클라우드 믿고 은밀한 사진 올려도 될까

근래 들어 인터넷 해킹으로 유명 스타들의 누드 사진 수백 장이 유출됐다. 그 뒤로 클라우드 컴퓨팅(인터넷 상의 서버를 이용한 자료 저장과 컴퓨터 작업) 업계 전반에 걸쳐 자성의 분위기가 확산되고 있다. 보안을 강화하고, 패스워드 난이도를 높이고, 고객의 클라우드 사용방식을 재고해야 한다는 목소리가 높아졌다.

그동안 해킹으로 영화배우 제니퍼 로렌스, 케이트 허드슨, 미성년 체조선수 맥케일라 마루니 등의 누드 사진이 유출됐다. 이는 요즘 이용자가 급증하는 클라우드 저장 서비스 업계에 대한 불신을 키운다. 하지만 언론에 대대적으로 보도된 그런 해킹이 실제로 소비자의 태도까지 바꿔 놓을지는 미지수다.

“이번 사태가 장기적으로 클라우드 서비스 업계의 채산성에 타격을 주지는 않을 것”이라고 매카피의 최고보안책임자(chief security officer, CSO) 게리 데이비스가 말했다. “하지만 이런 유형의 유출이 만연하고 수시로 발생한다면 클라우드 서비스 업계가 영향을 받게 된다.”

근년 들어 개인 소비자의 클라우드 서비스 이용이 급증했다. 2013년 474억 달러로 추정되던 시장규모가 2017년에는 1070억 달러에 달할 전망이다. 23.5%의 연평균 성장률로 정보통신기술(ICT) 시장 전체 성장률의 5배라고 리서치 업체 IDC는 평가했다. 2011년 중반~2013년 11월 드롭박스(파일 공유 서비스)가 신규 이용자 1억5000만 명을 유치했다는 점을 감안하면 납득할 만한 통계다. IBM도 미국 기업들이 지난해에만 클라우드 컴퓨터 기술에 130억 달러 이상을 지출했다고 추정했다.

그러나 “클라우드는 얼마나 안전할까?” 업계는 이번 사태를 안전성 점검의 계기로 삼아야 한다고 IDC 애널리스트 파예즈 카키가 말했다. 기업 입장에서 클라우드 서비스 도입 결정은 위기 관리의 문제다. 리스크를 얼마나 부담할 의향이 있는가? “클라우드 서버로 이동할 때 조직이 위험에 더 노출되지 않는지” 판단해야 한다.

이번 스캔들은 개인 소비자와도 직접적인 관계가 있다. 공개하기 민망한 셀카 사진을 데이터 업체에 무조건 믿고 맡기는 젊은 층이 증가하기 때문이다. 24시간 켜진 상태로 인터넷에 연결된 스마트폰은 해킹에 취약하다. 특히 스마트폰이 데이터를 클라우드 서버에 자동 저장한다는 점에서 문제가 심각하다.

군사전략으로 전세 역전시킨다

소비자는 자신이 사용하는 클라우드 서버의 토대를 이루는 비즈니스 모델에 유의해야 한다고 사이버보안 업체 프라이빗자이언트의 숀 머피 CEO가 말했다.

“소비자는 사생활 보호에 신경 쓰지 않는 서비스를 가려내야 한다. 그리고 ‘나를 상품이 아니라 내 사생활을 중시하는 서비스를 선택하겠다’는 자세가 필요하다”고 머피 CEO가 말했다. “사람들은 복잡한 문제보다는 편의성에 항상 비중을 두게 마련이다. 그러나 소비자 보호 장치를 개발하는 책임은 이들 기업과 그 개발자들에게 있다. 이 문제를 외면하는 기업은 결국 쇠퇴한다.”

매카피의 데이비스 보안책임자는 데이터 보안유지 책임이 기업과 고객 모두에게 있다고 말했다. “기업들은 확실한 다중 인증 방식을 이용하는 소비자만 데이터에 접근하도록 해야 한다. 보여줘선 안될 사람의 손에 콘텐트가 넘어가기를 원치 않는다면 클라우드에 올리지 말아야 한다.”

클라우드 이용이 개인 소비자에게 사생활의 문제라면 기업 입장에선 조직의 존망이 걸린 문제다. 최근 보고서에 따르면 미국의 전체 조직 중 87%가 클라우드 인프라를 이용한다. IDC는 올해 클라우드 인프라 지출이 330억 달러를 돌파한다고 예상한다. IT 분야 총지출 중 3분의 1을 차지한다. 지난 10월 12일 발표된 컴퓨터 제조업체 델과 데이터 저장업체 EMC의 대형합병이 말해주듯 컴퓨터 산업의 미래는 클라우드에 있다. 모두가 아는 사실이지만 누구보다 해커들이 촉각을 곤두세운다.

보안 업체 앨러트 로직이 ‘2015 클라우드 보안 보고서’를 발표했다. 지난해 클라우드 시스템을 겨냥한 사이버 공격이 45% 증가한 반면 조직 내 인프라 대상 공격은 제자리걸음이었다. 클라우드 서비스 이용이 급증하는 한편 클라우드에 프로그램과 서비스를 올려놓는 비용은 줄어든다. 아마존만 해도 ‘아마존 웹 서비스’ 이용료가 2006년 이후 50배 가까이 떨어졌다. 요즘 해커들이 민감한 데이터에 접근하는 틈새를 찾을 만한 면적이 훨씬 넓어졌다.

그에 맞서 클라우드 컴퓨팅 업체 랙스페이스는 미군 장교 출신인 브라이언 켈리를 CSO로 영입했다. 특수전 컨설턴트로 몇 년 동안 보안 상의 허점을 찾아내는 일을 담당했다. 예를 들면 한밤중에 해군 특수부대 네이비씰 요원 2명과 함께 미군 보안시설에 몰래 침투하는 식이다. 지난해 그런 식으로 아무에게도 들키지 않고 침투하는 데 성공해 경계근무 중 졸던 사병이 해고됐다. 몇 달 뒤 그런 은밀한 작전능력과 노하우를 활용해 랙스페이스 고객 30만 명의 데이터를 보호하는 책임을 떠맡게 됐다.

이제 그는 완전히 새로운 전선에서 유례 없는 공격에 맞서고 있다. 바로 클라우드 전선이다. 켈리 CSO의 적수는 ‘실탄’이 풍부하고 고도의 전략을 구사하는 해킹 그룹이다. 그는 군사 전략을 동원해 기울어진 전세를 돌려 놓으려 한다.

그는 랙스페이스의 네트워크를 지키려는 자신의 노력을 ‘국토수호(defending the homeland)’라고 묘사한다. 지휘체계 일원화 원칙에 따라 회사를 군대식으로 조직했다. 공격이 발생할 때 실제 전투지역에서 사이버공간으로 곧장 지휘권을 넘길 수 있다고 켈리 CSO가 말했다. “회사 내에서 담당 지휘본부장(incident commander)이 누구인지 아주 분명하게 천명해야 한다. 다른 고위 경영자는 모두 뒤로 물러나고 담당 지휘본부장이 문제를 해결해 나가도록 믿고 맡겨야 한다.”

켈리 CSO는 이 같은 방식을 고객에게 이해시키려 애쓴다. 사내에서도 그 원칙을 철저히 지킨다. 데이터 유출이 2급 공격으로 간주될 경우 그가 통제권을 잡는다. 하지만 회사 평판이나 재무상황에 심각한 피해가 발생할 수 있는 1급 공격이 감지될 경우는 또 다르다. 최고운영책임자(COO) 마크 로에닉에게 지휘권을 넘겨주고 뒤로 물러난다.

클라우드 인프라를 겨냥한 사이버 공격이 사상 유례 없이 빈발한다. 데이터의 클라우드 저장이 더 안전한지 묻는 질문을 수시로 받는다고 켈리 CSO는 말한다. “흑백논리로 판단할 문제는 아니지만 모든 문제를 스스로 처리할 수 있는 자금과 능력을 갖춘 소수 기업을 제외하고는 클라우드가 더 유리하다”며 자신의 현 위치를 감안할 때 “약간의 편견”이 담긴 생각이라고 덧붙였다.

불평등한 악수

켈리 CSO는 1년 전 랙스페이스에 합류했을 때 클라우드 업체들의 고객 대응방식에서 큰 문제점을 발견했다. 고객이 일단 클라우드 서비스에 가입하고 나면 서비스 제공사들이 데이터 보호에 거의 또는 전혀 책임지지 않는 상황을 목격했다. 그는 이 같은 관계를 ‘불평등한 악수(uneven handshake)’라고 부르며 못마땅하게 여겼다.

켈리 CSO는 “이젠 클라우드 서비스 업체들이 더 많은 노력을 기울여 대등한 위치에서 악수를 나눌 때”라고 말했다. “우리의 권한, 규모, 자원을 감안할 때 우리가 할 수 있는 일이 훨씬 더 많다.” 랙스페이스 이사진과의 첫 미팅에서도 직설적이었다. 해킹을 막지는 못하겠지만 공격을 훨씬 더 잘 파악할 수 있도록 힘쓸 수 있다고 말했다.

그런 목적으로 켈리 CSO는 다시 한번 자신의 군 생활을 돌아봤다. 1980년대 미국 정부는 3개 사이버 조직을 창설했다. 공격과 수비 그리고 조사·수색단이다. 회사 보안 실무팀을 구성할 때그는 이들 3개 조직의 초기 지휘관 3명을 인터뷰했다. “작전 경험이 있고 훈련된 인재”였기 때문이다. 그중 2명을 채용했다.

켈리 CSO는 그런 군사작전 규율 중 일부를 랙스페이스에 적용한다. 해킹 공격이 내부에서 비롯되지 않도록 사내에서 복수의 탐색 임무를 실시하고 있다.

요즘 발생하는 고도화된 대규모 테러공격에 맞서 스스로를 지킬 만한 자원이 없는 기업이 많다. 그런 고객의 관점에서 적절한 보안을 제공하는 일이 최대 과제다.

여태껏 이들 소규모 기업은 스스로 데이터를 보호해야 했다. 그것은 시간 낭비라고 켈리 CSO는 말한다. “무늬만 보안기술 담당자인 사람을 영입하고 그는 일단의 보안제품을 사들여 전원을 꽂는 게 전부다. 하지만 오늘날 위협의 성격을 감안할 때 아무 소용없는 일이다. 시간과 돈 낭비다. 그들을 노리는 해커가 있다면 누구든 쉽게 침투할 수 있다.”

고객 입장에선 더 많은 책임을 떠맡고 랙스페이스의 보안 자원을 이용하면 그런 위험은 크게 줄어들지 모른다. 하지만 더 고도화하고 자원이 풍부한 해커 그룹들의 계속적인 클라우드 공격을 막지는 못한다.

그런 문제를 해결하려면 업계의 개혁 노력이 필요하다. 켈리 CSO는 다시 한번 군 경험을 살려 개혁을 이끈다.

원래 ‘정보공유분석센터(Information Sharing and Analysis Centers)’는 주요 인프라를 겨냥한 사이버위협 관련 정보의 공유 차원에서 설립됐다. 켈리 CSO가 경험한 바로는 정보공유 속도가 느려 이렇다 할 성과를 올리지 못했다. 그러나 그는 정보공유의 효율화를 이룰 수만 있다면 실질적인 변화를 일으킬 잠재력이 있다는 점을 군 경험을 통해 알고 있었다.

해킹의 비용을 높인다

클라우드보안연합(CSA)은 켈리 CSO의 주도 아래 정보공유 플랫폼을 구축했다. 해킹에 관해 기업들이 익명으로 정보를 공유할 수 있도록 했다. 해커들이 같은 수법으로 기업을 잇따라 공격하지 못하도록 예방하려는 취지다. CSA는 클라우드 컴퓨터 업계의 주요 기업이 모두 회원으로 가입한 단체다.

“보안 전문가들은 정보 공유의 가치를 이해한다고 본다. 하지만 업계 전체적으론 불행히도 이렇다 할 성과가 없었다”고 켈리 CSO가 말했다. ‘클라우드 사이버 정보 공유 센터’라는 이름의 최신 시스템은 랙스페이스에 자리 잡고 이제 막 활동을 시작했다. 하지만 매일 클라우드 고객들의 데이터를 공격하는 해커 조직의 활동에 큰 타격을 줄 것이라고 켈리 CSO는 기대한다.

“극히 전술적인 수준에서 그리고 몇 시간, 나아가 몇 분 만에 정보 교환을 시도한다는 점이 핵심적인 차이다. 오늘밤 해킹 공격을 감지할 경우 우리 대책반이 가능한 한 구체적으로 공격을 파악해 최대한 빨리 그 정보를 공개하고 마이크로소프트·구글·아마존·드롭박스에 전달한다.”

얼마 전 시진핑 중국 국가주석의 방미에 이어 버락 오바마 미국 대통령의 선언이 언론에 대대적으로 보도됐다. 미국 기업의 지적재산을 도용하는 어떤 중국 기업에도 제재를 가할 것이라는 내용이었다. 시 주석과 오바마 대통령의 합의가 이뤄진 뒤 중국 정부는 지난 10월 초 미국의 요청으로 해커 5명을 체포했다.

켈리 CSO가 볼 때 이 같은 움직임은 해킹 비용을 높이는 효과를 가져온다. 이런 접근법으로 클라우드 업계는 잔챙이와 아마추어 해커들을 몰아내는 데 성공했다. 그에 따라 해커 집단의 공격 회수는 줄었지만 한편으론 조직범죄와 국가 조직 등 대규모 그룹의 공격 여지가 커지게 됐다.

켈리 CSO와 CSA는 빠르고 효과적으로 정보를 공유함으로써 이들 그룹의 클라우드 공격 비용부담 또한 높이려 한다. 특히 제로데이(zero-days)로 알려진 고가의 툴을 이용할 때가 대표적이다. 제로데이는 소프트웨어의 지금껏 알려지지 않은 보안 취약점들을 가리킨다. 다크웹(dark Web, 일반 검색엔진으로는 접근이 불가능한 심층 웹)에서 거액에 거래된다.

“제로데이를 목격하면 즉시 대처하겠지만 그래도 최대한 빨리 그 정보를 동료들에게 전해 나머지 클라우드 서비스 업체들도 그 정보를 알게 할 것이다. 그렇게 하면 해커들이 다른 클라우드를 공격하기 전에 방어태세를 갖출 수 있고 해커들의 비용은 상승한다.”

사이버 공격과 사이버 보안 간의 쫓고 쫓기는 게임은 끊임없이 진화해 간다. PC를 겨냥하던 해커들이 스마트폰으로 표적을 바꿨듯이 지금은 다음 대형 표적으로 클라우드를 노리고 있다. 기업들은 자신들에게 어떤 책임이 있는지 정확히 알아야 하지만 클라우드 제공사들의 그에 상응하는 노력 또한 그만큼 중요하다.

글 = 아이비타임즈 대이빗 길버트, 제프 스톤 기자  번역 = 차진우