이트로의 통신을 막는 기능을 제공한다. 이러한 기술은 최근 떠오르고 있는 빅데이터 분석을 사용함에 따라 가능하다.   정부가 공공기관에 민간 클라우드 서비스 도입을 장려하고 민간기업의 클라우드 서비스 도입 또한 적극적으로 장려하는 '클라우드 발전법'이 지난해 9월부터 시행되면서 클라우드 산업의 성장 가능성이 높아지고 있다. 모든 IT 분야가 그렇듯, '보안'은 핵심 키워드이며 보안에 대한 고려가 없다면 클라우드 산업에 대한 사용자들의 호응과 발전은 시들어질것이 불 보듯 뻔하다. 위에서 처럼 시스코에서 제공하는 클라우드 보안 솔루션뿐 아니라, SK 인포섹, 펜타시큐리티, 포네몬 등 여러 강기업에서 솔루션을 선보이고 있음에도 불구하고 보안 취약점으로부터 데이터의 보안성 보장이 어려운 것이 현실이지만 나의 생각은 조금 다르다. 우리는 '편리함', '안전함'을 동시에 만족하는 기술을 찾아보기 힘들다. 편리함을 강조하면 상대적으로 안전함(보안성)은 약해지고  안전함을 강조하면 편리함이 약해지는 현실이 아쉬움을 자아낸다. 나는 이 클라우드가 여태껏 누구도 해내지 못한 '편리성을 겸비한 수준 높은 보안' 이라는 타이틀을 거머쥘 수 있는 유망한 기술이라고 생각한다. 사실 클라우드를 보안적으로 정말 믿을 수 있는가? 라는 내용은 호불호가 매우 갈리는 주제이다. 나는 개인창고에 물건을 보관하는 것 보다 은행처럼 물건을 보관해주는 큰 업체에 맡기는 편이 안전하다고 생각한다. 단순하게 생각할 수 있는 상황인데, 집에 개인창고가 있는 경우 지진, 재난, 강도 등 우리가 예측할 수 없는 사고에 대한 대비는 업체에 물건을 보관하는 경우에 비해 상대적으로 낮다고 볼 수 있지 않은가. 클라우드도 이와 유사하다. 강력하고 높은 수준의 전문적인 서비스를 제공하는 클라우드 업체라면 앞서 말한 온프레미스에서 자체적으로 보안을 구축하고 운영하는 경우보다 훨씬 높은 수준의 보안 서비스를 제공하지 않겠는가. 우리가 클라우드의 보안성을 믿지 않고, 신뢰하지 않아서 현재 마련된 수준에 비해 저평가를 받고 있다고 생각한다. 현재 국제적으로나 국내에서의 흐름을 볼 때 클라우드로의 전환은 피할 수 없는 현실이 된 것 같다. 보안 전문가들은 클라우드 서비스를 도입하는 것이 적은비용으로 보안방면의 최대 효과를 볼 수 있다고 이야기한다. 국내 민간기업들의 보안 수준이 향상되었다고 지난 3월에 나온 기사를 본 적이 있다. 하지만 나는 잠깐이지만 한 때 보안전문가를 꿈꾸면서 국내 보안 수준의 현실을 많이 들어보았다. 아무리 보안 수준이 조금 향상되었다거늘 대부분의 기업에선 사내 보안을 전혀 고려하지 않고 보안인력이나 장비에 투자하지 않고 있다는 것이 현실이다. 그런데 정부에서 클라우드 서비스 도입을 장려하고 있지 않은가. 이는 정말 현명한 시행이라고 생각한다. 보안수준이 현저히 낮은 국내기업들이 보안에 많은 초점을 두고 있는 클라우드를 접하게 되고 도입을 장려받게 되면 당연히 보안에 관심을 갖게 될 것이고, 클라우드를 사용함으로써 얻게 되는 보안적 이점은 비용 대비 효율이 높다고 생각한다.   나는 내가 창업을하거나 회사의 주요 인사가 된다면 클라우드 도입과 그에 따른 이점을 나의 회사에 적극 제안할 것이다. 이 글을 작성하면서 클라우드에 관한 관심도 많이 생겼고 보안의 현실, 중요성을 다시 한번 되새김질하게 되었다. 앞으로 IT 에 종사하게 될 나에게 매우 중요한 경험중 하나가 되었다고 생각한다.