[GCP 보안 운영 시리즈 ] Google Cloud 보안은 Security Command Center에게

Security Command Center, Google Cloud 자산의 보안성을 제공

온-프레미스 환경에서 보안 모니터링은 개별 자산의 취약점을 점검하는 취약점 스캐너, 웹 애플리케이션 취약점 스캐너에서 위협 정보를 추출하고 분석합니다. 방화벽, 웹방화벽, IDS/IPS와 같은 네트워크 보안 장비 역시 동일한 목적으로 로그를 분석하게 됩니다.  이 과정에서 보안 담당자는 다양한 이기종 장비를 접하게 되고 각 장비의 특성을 파악한 후에 보안 업무에 적용해야 합니다. 아무리 숙련된 보안 담당자라도 환경에 익숙해지기에는  많은 시간을 들여야 합니다.  

클라우드 운영환경이더라도 온-프레미스와 크게 다르지는 않습니다. 하지만 클라우드와 온-프레미스가 똑같은 TCP/IP를 사용하고 방화벽을 동일하게 운영한다고 하더라도 실제 적용 방법에는 차이가 있습니다.

온-프레미스 환경은 운영 자유도가 높아서 다양한 보안 정책 적용이 용이합니다.  개별 보안 장비들도 많은 보안 기능을 제공해서 관리자에게 편리함을 제공합니다. 그러나 클라우드 환경은 네트워크, 컴퓨팅, 데이터베이스 등 모든 전산 자원을 클라우드 사업자가 제공합니다. 이 과정에서 보안 관리자는 온-프레미스 환경과는 다른 운영 환경을 경험하게 됩니다. 관리자는 온-프레미스 환경과 달리 클라우드 환경에서 제공하는 기능만으로 최대한의 보안성을 확보해야 합니다.

이러한 어려움을 극복하기 위해서 Google Cloud는 Security Command Center라는 클라우드 통합 위협 관리 도구를 제공합니다. 이미 Google Cloud는 다양한 보안 기능과 제품을 제공하고 있습니다. Security Command Center는 개별 보안 기능이 아니라 고객이 Google Cloud에서 운영중인 모든 자산의 보안 현황을 점검하고 취약점 제거 방안 등을 제시한다는 점에서 Google Cloud의 개별 보안 제품과는 다른 서비스를 제공하고 있습니다. 

Security Command Center 기능 이해

Security Command Center는 표준 등급(Standard Tier)과 프리미엄 등급(Premium Tier)로 구분하여 Google Cloud 조직 수준에서 서비스를 제공합니다.  조직 수준이라는 의미는 Security Command Center를 운영하기 위해서는 Google Cloud의 자원 관리 최상위 수준인 조직(Organization)을 반드시 구성해야 한다는 의미입니다. 

표준 등급과 프리미엄 등급의 차이는 아래 그림에서 확인할 수 있습니다. 

표준 등급은 자산 가시성 확보, 환경 설정 오류의 High 등급 항목의 점검이 가능합니다. 또한 수동으로 Cloud 웹 스캐너를 사용할 수 있습니다. 표준 등급은 비용이 발생하지 않으므로 모든 고객이 편리하게 사용할 수 있습니다. 

프리미엄 등급은 표준 등급의 모든 기능을 포함하며 다음과 같은 추가 기능을 제공합니다. 표준 등급에서는 환경 설정 오류의 High 등급만을 목록화했지만 프리미엄 등급에서는 Medium과 Low를 포함한 모든 등급을 평가하고 나열합니다. Security Command Center가 탐지하는 전체 환경 설정 오류 목록은 이곳에서 확인하실 수 있습니다. 

자원에서 발생하는 로그를 분석하여 위협을 탐지(ETD, Event Threat Detection)하고 Google Kubernetes Engine에서 공격 행위를 탐지하고 이를 관리자에게 통보합니다. 해외 주요 보안 컴플라이언스(ISO 27001, PCI DSS v3.2.1 등)에 기반한 평가 결과를 보고서 형식으로 제공합니다. 이 보고서를 기반으로 운영환경의 취약성을 판단할 수 있습니다. 

표준 등급에서 수작업으로만 지원했던 Cloud  웹 스캐너는 자동 서비스로 전환하여 제공합니다. 프리미엄 등급에서 웹 스캐너는 조직 수준에서 신규 웹서비스를 자동으로 탐지하고 스캔 결과를 제공합니다.  

Cloud 환경에서 가장 중요한 가상머신 보안 기능인 Virtual Machine Threat Detection이 추가됩니다. Google Cloud에서 발간하는 위협 보고서인 Threat Horizons(Nov. 2021)에 따르면  공격자들이 사용자 계정을 탈취 한 후 Cloud 환경에서 다양한 악성 행위를 실행하는 것으로 나타났습니다.  타 서버 공격, 타 네트워크 스캐닝, 스팸 메일 전송 등이 있지만 월등히 높은 비율은 암호화폐 채굴 프로그램을 가동하는 것입니다. 

공격자의 주된 목표가 온-프레미스 환경에서는 기업이 소유한 민감 정보를 탈취하는 것이라면 Cloud 환경에서는 가용한 자원을 탈취하는 것이 공격자의 주요 목표라는 것을 알 수 있습니다. Cloud에서 공격자의 자원 무단 점유 및 사용은 브랜드의 신뢰도 하락과 추가 과금으로 이어지므로 가상 머신 보안을 중요하게 생각해야 합니다.

Security Command Center는 이러한 악성 행위 탐지를 위해서 가상머신 위협 탐지(VMTD, Virtual Machine Threat Detection) 기능을 제공합니다. 사용자가 생성한 가상머신에서 암호화폐 채굴 프로그램이 동작하는 경우 즉시 이를 사용자에게 알리고 제거할 수 있도록 정보를 제공합니다. 

Security Command Center 시작하기

사용자가 Security Command Center를 최초에 가동시키면 운영하는 리소스 규모에 따라 점검 결과 시간이 달라집니다. 일반적으로 사용자의 약 99%가 서비스를 사용 설정한 후 4시간 이내에 결과를 확인할 수 있습니다. 이 수치는 평균적인 사용자 환경의 통계를 기반으로 도출됐지만, 몇몇 요인으로 인해 초기 스캔 결과가 더 오래 걸릴 수도 있습니다. 만일 사용자 조직 하위에 100,000개가 넘는 프로젝트가 존재한다면 사용 설정 및 초기 스캔을 완료하는 데 최대 24시간 이상이 걸릴 수 있습니다. 

[그림 3]은 Security Command Center의 온보딩 절차를 설명하는 그림입니다.

취약점 스캔이 시작되기 전에 Security Command Center는 Google Cloud 조직에 속한 개별 리소스를 검색하고 색인을 생성합니다. 색인은 App Engine, BigQuery, Cloud SQL, Cloud Storage, Compute Engine, ID 및 액세스 관리, Google Kubernetes Engine과 같은 서비스를 포함합니다. 이 온보딩 프로세스에서는 다음의 두 가지 주요 단계를 진행합니다. 

자산 스캔

Security Command Center는 초기 자산 스캔을 수행하여 프로젝트, 폴더, 파일, 클러스터, ID, 액세스 정책, 등록된 사용자, 기타 리소스의 총 개수, 위치, 상태를 식별합니다. 이 프로세스는 일반적으로 몇 분 안에 완료됩니다.

API 활성화

리소스가 검색되면 Security Command Center에서 Google Cloud의 Security Health Analytics, Event Threat Detection, Container Threat Detection, Web Security Scanner 작동에 필요한 부분을 지원합니다. 일부 서비스의 경우 보호 프로젝트가 작동하려면 특정 API를 사용 설정해야 합니다. API 활성화란 스캔을 위해 선택한 프로젝트를 반복하고 API를 자동으로 사용 설정하는 프로세스입니다. 대부분의 조직에서는 4시간 안에 온보딩 및 사용 설정을 완료합니다. Security Command Center가 두 단계를 완료하면 자산의 취약점을 본격적으로 스캔하고 이를 사용자에게 알리게 됩니다.  

활성화 이후 온보딩 절차가 완료되면 사용자는 Security Command Center가 탐지한 취약점을 인지하고 제거하는 과정을 통해서 Google Cloud 보안성을 확보하고 강화할 수 있습니다.  지금까지 Security Command Center의 기능적인 개요와 온보딩 절차를 살펴보았습니다.  다음 글에서는 Security Command Center의 상세 기능을 살펴보도록 하겠습니다.