전 세계 영향을 준 크라우드스트라이크(Crowdstrike) 사태는 IT 운영 인프라가 한 곳에 의존할 때 얼마나 위험할 수 있을지를 여실히 보여줬다. IT 리더는 이번 사태를 교훈 삼아 클라우드 집중화 리스크의 허용 범위를 파악하고 그에 맞는 전략을 찾아야 한다.
크라우드스트라이크 사태로 기업, 클라우드 서비스 제공업체, 주요 인프라 제공업체들이 위험한 상황에 처하게 되었다. 이 사건은 동시에 크라우드스트라이크의 높은 시장 점유율에 주목하게 만들었다. 크라우드스트라이크는 엔드포인트 탐지 및 대응(EDR) 시장에서 2022년 기준 17%의 점유율을 차지하며 업계를 선두하고 있다.
크라우드스트라이크는 파운드리 산하 보안 전문 매체 CSO가 뽑은 10대 사이버 보안 기업 중 하나였다. 크라우드스트라이크가 그만큼 높은 점유율을 차지하고 있고 데이터 보안을 위한 다양한 플랫폼 제공하고 있기도 하다.
그러나 이번 서비스 중단 사태로 인해 기존 엔터프라이즈 클라우드 전략에 대한 의문이 제기되고 있다. 동시에 이번 장애는 기업의 클라우드 전략에 대한 의문을 제기하고, 과도한 권한을 가진 소프트웨어에 대한 논쟁을 다시 불러일으켰다. 현재 많은 IT 리더들은 이번 사건에서 교훈을 찾고 있다. 특히 특정 회사나 서비스에 너무 의존할 때 발생할 수 있는 위험성, 일명 ‘집중화 리스크(concentration risk)’에 대한 관심이 집중되고 있다.
‘집중화 리스크’란 무엇인가?
사실 크라우드스트라이크는 업계에서 EDR 및 안티멀웨어 보호 시장의 ‘대표 주자’로 인정받아 왔다. 크라우드스트라이크의 솔루션 ‘팰콘’은 각 엔드포인트 디바이스에서 에이전트를 사용해 랜섬웨어 및 멀웨어와 같은 사이버 위협을 지속적으로 모니터링한다. 이러한 에이전트 기반 접근 방식은 크라우드스트라이크가 자체적으로 개발한 신속 대응 콘텐츠(Rapid Response Content, 새로운 위협에 빠르게 대응하기 위해 생성된 크라우드스트라이크의 보안 업데이트 및 패치) 검증 프로세스의 결함과 결합돼 ‘블루스크린 현상’을 발생시켰다.
최근 몇 년간 기업들의 복원력 강화 노력에도 불구하고, 크라우드스트라이크 사태로 인해 불안감이 재차 고조되고 있다. IT 리더는 이번 사태가 자사에 미친 영향을 파악하고, 이러한 유형의 사고에 대한 실제 노출 정도를 정확히 평가해야 한다.
IT 리더는 이제 ‘집중화 리스크’에 대응하고, 공급망 위험을 더 잘 관리할 방법에 더욱 집중해야 한다.
영국 금융감독청(FCA)는 집중화 리스크에 대해 “기업이 단일 고객 또는 밀접히 연결된 고객군의 의존 수준 및 노출 정도로 발생하는 위험”이라고 설명했다. 쉽게 말해, 모든 계란을 한 바구니에 담는 것과 같다는 뜻이다. IT 리더뿐만 아니라 이번 사건으로 규제 기관도 집중화 리스크에 관심을 보일 것으로 예상된다. 최근 필자의 동료 CISO는 규제 기관과의 회의에서 집중화 리스크에 대해 논의했다고 전했다.
변화가 예상되는 규제
전 세계 규제 당국은 ‘세계 최대 규모의 IT 장애’라고 불리는 이번 사태를 지켜보았을 것이며, 이러한 시나리오의 재발을 방지하기 위해 조치를 취하라고 압박을 받고 있을 것이다. 그리고 사태가 어느 정도 진정되면 클라우드 집중화 리스크가 주요 논의 대상이 될 것으로 필자는 예상하고 있다.
지금은 기업 대부분이 퍼블릭 클라우드 도입하고 있다. 특히 대형 기관에서 ‘클라우드 우선’ 원칙을 채택하고 있다. 이러한 전환 과정에서 기업은 보통 처음엔 하나의 클라우드 공급업체를 활용하다가 특정 비즈니스 사례를 지원하거나 데이터 주권 요건을 충족하기 위해 클라우드 공급업체를 점진적으로 늘린다.
크라우드스크라이크 사태에서 볼 수 있는 ‘집중화 리스크’는 기업이 단일 클라우드 서비스 제공업체(CSP)에 지나치게 의존할 때 발생한다. 과거에 기업은 데이터와 애플리케이션을 자체 데이터센터에 대해 의존했는데, 이제 그 의존 대상이 클라우드 제공업체로 바뀐 것뿐이다. 다시 말해 클라우드 집중화 리스크 위험이 생겼다.
클라우드 집중화 리스크는 크라우드스트라이크 중단 사례에서 볼 수 있듯이, 단일 사고로 전체 서비스 운영이 중단될 수 있는 위험을 가져온다. 많은 기업이 특정 애플리케이션과 클라우드 제공업체에 대한 의존도를 높이면서, 이러한 리스크의 수준은 더 커지고 있다. 이는 단순한 보안 침해를 넘어 국가와 산업 전반에 광범위한 영향을 미칠 수 있는 위험으로 발전할 수 있음을 시사한다.
UNSW 사이버 연구소(IFCYBER)의 매트 라이언 박사는 “대형 금융 기관의 경우, 대규모 기술 장애가 발생해도 클라우드 서비스를 즉시 전환하는 것이 어렵다”라며 “비 금융 기업에 비해 높은 수준의 회복력을 구축하는 비용이 엄청나게 비싸기 때문이다”라고 설명했다. 필자는 이런 제약에도 불구하고 많은 기업이 집중화 리스크에 대비하고 회복력 구축을 해야 한다고 보고 있다.
멀티 클라우드 도입
클라우드 집중화 리스크를 피하려면 비즈니스 워크로드를 여러 클라우드 제공업체에 분산하는 멀티 클라우드 전략을 꼭 도입해야 한다. 멀티 클라우드 전략을 수립하면 한 공급업체에 문제가 발생하더라도 다른 클라우드에서 운영을 계속할 수 있다.
또 다른 대안은 프라이빗 클라우드와 퍼블릭 클라우드를 결합한 하이브리드 클라우드 접근 방식을 채택하는 것이다. 이렇게 하면 퍼블릭 클라우드 확장성의 모든 이점을 누리면서 사내 민감한 데이터를 더 잘 제어할 수 있다.
이러한 접근 방식, 즉 멀티클라우드 또는 하이브리드 클라우드는 제대로 관리되지 않으면 회복력을 낮추는 단점을 가져온다. 안타깝게도 여러 공급업체의 복잡성은 사고 유발 및 새로운 위험으로 이어질 수 있다. 대표적으로 클라우드 구성관리나 오류 해결에 여러 문제가 발생할 수 있다.
CIO가 이러한 전근 방식을 도입하려고 한다면 복잡성 관리는 각기 다른 SLA 및 지원 프로세스를 관리해야 한다. 특히 재무와 클라우드 운영을 통합하는 핀옵스를 구현하여 멀티 클라우드 환경의 다양한 클라우드 공급업체와 계약에 따른 비용을 관리해야 한다. 내부적으로 CIO는 이러한 클라우드 공급업체는 물론 클라우드 공급업체가 직접 사용하는 서드파티 기술까지 모두 아우르는 보안 정책을 만들고 운영해야 한다.
집중화 리스크의 허용 범위
앞으로는 조직에서 허용 가능한 집중화 리스크는 어느 정도인지 정확히 파악해야 한다. 이사회 차원에서 직접 담당 부서가 이러한 위험을 측정하여 허용 범위를 정하기를 원할 수 있다.
클라우드 교육 및 보안 관련 비영리 조직인 클라우드 보안 연합(Cloud Security Alliance)는 이를 고민하는 기업을 위해 위험 허용 범위 평가, 데이터/자산 분류, 비즈니스 요구 사항을 회사 정책, 제어 목표, 기술 제어로 변환하는 프로세스를 개발하라고 권장한다.
필자가 추천하는 접근 방식은 핵심 비즈니스에 영향을 주는 작업을 식별하고 문서화하는 것부터 시작하는 것이다. 이러한 작업이 정의되면 기술팀은 해당 작업을 지원하는 모든 기본 기술 구성 요소와 공급업체를 확인할 수 있다. 이 단계에서 조직은 프로세스에서 추가 처리 또는 이중화가 필요할 수 있는 단일 장애 지점을 테스트하고 대비할 수 있을 것이다.
*필자 David Gee는 금융 서비스 및 제약 업계에서 20년 이상 기술, 사이버 및 데이터 위험 담당 임원으로 근무한 경력을 가지고 있으며, ‘The Aspiring CIO and CISO’라는 책을 저술한 바 있다.
dl-ciokorea@foundryco.com
