출처 :보안뉴스

클라우드 기반 구독형 사이버 보안 솔루션이, 클라우드 오류나 정전으로 작동을 하지 않으면 어떻게 될까? 상황에 따라 매우 심각한 상황으로 이어질 수 있다. 해당 보안 솔루션을 사회 기반 시설이나 군 요원, 국방 업체가 사용하고 있었다면 국가 안보 사태로 번질 가능성도 충분하다. 사용자가 금융 기관이었다면 경제 위기가 발생할 수도 있다.

얼마 전인 10월 25일 사이버 보안 서비스 업체인 지스케일러(Zscaler)가 마비되는 일이 실제 있었고, 이 때문에 네트워크 속도가 지연되고 패킷이 사라지고 심지어 일부 기업들의 사업 활동이 중단되기도 했었다. 그러한 일이 일어나기 1주일 전 지스케일러는 고객들에게 연락해 프랑스 근처에 설치된 해저 케이블이 손상되어 일부 패킷이 손실될 수 있다는 경고문을 보냈지만 이를 심각하게 받아들이고 미리 준비한 기업은 하나도 없었던 것으로 보인다. 그 결과 어떤 회사들은 수시간 동안 아무런 일도 할 수 없었다.

물론 보안과 관련이 없더라도 클라우드의 마비와 정전은 사용자 기업들에 큰 영향을 미친다. 2021년 12월에 발생한 AWS 정전 사태 때문에 대량의 웹 서비스가 마비된 것을 생각해 보면 이는 쉽게 이해할 수 있다. 하지만 보안과 특화된 클라우드 서비스일 경우 문제가 좀 더 심각해진다. 왜냐하면 보안은 서비스 목적의 특성상 사용자 기업의 네트워크 깊숙한 부분에까지 얽혀 있기 때문이다. 따라서 보안 클라우드 서비스가 마비될 경우 더 심각한 결과가 나타난다.

포레스터 리서치(Forrester Research)의 보안 리스크 부문 부회장인 메릿 맥심(Merritt Maxim)은 “클라우드 기반의 서비스형 보안 솔루션을 활용하고 있는 기업이라면, 반드시 그런 솔루션이 정전 등의 이유로 작동하지 않을 때의 경우를 대비해야 한다”고 강조한다. “앞으로도 여러 업체들에서 예기치 않은 정전 현상이 나타날 것입니다. 클라우드라는 기술 자체가 특별히 정전에 대하여 더 강력한 면모를 보이지 않거든요. 어느 누가 될지 예측하기도 어렵고, 언제가 될지도 모릅니다. 다만 사고의 영향력이 어마어마하다는 것은 우리 모두가 알고 있지요.”


실제로 지스케일러가 서비스형 보안 솔루션으로서 최초 정전 사태를 기록한 건 아니다. 2020년 10월 MS 애저 AD(MS Azure AD)에서 발생한 정전 때문에 MS의 아이덴티티 및 접근 관리 서비스가 작동을 하지 않게 됐고, 이 때문에 이 서비스에 의존하던 수많은 기업들의 임직원들이 한 동안 로그인을 할 수 없었다. 당연하게 회사 인프라를 전혀 사용할 수 없게 됐다. 작년에는 페이스북이 6시간 동안 정전되는 일이 있었는데, 이 때문에 페이스북 기반 싱글사인온을 활용하던 기업들 역시 로그인에 큰 문제를 경험했다.

클라우드 마비는 자주 일어나지 않는 일이지만 강력하다
물론 이런 클라우드 대규모 마비 상황이 월간 행사 수준으로 자주 일어나는 건 아니다. 기껏해야 1년에 한두 번이 고작이다. 그리고 클라우드 기술이 안정적으로 발전하면서 정전 상황의 빈도는 꾸준히 낮아지는 추세다. 클라우드보안연맹(Cloud Security Alliance)의 CEO 짐 리비스(Jim Reavis)는 “클라우드 보안 서비스가 안정성 측면에서는 온프레미스 보안 서비스보다 훌륭한 것이 지금은 사실”이라고 강조하기도 한다.

“클라우드가 안정적이니까 정전 사태가 날 때마다 대서특필 되는 겁니다. 클라우드가 분기에 한 번씩 다운될 정도로 불안정한 것이라면 어떨까요? 무감각해지겠죠. 물론 100% 마비되지 않는 클라우드라는 건 있을 수 없습니다. 클라우드의 안정성을 높이려는 노력에 더해 정전 사태의 충격을 완화할 수 있는 도구와 제도들을 마련하는 것도 중요합니다. 그것이 클라우드를 더욱 안정적으로 발전시키는 방법이 되겠죠.”

정전 대비는 클라우드 보안의 일부
이 말은 클라우드의 보안이 서비스 업체와 사용자 업체 간 ‘공동의 책임’인 것처럼 클라우드 기반 보안 서비스도 공동의 책임으로 유지되어야 한다는 것으로 연결된다. 클라우드 보안 서비스 제공자는 정전과 마비가 최대한 일어나지 않게 해야 하고, 사용자 업체는 마비가 되었을 때의 상황에 대처할 방법을 마련해야 한다는 뜻이다. 

리비스는 “그러려면 고객사가 클라우드 벤더의 아키텍처를 이해하는 게 중요하다”고 짚는다. “서비스 업자라는 사람들이 도대체 각종 상황에 대처하기 위해 어떤 방법을 사용하고 있는지 궁금해야 하고, 알아봐야 합니다. 어떤 식으로, 얼마나 자주 소프트웨어를 업데이트 하는지, 리스크 관리를 어떻게 하는지, 그것이 전 세계적인 클라우드 업계 표준에 얼마나 부합하는지 등을 묻고 점검해야 하죠. 그래서 가장 알맞은 서비스를 찾아서 계약해야 합니다. 그것이 고객사의 첫 번째 책임이죠.”

또한 클라우드 서비스나 보안 플랫폼과는 상관없이 기업은 사업체의 자체적인 리스크 평가를 계속해서 수행해야만 한다. 맥심은 “클라우드 서비스의 마비 역시 기업 리스크의 일부분”임을 강조한다. “일부 리스크 요인을 벤더사에게 모조리 맡겨놓고 나중에 잘못되면 책임을 묻겠다는 태도는 보안 서비스에 있어서는 그리 바람직하지 않습니다. 어차피 피해를 입는 건 클라우드 업체가 아니거든요. 자신의 조직, 자신의 데이터를 보다 주체적으로 보호해야 한다는 태도가 더 필요합니다.”

3줄 요약
1. 클라우드 기반 보안 서비스가 마비되면 중대한 사건으로 확대될 가능성 큼.
2. 클라우드 보안 서비스 제공자는 마비나 정전을 줄여야 함.
3. 사용자 업체는 마비나 정전 사태에 대비한 방법을 미리 강구해야 함.
[국제부 문가용 기자(globoan@boannews.com)]