진보한 위협 대응 전략으로 광범위한 클라우드 보호
[데이터넷] 지난해 미국 최대 금융기관 캐피탈원이 해킹을 당해 AWS에 저장된 1억명에 달하는 고객 정보가 탈취됐다. 이 사고는 캐피탈원이 자사 방화벽 취약점을 방치해 발생한 것으로 AWS는 이 사고에 대해 책임지지 않는다.
클라우드는 ‘남의 컴퓨터를 사용하는’ 환경이므로 사용자가 완벽하게 통제하지 못하며, 완벽한 가시성을 보장하지도 못한다. 하루에 수만개의 인스턴스가 생성되고 삭제되기 때문에 신규 서비스에 대한 취약점 점검이나 구성·설정 오류를 살피지 못한 채 운영된다. 그래서 캐피탈원과 같은 보안사고가 생길 수 밖에 없다.
가트너는 클라우드 사고의 95%가 사용자 실수와 잘못된 정책 설정으로 인한 것이라고 설명했으며, CIO는 ‘클라우드가 안전한가’를 점검하기 전에 ‘클라우드를 안전하게 사용하고 있는가’를 살펴봐야 한다고 강조한 바 있다.
클라우드에 있는 취약점이나 잘못된 구성, 설정오류로 인해 산업별, 각 국가별 컴플라이언스 위반 사례가 발생할 수도 있다. 우리나라 개인정보 보호법, 유럽 GDPR 등 복잡하고 까다로운 컴플라이언스를 준수하기 위한 활동에 있어 클라우드는 많은 제약을 줄 수 밖에 없다.
또한 클라우드는 상시 연결된 상태를 유지해야 하며, 인터넷을 통해 접근할 수 있기 때문에 워크로드가 공격에 노출될 가능성이 높다. 온프레미스 데이터센터는 각종 경계보안 시스템으로 보호하고 있지만 클라우드는 ID/PW만으로 접근 가능하기 때문에 공격자가 접근하기 쉽다.
멀티 클라우드는 이 같은 문제를 더욱 복잡하게 만든다. 책임공유모델에 따라 사용자와 서비스 사업자의 책임 범위가 달라지며, 다수의 클라우드에 실시간으로·동시에 보안 변경을 적용하기 어렵다.
‘제 19회 차세대 보안 비전’에서 다양한 클라우드 보안 이슈와 해결방안이 제안됐으며, 그 중 체크포인트는 ‘클라우드가드(CloudGuard)’ 제품군은 클라우드 컴플라이언스와 워크로드, 애플리케이션을 포괄적으로 보호하는 ‘360⁰ 클라우드 보안’을 제안했다.
클라우드 전반 보호하는 ‘클라우드가드’
클라우드가드 제품군에 포함된 ‘클라우드가드 돔9’은 클라우드 자산에 대한 광범위한 가시성을 제공하며, 지속적인 컴플라이언스 확인과 잘못된 구성에 대한 자동 수정을 제안한다. 인가되지 않은 접근과 계정 탈취에 대한 보호와 클라우드 로그분석을 통해 위협 보호 및 보안 분석을 제안한다.
국내 ISMS를 지원해 국내 기업도 클라우드 사용에 대한 가시성과 관리 용이성을 보장받을 수 있도록 했으며, 컴플라이언스 위반 시 교정을 위한 세부 정보를 제공한다. 계정의 잘못된 사용을 방지하는 IAM과 클라우드 트래픽 분석, 컨텍스트를 이해하는 보안 인텔리전스, 컨테이너·서버리스 컴퓨팅 지원 등 클라우드 관리를 위한 다양한 사항을 제공한다.
인프라 서비스를 보호하기 위한 ‘클라우드가드 IaaS’는 온프레미스와 같은 수준의 보안을 프라이빗·퍼블릭 클라우드에 적용하며, 워크로드에 대한 진보된 위협 차단과 애플리케이션 컨트롤, URL 필터링, 안티바이러스, 안티봇과 샌드박싱 등의 기능을 제공한다.
소프트웨어 서비스(SaaS)를 보호하는 ‘클라우드가드 SaaS’는 클라우드 접근 보안 중개(CASB)를 넘어서는 보안 솔루션으로, 섀도우 클라우드를 제거하고 데이터 유출 방지와 애플리케이션 통제, 클라우드 앱과 이메일을 타깃으로 하는 공격을 차단한다.
체크포인트는 “기존의 경계선 보안으로는 클라우드 내부 위협을 보호하지 못하며, 컨테이너·클라우드 앱 등에 대한 가시성을 보장받지 못한다. 클라우드가드는 클라우드 보안 형상관리(CSPM), 클라우드 워크로드 보안(CWP), CASB 개별 기능을 넘어서는 진보된 위협 방어 기술을 통합 제공해 클라우드 타깃 공격으로부터 비즈니스를 보호한다”고 설명했다.
