복수의 퍼블릭 클라우드 사용이 일상화된 현재, 클라우드 운영에서의 ‘보안’은 반드시 필요한 요소로 꼽히고 있다. 프라이빗 클라우드는 온프레미스 시스템 운영과 크게 다르지 않지만, 퍼블릭 클라우드는 각각 다른 클라우드 사업자의 서비스를 기업 내에서 중앙통제 해야하기 때문에 API 연동, 로그 수집, 보안이벤트 관리, 사용자·단말·네트워크 통제 등이 쉽지 않다. 또한 관리조직이 파악하지 못하는 섀도우 클라우드가 발생하기 쉽기 때문에 정책을 따르지 않는 클라우드 사용을 제한해야 한다. 클라우드 보안운영을 위한 기술을 정리해본다.<편집자>
승인되지 않은 디바이스서도 안전한 클라우드 접근
클라우드와 보안에 올인하고 있는 시스코는 ‘클라우드락’의 경쟁력을 연일 강조하면서 시장선도를 위해 노력하고 있다. 클라우드락은 API 기반 통제 기술을 제공하며, 사용자의 행동을 분석하고(UEBA), SaaS 내부 민감한 데이터 트래킹과 관리를 제공하고 보안 정책을 적용할 수 있다.
클라우드락의 장점은 보호되지 않은 디바이스에서 SaaS 애플리케이션으로 접속할 때에도 보호할 수 있다는 것이다. 오피스365와 클라우드락을 연동하면, 사용자의 ID/PW를 입력하고 승인하면 10분 내에 적용할 수 있다. 이 때 MS와 연동에 관한 협의를 할 필요가 없다.
IBM의 ‘클라우드 시큐리티 브로커’도 API 방식을 채택하며, 직원이 사용할 수 있는 애플리케이션 리스트를 제공한다. 직원은 여기에서 제공하는 앱만을 이용해 클라우드에 접속할 수 있도록 한다. 350여개의 엔터프라이즈 클라우드 애플리케이션에 접속할 수 있도록 지원하고 있으며, 지원 앱은 지속적으로 확대해 나갈 방침이다.
미국의 클라우드 보안(SECaaS) 서비스 기업 지스케일러는 CASB, SWG, URL 필터링, 샌드박스, 스파이웨어, 차세대 방화벽(NGFW) 등의 기능을 통합제공하면서 국내 고객에게 호평을 받고 있다. 국내 대표적인 글로벌 제조기업의 해외 전 사업장이 지스케일러를 사용해 클라우드 사용을 보호하고 있으며, 이외의 다른 대기업들도 지스케일러 사용 범위를 확대하면서 클라우드 확장 속도를 높이고 있다.
지스케일러를 국내에 공급하는 신우티엔에스의 박범준 대표는 “어플라이언스 타입의 보안 제품은 클라우드를 보호하지 못하며 SECaaS 모델이 적합하다. 어플라이언스로 클라우드를 보호하는 접근 방식은 이제 고객의 선택을 받지 못할 것”이라며 “클라우드 환경에서는 클라우드 접속과 사용자 행위, 위협 방어 등을 종합적으로 제공하는 지스케일러가 최적”이라고 강조했다.
한편 신우티엔에스는 자동인증로그인시스템 ‘실버레인 라이브서트(Silverrain Live Cert)’을 자체 개발, 간편하면서도 강력한 보안을 제공한다고 밝혔다. 라이브서트는 OTP를 반으로쪼개 한 쪽은 사용자가, 다른 한 쪽은 웹서비스가 갖는 방식을 사용하며, 공인인증서 의무화가 아닌 로그인, 본인인증 등의 프로세스에 사용될 수 있다.
클라우드에서도 본인의 ID만 있으면 비밀번호를 입력하지 않고 일회용 비밀번호를 사용할 수 있어 편리하며, 사용자에게 전송되는 일회용 비밀번호도 반쪽 뿐이기 때문에 키로깅으로 비밀번호를 가로챈다 해도 사용자 권한을 탈취할 수 없다.
경쟁 강화되는 CASB
CASB 시장이 빠른 성장을 보이면서, 이 시장에 진출하는 경쟁자는 더욱 늘어나고 있다. F5는 온프레미스와 클라우드를 연결하는 애플리케이션 커넥터에 CASB 기능을 추가했다고 설명했다. 퍼블릭 클라우드에 호스팅된 엔터프라이즈 애플리케이션 접근을 단순화해 애플리케이션이 필요로 하는 보안과 가용성 서비스를 제공한다.
애플리케이션 커넥터는 온프레미스의 보안 정책을 멀티 클라우드에 적용할 수 있는 기술로, 클라우드에 호스팅된 인스턴스를 자동으로 확인해 고객의 데이터센터나 또 다른 호스팅 사이트와 연결시켜준다.
조원균 F5코리아 지사장은 “CASB는 애플리케이션 커넥터의 일부 기능으로, 서로 다른 클라우드 서비스의 정책을 통일성 있게 관리할 수 있도록 함으로써 클라우드 관리를 일원화 한다”며 “퍼블릭 클라우드를 사용할 때 보안, 접근 정책을 다르게 하는 것이 어려운데, 애플리케잉션 커넥터를 사용하면 자동으로 클라우드 애플리케이션을 보여주고 통제 정책을 적용하도록 한다”고 말했다.
포티넷도 8월 ‘포티CASB’ 출시를 예고하며 클라우드 보안 전략을 강화한다. 포티CASB는 API 접근방식으로 제공되며, SaaS 제공자와 직접 연결된다. 현재 오피스365, 세일즈포스닷컴을 지원하며 지원 애플리케이션의 숫자는 지속적으로 늘려나갈 계획이다.
한편 포티넷은 프라이빗·퍼블릭 클라우드, 통신사 클라우드에서 요구되는 성능과 확장성을 제공할 수 있는 클라우드 보안 솔루션을 대거 출시하고 시장 공략에 나섰다. 새로운 포티넷 보안 패브릭에 모든 하이브리드 인프라를 포티넷이 제공하는 단일창에서 관리할 수 있는 ‘포티뷰(FortiView)’가 추가됐다. 포티뷰는 온프레미스 보안 시스템과 AWS 등 퍼블릭 클라우드의 보안 서비스를 동시에 관리할 수 있는 제품이다.
포티넷은 미국 AT&T 플렉스웨어(FlexWare) 서비스, 버라이즌 브이시큐리티(vSecurity) 서비스에 가상화된 고객 사업장내 장비(vCPE) 솔루션으로 채택됐으며, 국내 통신 사업자의 BMT 시험 기준을 통과하고 국내 시장을 공략하고 있다. 이와 함께 vCPE 전용 솔루션 ‘포티하이퍼바이저(FortiHyperVisor)’ 장비를 출시했다. 이 제품은 하드웨어 ASIC 가속 기술을 적용했으며, SD-WAN 기술이 탑재됐다.
배준호 포티넷코리아 이사는 “포티넷의 시큐리티 패브릭은 오픈API로 제공되고 있으며, 시스코, HP 등 패브릭 파트너의 API를 포티뷰 대시보드에 추가해 사용할 수 있다. 온프레미스 보안장비와 프라이빗·퍼블릭 클라우드를 각각 관리하는 문제를 해결해 줄 수 있다”며 “국내에서도 엔터프라이즈와 클라우드 사업자, 대규모 보안관제 사업자도 단일창 관리가 가능한 보안 패브릭에 관심을 갖고 있다”고 말했다.
