전체메뉴

[애플경제 전윤미 기자] 오래도록 클라우드 자격증명을 방치하는게 클라우드 보안에 매우 치명적이란 지적이다. 전문가들은 기업들에 대해 장기 클라우드 자격 증명을 단계적으로 폐지할 것을 권고하고 있다.

클라우드 기반 모니터링 및 분석 플랫폼인 데이터독(Datadog)은 특히 하이퍼스케일 클라우드 서비스에 대한 장기 자격 증명을 단계적으로 폐지할 것을 촉구하고 있다. “장기 자격 증명이 여전히 심각한 데이터 침해 위험”이란 경고다.

데이터독은 클라우드 보안 관련 백서를 통해 이처럼 장기 자격 증명을 지속적인 보안 위험 요소로 지목한 결과를 강조했다. “자격 증명 관리 관행이 개선되고 있지만, 위험을 완화하는 데 필요한 만큼 빠르거나 효과적으로 발전하지 못하고 있다”고 지적이다.

이에 따르면 AWS를 사용하는 조직의 거의 절반이 여전히 장기 자격 증명을 사용하고 있다. 또한 AWS를 사용하는 조직의 거의 절반(46%)이 클라우드 환경에 대한 인적 액세스를 위해 IAM 사용자에게 의존하고 있다. IAM은 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스다. 이는 즉 “장기 자격 증명의 한 형태”고 간주된다. 여러 시스템에 대한 액세스 권한을 부여하기 위해, 중앙 집중식 ID 관리를 사용하는 조직도 마찬가지다.

또한 4명 중 1명이 중앙 집중식 페더레이션 인증을 구현하지 않고 IAM 사용자에게만 의존하는 실정이다. 이처럼 장기 자격 증명을 사용하면서도 관리되지 않을 경우 큰 보안 위험을 초래할 수 밖에 없다는 지적이다.

주요 클라우드 공급업체 모두 포함

장기 자격 증명은 모든 주요 클라우드 공급업체에 걸쳐 있다. 흔히 이들은 오래되었거나 사용되지 않는 액세스 키를 포함한다. 이에 따르면 구글 클라우드의 계정의 62%, AWS IAM 사용자의 60%, MS 엔트라 ID 애플리케이션의 46%가 1년 이상 된 액세스 키를 보유하고 있는 것으로 드러났다.

이런 장기 클라우드 자격 증명은 만료되지 않으며, 소스 코드, 컨테이너 이미지, 빌드 로그 및 애플리케이션 아티팩트에 자주 유출된다. 이는 공개된 클라우드 보안 침해 사례 중 가장 흔한 원인이기도 하다.

이에 AWS는 ‘IAM Identity Centre’를 출시, 사용자들이 AWS 애플리케이션에 대한 액세스를 중앙에서 관리할 수 있도록 하는 등 노력을 하고 있다. 그러나 이에 대한 사용자들의 호응과 관심이 크지 않다는게 문제다. 그 결과 오래된 액세스 ‘키’ 쌍이 지나치게 관대한 액세스까지 허용하는 바람에 데이터 침해가 심해졌다는 얘기다.

많은 기업들은 그럼에도 불구하고, 단일 로그인이나 임시 자격 증명으로 전환하는 작업을 번거롭게 여기고 있다. 즉 “개발 워크플로를 단일 로그인으로 마이그레이션하는 데 관련된 ‘리프트 앤 시프트’를 부담스럽게 여긴다”는 지적이다. 그 결과 클라우드 자격 증명이 1년 이상 되는 경우가 비일비재하다.

‘AWS Identity Centre’ 등 도구로 ‘리프트&시프트’ 활용

이에 전문가들은 ‘AWS Identity Centre’와 같은 도구를 적극 활용, ‘리프트 앤 시프트’를 시행할 것을 권하고 있다. 이는 인증 프로세스를 간소화하고, 반복적인 MFA 로그인의 필요성을 최소화하며, 워크플로의 효율성을 유지하게 한다.

전문가들은 “장기 자격 증명을 안전하게 관리할 수 있을 것이라고 기대하는 것은 비현실적”이라고 경고하고 있다. 그 보단 회사 차원에서 최신 메커니즘과 단기 자격증명을 사용하고, 사이버범죄자들이 흔히 써먹는 API 변조 등을 모니터링 하는게 바람직하다. 또 안전한 ID를 채택하는게 중요하다. 즉 “기업은 시간 제한이 있는 임시 자격 증명을 제공하는 메커니즘을 활용해야 한다”는 얘기다.