[데이터넷] “고객 데이터를 보호하는 것은 구글 비즈니스의 핵심이기 때문에 어느 기업보다 방대한 투자를 진행하고 있다. 다른 클라우드 기업이나 일반 기업의 IT팀이 이루기 어려운 높은 수준의 보안을 제공한다. 이로써 구글을 이용하는 고객이 비즈니스와 혁신에 집중할 수 있다.”
구글 클라우드 아태 및 일본 지역 보안 및 네트워킹 스페셜리스트인 마크 존스톤(Mark Johnston) 총괄은 구글이 클라우드에 많은 투자를 진행한다고 강조하며, 구글 클라우드에 합류하게 될 ‘크로니클(Chronicle)’이 그 에라고 설명했다.
크로니클은 구글 지주사인 알파벳이 시작한 스타트업 인큐베이션 ‘프로젝트엑스’에서 시작한 것으로, 보안 원격측정 플랫폼을 통해 위협을 관리할 수 있도록 지원한다. 구글의 위협 인텔리전스 서비스 바이러스토탈과 결합해 클라우드에 제공되는 위협 데이터 풀을 개선하고 구글 클라우드 플랫폼(GCP)에서 실행되는 애플리케이션을 보호할 수 있게 된다.
마크 존스톤 총괄은 “오는 가을 크로니클이 구글 클라우드 합류를 완료하게 되면, 고객이 자신의 클라우드 환경과 전사적 환경 모두에서 위협을 더 신속하게 감지, 완화할 수 있는 엔드 투 엔드 보안 솔루션을 완성할 수 있다”며 “구글은 모든 고객에게 강력하고 종합적인 보안 포트폴리오를 제공할 수 있다”고 설명했다.
클라우드 보안 기술 발전 이끌어
구글이 발표하는 여러 클라우드 보안 기술이 실제로 고객들에게 받아들여지고 새로운 시장으로 발전하게 되는 사례가 많다. 구글은 VPN 연결 없이 클라우드·온프레미스 환경에서 원격지 사용자를 비즈니스 리소스에 접근하도록 도와주는 제로 트러스트 네트워크 보안 모델 비욘드코프(BeyondCorp)를 발전시켰다. 이것이 최근 시장에서 집중적인 관심을 갖는 소프트웨어 정의 경계(SDP) 기술이다.
비욘드코프는 클라우드 아이덴티티, 클라우드 아이덴티티 어웨어 프록시, 클라우드 ID 및 액세스 관리(Cloud IAM), VPC 서비스 컨트롤을 기반으로 한 구글 클라우드 솔루션으로 이용할 수 있다.
지난 4월 ‘구글 클라우드 넥스트 2019’에서 최초 공개한 ‘타이탄 보안 키(Titan Security Key)’에 대한 업계 관심도 매우 높다. 베타테스트 중인 이 기술은 휴대전화를 보안키로 사용한 투팩터 인증이 가능하다. OTP 토큰 등 별도의 디바이스를 소지하지 않고도 강력한 사용자 인증과 보안을 제공한다. 안드로이드 7.0 이상 버전을 사용하는 디바이스에서 작동하며, 모든 구글 계정과FIDO 표준 기반으로 설계된 서비스에 사용할 수 있다.
존스톤 총괄은 “구글은 책임 공유 모델에 따라 구글 클라우드를 보호하기 위해 자동화와 인간의 통찰을 결합한 사이트 신뢰성 엔지니어링(SRE) 모델을 개발했다. 이 모델은 고객 신뢰성 엔지니어링(CRE)을 통해 고객에게도 확산될 수 있다”며 “구글은 데이터 보호, 계정 제어, 컴플라이언스 등을 강화해 고객 데이터 보호를 가장 우선하는 보안 정책을 펼치고 있다”고 설명했다.
고객이 직접 GCP 침투테스트 가능
구글 클라우드 플랫폼(GCP)의 특징 중 또 다른 하나는 고객이 자유롭게 GCP에 대해 직접 모의 침투테스트 훈련을 해 볼 수 있다는 점이다.
책임 공유 모델이 비판받는 이유 중 하나는 고객이 CSP의 인프라를 볼 수 없다는 것이다. 그 안에 어떤 취약점이 있으며 그 취약점이 자사 서비스에 영향을 미칠지 파악할 수 없으며 사고가 발생했을 때 CSP의 협조가 없으면 책임 소재를 명확히 밝힐 수 없다.
GCP는 고객이 구글 클라우드에 알리지 않고 GCP 취약점 테스트를 수행해 인프라 보안 상태를 평가할 수 있다. 취약점이 발견되면 취약점 보상 프로그램을 통해 시고하면 된다. 단 GCP에 대한 서비스 이용 정책(Acceptable Use Policy)과 서비스 약관(Terms of Service)을 준수하고 해당 테스트가 다른 고객의 애플리케이션에 영향을 주지 않아야 한다.
이외에도 클라우드 워크로드 보호(CWP)를 위해 GCP 상의 가상머신 보안을 강화하며, TEE에서 구동되는 SDK ‘아실로(Asylo)’를 제공해 인가되지 않은 사용자가 개발 프로세스에 침투하지 않도록 하고 코드 무결성을 검증한다.
알파 버전으로 제공되는 ‘시큐리티 헬스 애널리틱스(Security Health Analytics)’도 ‘클라우드 넥스트 2019’에서 공개된 기술로, GCP 인프라를 스캔해 클라우드 설정 오류와 컴플라이언스 위반 등을 알려주고 개선안을 제안하는 클라우드 보안 형상관리(CSPM)을 지원한다. 이 기능은 클라우드 시큐리티 커맨드 센터(CSCC)를 통해 이용할 수 있다. CSCC는 GCP 리소스 보안관리와 데이터 위험을 관리하며 단일 창에서 위협 방어와 탐지, 대응 업무를 지원한다.
존스톤 총괄은 “구글의 탁월한 보안 역량을 인정해 세계적인 기업들이 GCP로 비즈니스를 이관하고 있다. 구글은 데이터 칩에서 데이터센터에 이르기까지 보안에 대해 총체적인 접근 방식을 취하고 있다. 지속적으로 증가하고 있는 보안 기능을 적절하게 활용함으로써 구글 하드웨어 인프라, 서비스 배포, 사용자 ID, 스토리지, 인터넷 통신, 보안 운영 등을 심층적으로 보호한다”고 밝혔다.
