복수의 퍼블릭 클라우드 사용이 일상화된 현재, 클라우드 운영에서의 ‘보안’은 반드시 필요한 요소로 꼽히고 있다. 프라이빗 클라우드는 온프레미스 시스템 운영과 크게 다르지 않지만, 퍼블릭 클라우드는 각각 다른 클라우드 사업자의 서비스를 기업 내에서 중앙통제 해야하기 때문에 API 연동, 로그 수집, 보안이벤트 관리, 사용자·단말·네트워크 통제 등이 쉽지 않다. 또한 관리조직이 파악하지 못하는 섀도우 클라우드가 발생하기 쉽기 때문에 정책을 따르지 않는 클라우드 사용을 제한해야 한다. 클라우드 보안운영을 위한 기술을 정리해본다.<편집자>
CASB는 클라우드 접속과 사용에 대한 가시성을 제공하는 솔루션으로, 클라우드에 접속하는 사용자와 애플리케이션, 공유되는 파일의 중요도와 보안정책 준수 여부 등을 통제한다. 예를 들어 MS 오피스365를 사용한다면 권한접근제어(IAM)와 같은 솔루션으로 불법적인 접속을 막을 수 있지만, 오피스365 내에서 편집을 하거나 보안 정책을 위배하는 공유 등을 제어하지는 못한다. CASB는 클라우드 접속 통제 뿐 아니라 SaaS 애플리케이션 내에서 일어나는 행위 통제와 컴플라이언스 등을 종합적으로 제공한다.
서종렬 시만텍코리아 상무는 “CASB는 조직과 클라우드를 중재하고, 사용자와 관리자를 통제하며, 애플리케이션의 가치와 중요도에 따라 권한접근제어, 편집·공유 제어, 규제준수 등을 만족시켜야 한다”며 “국내에서도 세일즈포스닷컴, 구글 앱스, MS 오피스365, 드롭박스와 같은 퍼블릭 클라우드를 사용하는 기업이 늘어나면서 CASB 시장도 서서히 달아오르고 있다”고 말했다.
CASB는 2012년부터 주목받아왔으며, 엘라스티카, 스카이하이네트웍스, 사이퍼클라우드, 클라우드락, 넷스코프 등이 전문기업으로 성장해왔다. 퍼블릭 클라우드 확산과 함께 CASB 시장도 급성장하게 되면서 2016년 가트너가 이 시장을 본격적으로 분석해 보고서를 발표하게 됐으며, 핵심 경쟁사들이 전문기업을 인수하거나 자체 개발 제품으로 이 시장에 뛰어들었다.
대표적으로 블루코트(현 시만텍)가 엘라스티카를 인수하고, 시스코가 클라우드락을 인수하며 CASB 역량을 강화하고 있으며, IBM은 자체개발한 CASB 솔루션으로 클라우드 보안 시장을 공략하고 있다. 포스포인트는 임퍼바의 스카이펜스를 인수하고 자사의 중요정보 유출방지(DLP) 솔루션과 통합해 강력한 클라우드 통제를 제공한다고 밝혔다.
CASB, 가시성·위협방어 기능 갖춰야
CASB는 프락시 방식과 API 방식으로 나뉜다. 프락시 방식은 구축이 까다롭고 속도에 영향을 미칠 수 있지만 정책을 세밀하게 제어할 수 있다. 반면 API 방식은 구축과 운영이 용이하지만 지원하는 SaaS 애플리케이션이 제한돼 있다. 대표적인 프락시 방식이 시만텍(블루코트)의 ‘엘라스티카’이며, API 방식은 IBM의 ‘클라우드 시큐리티 브로커’이다. 최근에는 각 진영에서 상대의 기술을 접목시켜 고객 환경에 맞는 방식을 선택하거나, 두 방식을 혼용해 보안을 더욱 강화할 수 있도록 한다.
CASB의 주요 기능은 SaaS 애플리케이션과 사용자 제어, 보안위협 방어 등이며, 가트너는 CASB의 4가지 주요 기능을 다음과 같이 설명했다.
▲가시성: 섀도우 IT와 허용된 애플리케이션 컨트롤 파악. 통합 클라우드 서비스 사용량, 사용자의 데이터에 접근한 디바이스와 장소 정보 제공
▲규정 준수: 데이터 레지던스와 법규, 표준에 대한 컴플라이언스 준수. 클라우드 사용 용도 확인. 특정 클라우드 서비스 리스크 확인
▲위협 방어: 원하지 않는 디바이스, 사용자, 클라우드 서비스에 접근하려는 앱으로 부터 보호. 위협 인텔리전스와 멀웨어 인식에 따른 사용자와 개체의 행위 분석(UEBA)
▲데이터 보안: 원하지 않는 데이터 분류, 카테고리 저장, 조회를 방지하는 데이터 중심 보안 정책 실행. 민감 데이터에 접근하는 사용자 행위 모니터링, 권한 상승 모니터링. 감사, 경고, 차단, 격리, 삭제, 암호화, 토큰화(자료정리: 시스코코리아)
시만텍의 엘라스티카는 보안 웹 게이트웨이(SWG), DLP, SSL 가시성, APT 방어 솔루션, 위협 인텔리전스 등 시만텍의 보안 솔루션과 연동해 온프레미스-클라우드를 아우르는 보안 전략을 제공할 수 있도록 한다. 인수 초기에는 프락시 방식으로 제공됐지만, 지금은 API 방식도 지원해 고객 환경에 맞는 구성으로 제공할 수 있도록 한다.
또한 시만텍은 클라우드 및 외부 기관과 협업할 때 문서의 안전한 유통을 지원할 수 있는 ‘ICE(Information Centric Encryption)’도 제안한다. ICE는 데이터를 클라우드 혹은 외부로 전송할 때 발신인이나 데이터 통제 권한을 가진 관리자의 승인을 받도록 한다. 외부에서 열람하는 데이터의 열람 횟수, 기간 등을 통제할 수 있다.
다중인증 기술 ‘VIP’를 연동하면 클라우드 통제를 더욱 강화할 수 있다. VIP는 온사이트·클라우드 전반에서 액세스 정책을 적용할 수 있으며, 모든 SaaS 애플리케이션에 SSO 포털을 제공해 로그인을 간소화 할 수 있다.
서종렬 시만텍코리아 상무는 “CASB는 클라우드 보안 플랫폼으로, 여러 보안 기능을 추가 탑재해 고객 환경에 맞는 보안 환경을 제공할 수 있어야 한다”며 “시만텍은 CASB 전문기업 엘라스티카의 기술에 블루코트의 웹·프락시 보안 기술, 그리고 시만텍의 데이터 보호 기술을 결합시켜 클라우드를 위한 통합 보안 플랫폼과 솔루션을 제공할 수 있다”고 말했다.
