-
[IT WORLD] "쉐도우 데이터부터 AI 공격까지" 2023년 클라우드 보안의 현주소study/technical study 2023. 10. 10. 16:33
“쉐도우 데이터부터 AI 공격까지” 2023년 클라우드 보안의 현주소 - ITWorld Korea
위 글을 기반으로 작성했습니다.
2022 탈레스 글로벌 클라우드 시큐리티 스터디(Thales Global Cloud Security Study for 2022)에 따르면, 지난 1년간 기업 45%가 클라우드 데이터 유출을 직접 경험하거나 감사 과정에서 적발됐다. 그런데 이 수치가 지난해보다 5% 줄어들었는데, 과연 클라우드 보안 상황이 개선된 것일까?
사실 전체적으로 보면 최악의 상황이라고 해도 과언이 아니다. 클라우드 보안에 대한 투자가 줄었음에도 클라우드 기반 플랫폼에 대한 의존은 절대적인 것이 되었으며, 클라우드 보안 인력 부족으로 많은 기업이 경력이 부족한 인력을 채용할 수밖에 없는 상황이다. 특히 생성형 AI를 악용한 새로운 해킹 툴의 등장으로 많은 기업이 새로운 위협에 대응하는 데 어려움을 겪고 있다.
통제를 벗어난 데이터
먼저 가장 우려스러운 것은 '쉐도우 데이터(shadow data)'의 등장이다.
(쉐도우 데이터 : 기업 내에서 IT의 인지 또는 통제 없이 생성, 저장, 유통되는 데이터)
쉐도우 데이터는 보통 ...
- 인가 또는 모니터링 시스템 밖 존재한다.
- 직원의 기기, 클라우드 서비스 또는 다른 승인되지 않거나 알려지지 않은 애플리케이션에 저장된다.
쉐도우 데이터 사용 사례
- 재택근무를 위한 민감한 기업 데이터가 포함된 문서를 기업 클라우드 데이터베이스에서 다운로드한 후 USB 드라이브에 저장하는 것
- 출장을 앞두고 SaaS 애플리케이션에서 고객 리스트를 빼내 자신에게 이메일로 보내는 것
→ 민감하거나 기밀인 정보가 포함될 수 있고, 이러한 외부 노출은 곧 데이터 보안과 컴플라이언스, 거버넌스에 대한 위협
사실상 클라우드 보안의 문제라기보다는 교육 훈련 차원의 이슈다. 이런 데이터의 이용을 제한하고 사용 여부를 모니터링할 수도 있지만, 결국 화면에 데이터를 띄울 수 있다면, 안전하지 않은 쉐도우 데이터가 된다.
이것이 훈련과 사람의 문제라는 점은 오히려 해결을 더 어렵게 만드는 측면이 있다. IT 보안 전문가는 문제를 해결할 때 보통 툴과 기술을 사용하는 데 익숙하기 때문에 보안에 대한 잘못된 인식을 전달할 가능성이 있다. 즉, 데이터를 어떻게 다뤄야 하는지에 대한 교육이 필요한데, IT 실무자는 다른 사람의 일이라고 생각할 수 있다. 결과적으로 HR 부서로 떠넘겨져 대체로 간과되어버린다.
잘못된 설정의 문제
클라우드 데이터의 가장 큰 위협이면서도 종종 놓치는 것이 바로 설정의 문제다. 실제로 한 대형 자동차 업체의 데이터 유출 사고 사례를 보면 클라우드 스토리지 시스템을 잘못 설정해 200만 명 이상의 사용자 정보가 외부로 그대로 노출됐다.
이러한 사고는 보통 제대로 구성된 보안 시스템을 우회해 데이터에 접근한 경우는 거의 없다. 오히려 스토리지 시스템이 그대로 외부에 노출되어 있거나 데이터베이스를 필요한만큼 암호화해야 하는 경우가 더 흔하다.
실무자가 클라우드 기반 시스템과 데이터 스토어의 보안을 어떻게 설정해야 하는지 알지 못하는 경우도 많다. 이는 앞서 언급한 인력 부족 문제의 결과이기도 하다.
다른 위협들
보안이 취약한 API
클라우드 기반 플랫폼에서 개발, 배포하는 작업을 한다면 아마도 API가 가장 중요한 역할을 할 것이다. 이런 API는 클라우드 업체가 제공하기도 하지만 기업용 앱에도 내장되어 있다. 이런 API는 기업 인프라라는 왕국의 열쇠인데, 종종 기업 데이터에 대한 제한 없는 접근 경로로 방치되고는 한다.
생성형 AI 시스템을 이용한 해킹의 자동화
AI 기반 공격은 이미 현실에서 벌어지고 있다. 해커가 AI 시스템을 더 잘 활용할수록 가장 정교한 보안 시스템에 대해서도 자동화된 공격이 벌어질 것이다. 이러한 새롭고 혁신적인 공격에 대응하는 것은 매우 힘든 일이다. 실제로 생성형 AI를 이용해 얻은 애플리케이션 코드를 이용하면 공격 시스템을 만들어 실행할 수 있고, 이런 공격이 결국 성공하는 것은 시간문제일 뿐이다. 현업 IT 실무자는 이런 공격에 맞서 빠르게 방어체계를 확장하는 것은 사실상 불가능하다.
해야 할 일들
더 안전한 클라우드 플랫폼을 만드는 최선의 방법은 역시 기본을 지키는 것
즉, 제로 트러스트 보안을 구현하고 최적의 클라우드 보안 툴을 확보하는 것이다. 이를 통해 최소한 다른 기업보다 우리 기업이 해커가 노리기에 더 까다로운 목표로 만들 수 있다.
전사적으로 클라우드 보안에 대해 가진 지식을 업그레이드하기
- 세일즈 임원부터 말단 직원까지 일반적인 클라우드 사용자는 보안 관행을 개선해야 한다. 교육과 거버넌스를 제공하고, 규정을 벗어난 데이터 사용에 대해 책임지도록 해야 한다.
- 보안 전문성을 높여야 한다. 훈련을 더 많이 지원하고 이에 대한 시간도 보장해야 한다. 때로는 더 많은 연봉을 줘야 할 수도 있다.
보안 실무자들이 여기저기 불난 곳을 처리하느라 정작 중요한 학습은 부족한 경우가 적지 않다. 하지만 처음부터 이러한 상황이 왜 시작된 것인지를 봐야 한다. 지금 학습이 부족하다고 느낀다면, 전사적으로 변화를 시작할 때이다.
마치며
내가 생각했던 것보다 더 다양한 이유로 인해 클라우드 보안이 취약할 수 있다는 것을 알게 되었다. 쉐도우 데이터와 잘못 설정된 보안 시스템, 취약한 API뿐만 아니라, 이제는 생성형 AI를 통한 해킹의 자동화가 현실이 되었다는 것을 깨달았다. 이를 보완 및 해결하기 위한 최선의 방법은 제로 트러스트 보안을 구현하고 최적의 클라우드 보안 툴을 확보하는 것이다. 또한 기업 내의 모든 클라우드 사용자들은 보안 교육을 필수적으로 받는 것이 중요하며, 보안 실무자들의 보안 전문성을 높이기 위해 기업에서 훈련을 더 지원하고 이에 대한 시간도 보장해야 한다는 것을 알게 되었다.
'study > technical study' 카테고리의 다른 글
[CIO Korea] 칼럼 | 디셉션 기술 확산에 기여하는 4가지 IT 트렌드 (0) 2023.11.24 [삼성SDS] 생성형 AI 모델과 대화하는 프롬프트 엔지니어링(Prompt Engineering) (1) 2023.11.18 [삼성SDS] 생성형 AI로 사이버보안을 강화하는 방법 (1) 2023.11.14 [삼성SDS] 제로 트러스트(Zero Trust), 보안과 신뢰의 고정관념을 깨다 (0) 2023.11.07 [CIO Korea] 칼럼 | 생성형 AI 도입이 IT리더에게 고민거리인 이유 (0) 2023.09.28