[데이터넷] 4차 산업혁명이 본격화되면서 차세대 ICT 기술이 경쟁적으로 쏟아지고 있다. 이 기술을 비즈니스에 어떻게 최적화해 적용하는가에 기업의 생존 가능성이 달려있다. 본지는 디지털 트랜스포메이션을 이끌고 있는 차세대 ICT 기술을 분석하고 2020년 시장을 전망하는 특별 기획을 진행한다.<편집자>

T-GW 보안 게이트웨이 ‘주목’

클라우드 복잡성을 제거하기 위해 AWS는 트랜짓 게이트웨이(T-GW)를 발표한 바 있으며, 보안 기업들은 T-GW를 지원하는 네트워크 보안 기술을 잇달아 발표하고 있다. T-GW는 아마존의 가상 프라이빗 클라우드(VPC)와 온프레미스 네트워크의 라우팅을 단순화하는 솔루션으로, 여기의 게이트웨이에 방화벽이나 IPS를 설치해 외부 위협에 대응토록 한다.

트렌드마이크로, 체크포인트, 포티넷, 팔로알토네트웍스 등 대부분의 네트워크 보안 기업들이 이 기술을 발표하면서 클라우드 보안 시장을 공략한다.

트렌드마이크로는 차세대 IPS 티핑포인트의 클라우드 용 솔루션 ‘클라우드 네트워크 프로텍션(CNP)’을 통해 T-GW를 지원한다. 클라우드 워크로드 보안 플랫폼(CWPP) ‘딥시큐리티’와 연동해 에이전트/에이전트리스 방식으로 클라우드 워크로드를 보호한다. 또한 클라우드 보안 형상 관리(CSPM) 기업 클라우드 콘포미티를 인수하고 설정오류로 인한 보안위협을 제거한다. 더불어 컨테이너 보안 취약점 이용 공격에 대응할 수 있는 스마트체크 기능을 강화하면서 클라우드 보안 역량을 높인다.

클라우드 보안 기본 ‘CWPP’

CWPP는 클라우드 보안의 기본이다. 워크로드 상의 멀웨어 및 외부 침입을 탐지하는 기능을 제공해 왔으며, 현재 취약점 점검, 애플리케이션 컨트롤, 설정 오류 탐지 등의 고급 기능으로 확장되고 있다.

CWPP는 트렌드마이크로, 시만텍, 맥아피 등이 주요 플레이어였지만, 에이전트 방식으로 동작해 해당 워크로드 외에는 가시화하지 못한다는 한계가 있다. 이 문제를 해결하기 위해 보안 기업들이 T-GW 보안 솔루션을 발표하고 있지만, 이는 AWS에서만 동작하는 기술이기 때문에 근본적인 해결은 되지 못한다. 라드웨어가 출시한 CWP는 에이전트리스 방식으로 워크로드 전반의 위협을 탐지하고 대응할 수 있다.

설정 오류 바로잡는 ‘CSPM’

가트너는 클라우드 사고의 대부분이 사용자의 실수와 잘못된 설정에 의한 것이라고 전망한 바 있다. CSP가 일으키는 사고도 종종 있지만, 대부분의 사고는 사용자에게 책임이 있다. 클라우드에 중요한 데이터를 암호화 하지 않은 상태로 업로드하거나, 접근권한을 설정하지 않아 모든 사람들이 데이터에 제한없이 접근할 수 있도록 하는 등의 사고가 발생한다. 이 같은 사고가 발생하면 데이터 유출에 대한 책임을 져야 할 뿐 아니라 GDPR 등 글로벌 중요 규제를 위반해 막대한 벌금을 물 수 있다.

클라우드 보안 형상 관리(CSPM)는 클라우드 설정오류를 실시간 모니터링하는 솔루션으로 전 세계 중요 컴플라이언스도 지원할 수 있다. 돔나인을 인수한 체크포인트가 이 시장의 대표주자다. 체크포인트는 돔나인과 워크로드 보안, CASB 솔루션을 통합한 ‘클라우드가드’ 플랫폼을 제공한다. 돔나인은 돔나인 대시보드에서 직접 정책을 수정·편집할 수 있어 클라우드 형상관리 편의성을 한층 수월하게 한다.

팔로알토네트웍스는 에비던트아이오, 레드락을 인수하면서 CSPM 솔루션을 자사 클라우드 보안 포트폴리오 ‘프리즈마’에 포함시켰다. 팔로알토 프리즈마는 접근제어, 퍼블릭 클라우드 보안, CASB, 가상 방화벽 등 4개 제품군으로 구성된다. ‘프리즈마 액세스’는 전 세계 분산된 원격 오피스와 모바일 사용자의 안전한 접근을 지원한다. ‘프리즈마 퍼블릭 클라우드’는 워크로드 보호, 컨테이너 및 서버리스 컴퓨팅 보안, 설정오류 점검 등의 기능을 제공하며, 컨테이너 보안 기업 트위스트락과 서버리스 보안 기업 퓨어섹 기술이 접목됐다.

소포스는 CSPM 기업 아비드시큐어를 인수하면서 ‘클라우드옵틱스’ 보안 역량을 한층 높였다. 클라우드옵틱스는 클라우드 인프라 변경에 대한 지속적인 가시성을 제공한다. 보안 설정과 트래픽 플로우를 직관적으로 보여주며, 비정상 트래픽을 탐지하고 알려준다.

보안·네트워크 보안관리 솔루션 기업 알고섹은 자동화 정책관리의 경쟁력을 클라우드로 확대한 ‘클라우드 플로우’를 출시하며 경쟁 우위를 자신하고 있다. 클라우드 플로우는 AWS는 물론 MS 애저 방화벽 지원 기능을 향상시켜 클라우드 보안운영 편의성을 획기적으로 높였다.

포괄적 접근제어로 안전한 멀티 클라우드 운영

클라우드의 심각한 보안홀은 ‘섀도우 클라우드’다. 관리조직의 허가를 받지 않은 퍼블릭 클라우드가 공격 거점이 되고, 데이터 유출의 통로로 이용된다. 섀도우 클라우드를 제거하기 위한 기술로 CASB가 제안된다.

CASB는 허락된 클라우드로만 접속을 허용하고 클라우드 내에서 발생하는 이벤트를 가시화해 위협을 사전에 차단한다. 시만텍, 맥아피, 시스코, 오라클, 포스포인트, 마이크로소프트, 비트글라스, 넷스코프, 프루프포인트 등이 경쟁하고 있다.

CASB가 허용된 클라우드로 접속하도록 하는 기술이라면 소프트웨어 정의 경계(SDP)는 허가된 사용자만 애플리케이션에 속하도록 하는 기술을 말한다. SDP는 ‘제로 트러스트 네트워크’라고도 불리며, 애플리케이션을 블랙 클라우드에서 보호한다. 사용자와 단말의 무결성을 검증한 후 애플리케이션에 접속하도록 하고 사용자 행위를 지속적으로 모니터링한다.

SDP는 온프레미스나 프라이빗·퍼블릭 클라우드 전반의 안전한 애플리케이션 접속을 지원한다. 지스케일러, 엠엘소프트, 펄스시큐어, 프라이빗테크놀로지 등이 이 분야에서 경쟁을 시작했다.

데브섹옵스로 컨테이너·서버리스 보안 약점 제거

클라우드 개발·배포를 효율화하기 위해 컨테이너, 서버리스 컴퓨팅을 사용하는데, 이 환경을 보호하는 기술은 아직 충분히 성숙한 상황은 아니다. 컨테이너·서버리스 기술이 빠르게 변하고 있기 때문에 이 환경에서 어떤 보안 취약점이 있는지 분명하게 파악된 상황이라고 할 수는 없다. 보안 기업들은 개발 완료된 컨테이너·서버리스에 알려진 취약점이 있는지 스캔하는 기술을 제공하면서 보안점검 후 클라우드에 적용할 것을 권고하고 있다.

클라우드 개발 시간을 단축하기 위해 ‘데브옵스’가 확산되고 있는데, 여기에 보안을 더한 ‘데브섹옵스’를 적용해 컨테이너·서버리스와 같은 새로운 환경에서도 안전하게 클라우드를 개발·운영해야 한다.

데브섹옵스는 서비스 개발과 테스트, 배포, 운영에 이르는 데브옵스의 각 단계마다 보안 점검을 수행하도록 권고하고 있으며, 이 과정이 중단없이 자동으로 이어질 수 있는 자동화된 플랫폼을 사용할 것을 제안한다.

데브섹옵스는 개발문화를 바꿔야 하며, 쉽게 도입할 수 있는 것은 아니며, 작은 사업 단위에서 성공 사례를 축적하면서 서서히 확대해가는 것이 좋다.