Current Issue

클라우드 컴퓨팅 서비스는 개발 환경, 연산 및 저장 자원, 서비스 인프라 등을 인터넷을 기반으로 제공하는 서비스로, 인프라를 구축하고 유지보수하는 비용을 절약할 수 있고 각종 자원 증·감축이 편리하다는 장점이 있다. 또한, 대규모 연산 자원을 지원하는 대형 클라우드 서비스 공급업체가 늘어남에 따라 연산 자원이 크게 요구되는 인공지능, 빅데이터, 블록체인 기반 서비스 구축에 많이 활용되고 있다. 이에 따라 최근 정부에서는 신속·유연성 제공, 운영비 절감 등을 목표로 행정·공공기관의 정부 서비스를 클라우드로 전환하는 ‘공공 클라우드 전환사업’을 시행하고 있다[1].

하지만 공공기관과 민간기업의 클라우드 컴퓨팅 서비스에 대한 의존도가 높아짐에 따라 계정 탈취, 데이터 유출, 서비스 마비, 자원 도용(불법 암호화폐 채굴) 등의 보안사고 발생 빈도가 급격히 증가하고 있다. 보안 업체인 체크포인트의 Cyber Security Report 2023[2]에 따르면, 클라우드 서비스에 대한 사이버 위협은 지난 1년간 48% 증가하였다. 이에 따라 국내에서는 최근 안전한 클라우드 컴퓨팅 서비스 도입 환경 구성을 위한 법률[3]과 보안 인증제도[4],[5]를 시행하고 있다. 하지만 클라우드 컴퓨팅 서비스 도입 환경에서 사이버위협 예방을 위한 보안 강화도 중요하지만, 보안사고 발생 시 피해확산과 사고 재발을 방지하기 위해서는 보안사고 조사 및 대응을 위한 적절한 절차와 방안이 필요하다[6].

보안사고에 대한 포렌식 조사 시, 클라우드 컴퓨팅 서비스 도입 환경은 서버 인프라를 자체적으로 구축하고 보유하는 기존 온프레미스 환경과 달리 인프라와 서버 구동 환경에 관한 데이터 통제권이 이용자가 아닌 클라우드 컴퓨팅 서비스 제공 업체가 갖는다. 이에 따라, 클라우드 컴퓨팅 인프라를 구성하는 하드웨어에 접근을 통한 물리적인 데이터 획득은 클라우드 컴퓨팅 서비스 공급자(Cloud Service Provider, CSP)의 개입이 필요하다. 하지만 클라우드 컴퓨팅 서비스 공급자(이하 CSP)의 협조를 기대하기 어렵고[7], CSP가 협조하더라도 다중 국가에 서버 인프라가 분산된 대규모의 국외 클라우드 컴퓨팅 서비스의 경우 보안사고와 관련한 데이터가 국외에 위치한다면 물리적인 데이터 획득은 사건의 유형에 따라 해당 국가의 협조가 요구될 수 있다는 제약이 있다. 하지만 기존 클라우드 보안사고 포렌식 절차는 CSP가 협조한다는 가정하에 인프라의 물리적 데이터 수집과 조사를 고려[8]-[11]하거나 인프라 측면의 조사를 배제[12]하고 있어 사고 발생 시 실제적인 적용이 어렵다. 일부 연구에서는 테넌트의 활동 기록을 반영[13]하였으나, 테넌트의 궁극적인 목적의 서비스를 이용하는 최종 사용자에 관한 조사나 실제적인 적용에 관한 분석이 포함되어야 한다.

따라서, 본 논문에서는 CSP의 협조를 기대하기 어렵더라도, CSP가 사용자에게 제공하는 인스턴스 생성·접근·사용 로그, 리소스 관련 API·SDK 사용 로그 등 인프라 자원의 이용에 관한 이벤트 기록을 기반으로 인프라 측면을 포함한 클라우드 컴퓨팅 서비스 보안사고 포렌식 프레임워크를 제안한다. 클라우드 컴퓨팅 서비스는 물리적인 인프라 자원을 인터넷 계정에 따라 논리적으로 구분하고 가상화하여 서비스한다. 일부 CSP는 사용자가 서비스 관리와 보안 모니터링을 수행할 수 있도록 사용자의 계정이 관여하는 논리적인 영역에 한정하여 클라우드 컴퓨팅 인프라 이벤트 기록을 제공하고 있다. 이는 보안사고 발생 시, 사고 발생 원인과 경위를 파악하고 책임 소지의 판단이나 악의적으로 사고를 일으킨 가해자를 추적할 때 정황 증거나 직접 증거를 수집하는 단서로 활용될 수 있다.

본 논문에서는 클라우드 컴퓨팅 서비스의 데이터 주체와 서비스 관점에서 보안사고 발생 시 조사 대상을 정의하고 Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (SaaS), Desktop as a Service (DaaS)의 클라우드 서비스 유형에 따른 조사 대상을 분류한다. 그리고 이를 기반으로 클라우드 서비스 유형 및 조사대상 범주 식별, 조사 대상의 데이터 접근 권한 식별 및 필요 권한 요청, 조사 대상별 관련 데이터 수집, 수집 데이터 분석, 사고 보완 조치 및 재발 방지 대응의 5단계로 구성된 클라우드 컴퓨팅 보안사고를 조사하는 프레임워크를 제안한다. 또한, 제안하는 프레임워크의 실제적인 적용 가능 방안을 확인하기 위해 국내 상용 클라우드인 네이버 클라우드에서 웹 서비스 환경을 구성하고 포렌식 조사를 위해 필요한 인증 정보 및 권한 확인, 서비스 가용에 따른 데이터 수집 및 분석을 수행할 결과를 제시한다.

본 논문에서 제안하는 프레임워크는 실제 조사 상황을 반영하여 Cloud Service Provider(CSP)의 협조 요청 필요성과 협조 여부를 고려하고 이에 따른 조사 절차를 구분함에 따라, 기존 클라우드 컴퓨팅 포렌식 프레임워크에 관한 연구와 차별성을 갖는다. 그리고 클라우드 컴퓨팅 서비스를 도입하여 제공하는 실제 서비스에 중점을 두고, 조사 대상 구분과 클라우드 서비스 유형의 특성을 고려한 조사 대상 범주를 설정함에 따라 클라우드 컴퓨팅 서비스 자체만을 범주로 하는 기존 연구보다 확대된 프레임워크를 제시한다.

본 논문은 2장에서 보안사고 조사 대상 유형을 정의하고 클라우드 컴퓨팅 서비스 유형별 조사 대상을 분석한다. 3장에서 제안하는 클라우드 컴퓨팅 서비스 보안사고 포렌식 프레임워크에 대해 설명하고, 4장에서 Naver Cloud의 Cloud Activity Tracer 분석을 통해 제안하는 클라우드 컴퓨팅 서비스 보안사고 포렌식 절차의 적용 가능성을 확인한다. 그리고 5장에서 결론으로 마무리한다.

국가·공공기관과 민간기업에서 클라우드 컴퓨팅 서비스는 해당 기관에서 특정 서비스(기능)를 고객이나 내부 직원에게 제공하기 위해 활용하기 위해 도입될 수 있다. 즉, 특정 서비스 구축을 클라우드 컴퓨팅 서비스의 인프라를 이용하는 것으로 국가·공공기관과 민간기업은 클라우드 컴퓨팅 서비스 이용자이면서 특정 서비스를 공급하는 공급자이다. 그리고 클라우드 컴퓨팅 서비스의 인프라를 기반으로 하는 궁극적인 서비스의 최종 이용자는 국민, 고객, 내부 직원이다. 이에 따라, 본 논문에서는 보안사고 발생 시, 관련 데이터의 주체와 서비스의 제공·이용 관점에 따라 그림 1과 같이 조사 대상 유형을 클라우드 서비스 공급자 (CSP), 클라우드 서비스 이용자 (CSU), 최종 사용자 (EU)로 정의한다. 그림 1의 각 조사 대상 유형에 대한 설명은 다음과 같다.

• - Cloud Service Provider (CSP): 클라우드 컴퓨팅 플랫폼을 구축하여 인프라, 애플리케이션 및 스토리지, 데스크톱, 개발 환경 등의 서비스를 제공하는 자(또는 업체). 클라우드 서비스 인프라 자체에 관련한 데이터의 권한 및 통제권 소유
• - Cloud Service User (CSU): 호스팅한 클라우드 컴퓨팅 자원을 기반으로 특정 목적의 서비스를 구축하고 최종 이용자에게 궁극적인 최종서비스를 제공하는 자(테넌트). 특정 목적의 서비스 구동에 관한 데이터 권한 및 통제권 소유
• - End User (EU): 클라우드 컴퓨팅 인프라를 기반으로 제공되는 특정 목적의 서비스를 직접 사용하는 최종 이용자. 특정 목적의 서비스에 기반이 되는 데이터(리소스)의 권한과 통제권 소유

Fig. 1. 
Types of investigation targets for cloud computing service incident investigation

클라우드 컴퓨팅은 지원하는 서비스의 형태에 따라 Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (SaaS), Desktop as a Service (DaaS)의 4가지 유형으로 분류할 수 있다[14]. 각 클라우드 서비스 유형은 플랫폼의 지원 범위와 목적이 각각 다르므로 포함하는 조사 대상의 범위와 각 조사 대상에 수집해야 하는 데이터의 종류가 다르다. 본 논문에서 클라우드 컴퓨팅 서비스 유형에 따른 특성과 이를 기반으로 지정한 조사 대상 범위는 표 1과 같다.

표 1에서 IaaS는 이용자가 가용할 수 있는 서비스 범주가 가장 큰 유형으로 모든 조사 대상 유형을 포함한다. 반면, SaaS, DaaS는 CSP가 모든 자원과 서비스 인프라를 구축하고 제공하는 서비스 자체가 곧 궁극적인 서비스이므로 조사 대상으로는 EU와 CSP만 포함한다. PaaS의 경우, 궁극적인 서비스를 개발할 수 있는 플랫폼을 제공하는 유형으로 개발한 서비스(제품)을 구동하는 환경은 클라우드 환경이 아닐 수 있다. 이에 따라, 최종 이용자(EU)는 조사 대상 범주에서 제외한다.

본 장에서는 2장에서 정의한 조사 대상과 클라우드 컴퓨팅 서비스 유형에 따른 조사 대상 범위를 기반으로 클라우드 컴퓨팅 보안사고 포렌식 프레임워크를 제안한다. 본 논문에서 제안하는 (1) 클라우드 서비스 유형 및 조사 대상 범주 식별, (2) 조사 대상의 데이터 접근 권한 식별 및 필요 권한 요청, (3) 조사 대상별 관련 데이터 수집, (4) 수집 데이터 분석, (5) 사고 보완 조치 및 재발 방지 대응의 5단계로 구성된 클라우드 컴퓨팅 보안사고 포렌식 프레임워크는 그림 2와 같다. 그리고 그림 2의 각 단계에 대한 설명은 다음과 같다.

Fig. 2. 
Proposed forensic framework for cloud computing service security incidents

본 장에서는 국내 상용 클라우드인 네이버 클라우드에서 웹 서비스를 구축하고, 제안하는 클라우드 보안사고 포렌식 프레임워크를 기반으로 포렌식 분석을 수행한 결과를 설명한다. 본 논문에서 분석을 위해 구성한 실험 환경은 그림 3과 같다.

Fig. 3. 
Configuration of the web service analysis environment based on Naver Cloud

4-1 조사 대상의 데이터 접근 권한 식별 및 필요 권한 요청 단계

그림 3의 네이버 클라우드 기반 웹 서비스는 클라우드 서비스 유형이 IaaS이고 조사 대상으로 CSP, CSU, EU를 모두 포함한다. 따라서 각 조사 대상에 대한 데이터 접근 범주를 확인하고 수집 및 분석을 위한 필요 권한와 인증 정보를 확보해야 한다.

먼저, 네이버 클라우드는 기본적으로 테넌트의 CPU, 메모리, 디스크, 네트워크 사용량에 대한 정보와 클라우드 플랫폼 내에서 수행한 인스턴스 생성, 공인 IP 할당, 서버 설치·삭제 등의 cloud activity 기록을 제공하므로 CSP의 협조를 우선적으로 요청할 필요는 없다.

CSU에서 리소스 사용 및 클라우드 활동 기록에 접근하기 위해서는 모든 권한을 소유하는 메인 계정이나 접근 권한을 소유하고 있는 서버 계정이 필요하다. 만약, 수사관이 네이버 클라우드에서 제공하는 API를 사용하여 데이터를 수집하려는 경우, API 인증키를 메인 계정을 통해 발급받거나 CSU에게 요청해야 한다. 또한, VPC 내 Webserver와 Database Server에 접근하여 서비스 관련 데이터를 수집하기 위해서는 각 서버에 접근·읽기 등의 권한을 가진 계정이 필요하다. 만약, 별도의 계정 관리를 하지 않았다면 관리자 계정이 필요하거나, 그림 4와 같이 네이버 클라우드에서 서버를 생성할 때 자동으로 설정하는 관리자 계정에 대한 정보를 수집하기 위한 테넌트의 인증키가 필요하다.

Fig. 4. 
Authentication key input interface for server access and data collection in a Naver cloud tenant

^*Figures are shown in the language supported by the target system, as they are based on actual screenshots captured during system operation.

EU에서는 웹 브라우저를 이용한 서비스 이용 관련 데이터에 대한 수집이 필요하므로 웹 브라우저를 실행한 디바이스의 접속 계정이 필요하거나 물리적인 수집을 위해 디바이스 자체가 필요하다.

네이버 클라우드 기반 웹 서비스 조사를 위해 각 조사 대상별로 관련 데이터와 필요 권한을 정리하면 표 3과 같다.

Table 3. 
Relevant data and required privileges by investigation target for forensic investigation in a Naver Cloud deployment environment

Target type	Related data	Required privileges
Cloud service user (CSU)	- Creation and access history of database servers and web servers, and usage records of related services - CPU, memory, and disk usage history - Artifacts related to the internal OS and file systems of database servers and web servers	- Naver Cloud tenant master account or privileges to access Cloud Activity and resources - Naver Cloud API authentication key - Privileges to access internal data such as the OS of database servers and web servers, or administrator account and authentication key (.pem)
End user (EU)	- Service access and usage logs of the web server	- Access privileges to the device running the web browser - Access privileges to web browser data

4-3 조사 대상별 관련 데이터 분석 단계

본 논문에서는 콘솔을 통해 레코드 단위로 수집한 네이버 클라우드의 3가지 로깅 서비스 데이터를 분석하였다. 그림 3의 데이터베이스 서버와 웹 서버를 주요 범주로 일주일간 로깅된 CPU, GPU, Memory 등의 리소스 사용 데이터를 분석하였다.

Cloud Activity Tracer는 태넌트의 서비스 내에서 수행된 모든 작업 내역을 그림 5와 같이 로깅한다. 그림 5는 웹 서버의 Network ACL Rule을 변경하고 공인 IP를 해제 및 할당 후 기록된 로그로, 각 작업 내역에 관해 작업 일시, 계정 구분, 리전, 작업 결과, 작업이 수행된 인스턴스 종류 등이 로그에 기록되는 것을 확인할 수 있다. 그림 3에서 구성한 웹 서비스에서 인스턴스 생성·삭제, 공인 IP 발급·할당·삭제, Network ACL Rule 변경 등의 보안 및 서비스 관리에 직결되는 행위를 수행 후 Cloud Activity Tracer 로그를 분석한 결과, 로그를 통해 관련 행위를 식별할 수 있었다. 이는 보안사고 발생 시 사고 원인을 규명하는 과정에서 유의미하게 활용될 수 있다.

Fig. 5. 
Cloud activity tracer logs from Naver Cloud

^*Figures are shown in the language supported by the target system, as they are based on actual screenshots captured during system operation.

Basic Monitoring의 로그 데이터에서는 분석 결과, 각 서버별로 CPU, GPU, Memory, Disk, Network 등 클라우드 자원의 시간에 따른 사용량에 대한 정보를 확인할 수 있었다. 이러한 기본 리소스 사용 모니터링 데이터는 급격한 자원 사용량 증가 시점, 네트워크 통신량 증가 시점을 확인하여 이상 발생 시점 및 상세 분석 지점을 파악하는 데 도움이 될 수 있다.

유료로 제공되는 Cloud Insight 서비스로 로깅된 데이터에서는 인스턴스 서버 내 프로세스 ID·이름·상태, 프로세스의 스레드 개수 변화, MAC/IP address 등의 정보를 확인할 수 있었다. 이뿐만 아니라 시스템의 CPU 사용 비율, 메모리 사용 비율, 메모리 페이지 In·Out 정보 등의 리소스 사용에 관한 상세한 변화가 로깅되는 것을 확인하였으며, 확인한 데이터는 보안사고 경위를 위한 행위를 식별하고 검증할 때 유용하게 활용될 가능성이 높다.

표 4는 Cloud Activity Tracer, Cloud Insight, Basic Monitoring(접속 경로: VPC/Server)의 로그 데이터 분석을 통해 식별할 수 있었던 사용자 행위를 나타낸다.

Table 4. 
User activities identified in Naver Cloud logs

Data name	Identifiable activity
Cloud activity tracer log	- Create/Login/Delete account - Create/Update/Delete VPC - Create/Update/Delete Server - Decryption/Reset Root Password - Create/Update Route Table - Create/Update/Delete Subnet - Create/Delete NW Interface - Create/Update/Delete AGC - Create/Update/Delete NWACL - Attach/Diassociate Public Domain/IP - Create/Delete Public IP - Subscribe To [Service name]
Cloud insight log	- CPU/IO wait ratio - CPU/interrupt ratio - CPU/system ratio - CPU/used ratio - MEMORY/page in·out - MEMORY/shared memory - MEMORY/swap - MEMORY/used memory - PROCESS/process ID·name·state - PROCESS/parent process ID - PROCESS/threads count - PROCESS/ps memory used ratio - SERVER/file system inodes used ratio - SERVER/disk write bytes average - SERVER/CPU interrupt ratio average - NETWORK/NIC MAC·IP address - NETWORK/send·receive packets per sec
Basic monitoring (VPC/server) log	- CPU used - Memory used - Disk used - Swap Used - Network In·Out - Disk Read·Write

본 논문에서는 클라우드 컴퓨팅 서비스 도입 환경에서 보안사고 발생 시 포렌식 조사를 위해, 데이터 주체와 서비스 관점에서 조사 대상을 정의하고 클라우드 컴퓨팅 서비스 유형에 따른 분류와 특징을 정리하였다. 그리고 이를 기반으로 한 클라우드 컴퓨팅 서비스 보안사고 포렌식 조사 프레임워크를 제안하였다. 그리고 국내 상용 클라우드 서비스인 네이버 클라우드에서 웹 서비스 환경을 구축하고 제안하는 클라우드 컴퓨팅 서비스 보안사고 포렌식 조사 프레임워크에 따라 분석을 수행함으로써 실제적인 적용에 대한 분석 결과를 보였다.

제안한 프레임워크는 Cloud Service Provider(CSP)의 협조를 기본 전제하는 것이 아닌, 협조 요청 필요성과 협조 여부를 고려하고 이에 따른 조사 절차를 구분함에 따라, 기존 클라우드 컴퓨팅 포렌식 프레임워크보다 실질적 조사 상황을 고려하였다. 이는 CSP 협조 여부에 의존하지 않는 유연한 조사 절차로 현실적인 제약 환경에서도 조사의 일관성을 확보할 수 있을 것으로 기대된다.

또한, 클라우드 컴퓨팅 서비스 자체만을 범주로 하는 기존 연구와 달리, 본 프레임워크는 클라우드 컴퓨팅 서비스를 도입하여 제공하는 실제 서비스까지 범주를 확대하고 실제 서비스의 최종 사용자까지 조사 범주에 포함한다. 이에 따라, 다양한 출처의 증거를 통합적으로 분석함에 따라 행위 간 인과관계 및 보안사고 발생 과정을 보다 정밀하게 재구성할 수 있고, 전반적인 포렌식 분석의 신뢰성과 정확도를 향상시킬 수 있다.

클라우드 컴퓨팅 서비스 도입 환경에서 보안사고 발생 시, 본 논문에서 제안하는 절차와 같이 CSP, CSU, EU에 대한 종합적인 분석이 정상적으로 수행하기 위해서는 대상 클라우드 서비스 환경의 인증 체계와 데이터 관리에 대한 이해를 기반으로 필요 권한과 인증 정보(비밀키), 계정 정보에 대한 사전 준비나 협의가 원활하게 수행되는 것이 중요하다. 특히, 법집행기관의 수사 관점에서 사고조사를 위한 준비 단계에서 필요한 정보 제공을 강제해야 할 경우 대상 클라우드 서비스 환경에 대한 사전 이해나 분석이 필요하다. 이에 따라 향후 제안하는 클라우드 보안사고 포렌식 조사 프레임워크를 기반으로 한 여러 클라우드 컴퓨팅 서비스에 대한 포렌식 분석 연구를 수행하고자 한다.