클라우드에서 보안은 간과해서는 안 될 중요한 요소 중 하나입니다.

그러나 많은 이용자들이 클라우드 상에서의 보안은 CSP에서 자체적으로 관리해줄 것이라는 안일한 생각에 빠지곤합니다. 퍼블릭 클라우드 환경에서, 사용자는 후불제요금시스템을 통해 사용한 컴퓨팅 리소스 만큼만 비용을 지불합니다. 이는 매우 경제적이라는 점에서 클라우드의 장점이지만, 동시에 단점이 되기도 합니다.

인터넷이나 각종 보도 자료를 통해 ‘AWS 계정 해킹으로 월에 억 청구’와 같은 글을 한 번쯤 접해보셨을 것입니다.

만약 본인이 클라우드 서비스를 사용하며 만든 계정이 해킹당한다면, 해킹범은 사전 등록된 결제정보를 통해 무분별하게 리소스를 생성하여 이용할 수 있고, 이는 과도한 비용 청구로 이어지게 됩니다. 한편 계정 위에 생성된 서버에 접속하기 위한 pem키가 유출된다면, 해당 서버는 암호화폐 채굴, 데이터베이스 해킹 등의 범죄에 취약해질 수 있습니다. 이처럼 클라우드 서비스를 이용할 때 보안을 간과하면, 단기간 막대한 규모의 금전적 피해로 이어질 수 있기에 클라우드 계정의 접근 보안을 강화하고, 주기적으로 모니터링을 하는 것은 중요합니다.

그렇다면 클라우드 사용자가 보안 강화를 위해 취할 수 있는 조치로는 어떤 것들이 있을까요? 스타트업에서 보안 강화를 위해 신경 쓸 수 있는 가장 쉽지만 중요한 방법은 사용자별로 분리된 IAM 계정(GUI 기반 콘솔 환경) 및 Access Key(CLI 및 SDK 환경)를 생성(발급) · 사용, 그리고 MFA 인증이 있습니다.

1) 사용자 별로 분리된 IAM 계정 및 Access Key를 이용

클라우드 환경에 로그인 하는 방법은 크게 Root 사용자로 로그인 하는 방법과 IAM 사용자로 로그인 하는 방법으로 분류됩니다.

Root 사용자는 AWS계정을 처음 만들 때 생성되는 사용자로 모든 권한을 가진 계정을 의미하는데, 모든 권한을 보유하고 있기에 유출되었을 경우 가장 심각한 보안 문제가 발생하게 됩니다. 이에, Root 사용자는 AWS 계정을 설정할 때를 제외하고는 이용하지 않는 것을 권장합니다.

반면 IAM(Identity and Access Management)은 계정에 대해 부여된 권한만을 이용할 수 있도록 부여 권한 및 접근제어 등을 관리할 수 있는 기능으로, IAM 사용자란 IAM 서비스를 통해 특정 권한을 부여받은 사용자를 의미합니다. IAM은 최소권한 부여를 원칙으로 하기에, 계정 정보가 유출되더라도 Root 계정이 유출됐을 때와 달리 민감 정보를 보호할 수 있습니다. 다만, 사용자가 여러 명일 때 IAM 계정이 공유되면 보안성이 취약해질 수 있기에 한 명의 사용자에게 하나의 IAM계정을 부여할 것을 권장합니다.

2) MFA 인증

MFA(Multi Factor Authentication)서비스는 계정에 액세스 할 때 최소 2가지 이상의 인증을 받게끔 한 액세스 제어 방식입니다. 은행에서 인터넷 뱅킹 로그인 시 보안 강화를 위해 OTP를 이용하는 것처럼 AWS도 보안성 강화를 위해 MFA 기능을 지원하는데요, USB와 같은 물리장비를 통해 해당 서비스를 이용할 수도 있지만, Google OTP와 같은 소프트웨어를 통해서 이용할 수도 있기에 간편한 방식으로 보안을 강화할 수 있습니다.

☁Team vaCANCY☁는 스타트업들이 어떻게 하면 클라우드를 잘 운용하고, 이익을 취할 수 있을 지 고민하는 팀입니다. 이번 글 이외에도 클라우드와 관련해 다양한 고민을 가진 스타트업들에게 더 많은 도움을 드리고 싶습니다.

☕ 커피챗을 요청하시면 클라우드에 관한 질문과 고민에 대해 전문가가 답변해드리고 있습니다. 또한, MSP 컨설팅 비용이 부담스러운 스타트업들을 위해 무료로 컨설팅도 도와드리고 있습니다. 부담 없이 커피챗 신청해주세요. 같이 이야기를 나누고, 함께 성장하길 바랍니다.

 “We make cloud industry light!”

 vaCANCY 커피챗 신청 링크: <https://tally.so/r/woD4Ve>