[데이터넷] 클라우드는 하드웨어 활용도를 높여 비용을 최적화하기 위해 시작됐다. 가상머신(VM)을 이용해 하나의 서버에서 여러 서비스를 운영함으로써 유휴 자원 없이 IT를 운용할 수 있게 하는 것을 목표로 한다. 이러한 노력이 지속적으로 진화해 도커와 같은 컨테이너, 컨테이너 운영을 위한 오케스트레이터 쿠버네티스, 그리고 리소스 사용을 극소화 해 클라우드 인프라 효율성을 극대화하는 서버리스 컴퓨팅으로 진화하고 있다.

VM에 최적화된 기존 클라우드 보안 솔루션도 이러한 변화에 맞춰야 한다는 요구에 직면해있다. 특히 클라우드 워크로드 보호 플랫폼(CWPP)의 변신이 주목되는데, 에이전트 없이 동작하면서 매우 가볍고 빠르게 변화되는 컨테이너·서버리스 환경을 지원할 수 있도록 개선되고 있다.

CWPP 솔루션들 컨테이너·쿠버네티스, 서버리스 컴퓨팅 지원 기능을 추가하기 위해 관련 기업의 인수 전쟁을 펼치고 있다. 팔로알토네트웍스는 트위스트락과 아포레토를, 퀄리스는 레이어드 인사이트를, 투핀은 시큐어클라우드를 인수하면서 컨테이너·쿠버네티스 보호기능을 CWPP에 통합시켰다. 서버리스 컴퓨팅 지원을 위해 체크포인트는 프로티고를 인수해 ‘클라우드가드 서버리스 시큐리티’를 출시했으며, 팔로알토네트웍스는 퓨어섹을 인수하고 ‘프리즈마 클라우드’에 관련 기능을 추가했다.

클라우드 실시간성 보장하는 데브섹옵스

이상적인 클라우드 개발·운영 모델은 데브옵스에 보안을 내재화한 데브섹옵스(DevSecOps)지만, 이를 구현하는 것이 쉽지 않다. 온프레미스 환경에서는 소프트웨어 개발·테스트 단계에서 소프트웨어 정적·동적 테스트 도구인 SAST·DAST를 적용해 개발된 소프트웨어에서 알려진 취약점이나 오류를 제거하고 배포한다.

그러나 매우 빠르게 진행되는 클라우드 환경에서 SAST·DAST를 적용할 수 없다. 클라우드는 마이크로서비스 아키텍처를 채택해 이미 개발된 소프트웨어 모듈을 조립해 빠르게 진행된다. 실시간성이 중요한 클라우드 운영 과정에서 보안검사를 위해 프로세스를 지연시키는 것은 비즈니스 경쟁력을 약화시키게 된다.

이를 해결할 수 있도록 하는 대안이 데브섹옵스이며, 자동화된 데브섹옵스를 지원하는 솔루션이 모습을 드러내고 있다. 트렌드마이크로는 데브옵스 파이프라인에 포함돼 취약점을 점검하는 ‘딥시큐리티 스마트체크’를 ‘클라우드원’ 플랫폼에 통합시켜 ‘클라우드원 컨테이너 시큐리티’로 새롭게 출시했다.

컨테이너 시큐리티는 데브옵스 파이프라인에서 안전한 컨테이너 이미지를 배포해 런타임 환경에서 발생할 수 있는 위협을 사전에 방지할 수 있는 기능을 제공한다. 멀웨어, 취약점과 컴플라이언스 위배를 탐지하며 빌드 파이프 라인과 레지스트리의 자동화된 이미지 검색 기능을 제공한다. 데브옵스 팀은 기업의 애플리케이션 배포를 지속적으로 제공해 빌드 주기에 영향을 주지 않으면서 배포 전 컨테이너의 안정성을 보장할 수 있다.

또한 트렌드마이크로는 이뮤니오를 인수하면서 서버리스 보안 기술을 취득했으며, 이를 기반으로 한 ‘클라우드원 애플리케이션 시큐리티’를 출시했다. 이 솔루션은 컨테이너, 서버리스 및 다양한 클라우드 플랫폼에 구축된 애플리케이션과 API에 대한 위협 탐지와 보호를 제공한다.

런타임에 애플리케이션 자체에 임베디드되는 애플리케이션 시큐리티는 애플리케이션에 서버리스, 애플리케이션에 보안 라이브러리를 포함시키고 애플리케이션 키를 사용해 활성화한다. 이를 통해 허가받지 않은 애플리케이션 사용과 동작을 실시간으로 즉시 차단하여 고객의 데이터와 비즈니스 로직을 보호한다.

이와 함께 트렌드마이크로는 차세대 IPS 티핑포인트를 클라우드 환경에 최적화한 ‘클라우드원 네트워크 시큐리티’로 클라우드 네트워크까지 보호한다. 이 솔루션은 클라우드 네트워크 보안을 단순화하면서 송수신 트래픽을 검사하는 기능을 유지해 VPC와 클라우드 네트워크에 대해 실행 가능한 보안을 자동화한다.

버그바운티 프로그램 ZDI를 통해 축적한 인텔리전스로 제로데이 취약점 방어를 제공하며, 새로운 위협 벡터에 대한 가상 패치, 취약점 차단, 악용 차단과 알려진 공격, 제로 데이 공격에 대한 방어를 포함한 포괄적인 위협 보호 기능을 제공한다.

컨테이너 기반 네트워크 보안 경쟁 시작

컨테이너·서버리스는 매우 빠르게 변경되기 때문에 기존 보안 정책을 이용해 일관된 통제를 하기 어려우며, 가시성을 확보하는 것조차 쉽지 않다. 그래서 보안 기업들은 보안 기술을 컨테이너로 제공해 컨테이너 내에서, 혹은 컨테이너 통신에서 이상징후가 있는지 파악하는 솔루션을 제공한다.

팔로알토네트웍스는 ‘클라우드 네이티브 시큐리티 아키텍처(CNSP)’를 소개하는 백서를 통해“많은 조직이 데브옵스를 채택하고 있지만, 속도와 민첩성에 무게를 두고 보안에는 적합하지 않은 툴을 구현했다. 그래서 클라우드 전체를 이해하거나 분석·모니터링 할 수 없게 했으며, 필요한 정보를 수집하지도 못하게 했다. 이 때문에 통합되지 않은 사각지대가 생겼으며, 비용과 복잡성, 위험이 증가했다”고 설명했다.

CNSP를 구현하는 방법으로, 팔로알토네트웍스는 컨테이너, 서버리스 보안, 마이크로서비스와 PaaS 등과 클라우드 네이티브 아키텍처 내에 보안이 자연스럽게 프로세싱 될 수 있도록 하는 방법을 제안했으며, 그 한 예로 컨테이너 기반 차세대 방화벽을 소개했다.

차세대 방화벽(NGFW)의 컨테이너형 폼팩터 ‘CN시리즈’는 쿠버네티스와 통합돼 빠르게 생성·삭제·변경되는 컨테이너 환경의 취약점·사이버 위협에 대응한다. 간편한 복호화, 고가용성 클러스터링, 새로운 고성능 하드웨어 카드, 선제방어, DNS 보안 강화를 포함한 70여개 이상의 새로운 기능이 담겨 있다.

김병장 팔로알토코리아 전무는 “CN 시리즈는 쿠버네티스 통합을 통해 다른 컨테이너와의 충돌이나 오류 없이 컨테이너 내부에서 발생하는 문제와 컨테이너 간 장애·침해시도를 막을 수 있다. 방화벽 정책 관리 솔루션 ‘파노라마’도 연동해 방화벽을 안전하게 관리할 수 있게 한다”고 설명했다.

인라인 머신러닝 기술로 선제 방어 강화

한편 팔로알토네트웍스는 보안 OS ‘PAN-OS 10.0’를 대대적으로 업데이트하고 인라인 머신러닝 방어, 대규모 방화벽 관리, 제로 트러스트 정책 지원, 가상화·쿠버네티스 환경 지원 등의 새로운 기술을 선보였다.

이 중 머신러닝을 적용한 NGFW 신규 모델이 주목된다. 신규 위협 탐지·방어를 위해 필요한 클라우드 샌드박스, 행위 분석, 익스플로잇 탐지, 글로벌 위협 인텔리전스 등의 기능에 머신러닝을 적용하면서 인라인으로 위협을 탐지·차단할 수 있도록 하는 솔루션이다. 이를 통해 95% 이상 위협을 실시간으로 차단하며, 나머지 5%도 수 초 이내에 차단할 수 있다.

팔로알토네트웍스는 그동안 축적한 방대한 위협 인텔리전스를 통해 인라인 방어가 가능한 머신러닝 기술을 고도화했으며, 이를 선제방어 프로세스에 적용해 탐지·대응 속도를 획기적으로 높였다고 소개한다. 또한 이 솔루션은 센서·인프라 변경 없이 연결된 모든 디바이스의 가시성을 제공해 IoT 보안 요건도 만족시킬 수 있다.

이희만 팔로알토네트웍스코리아 지사장은 “팔로알토네트웍스는 경쟁사대비 월등히 높은 성숙도와 완성도를 가진 기술을 보여왔으며, 이를 실제 고객 환경에 적용해 기술을 통한 비즈니스 혁신이 가능하다는 것을 입증해왔다”며 “이번에 출시한 신제품은 클라우드·IoT까지 모든 환경에서 실시간, 인라인 위협 탐지와 방어가 가능하다. 무지연 방화벽 수요가 높은 이커머스, 게임사 등을 비롯, 엔터프라이즈, 의료, 공공 등 모든 산업군의 고객이 직면하고 있는 문제를 해결할 수 있을 것”이라고 말했다.

팔로알토네트웍스는 VM 기반 방화벽도 지속적으로 고도화하면서 가상환경을 위한 보안도 제공한다. 팔로알토네트웍스 ‘VM 시리즈’는 애플리케이션 수준에서 뛰어난 가시성과 정밀 제어, 선제 방어 기능을 제공하는 차세대 보안 기능을 사용해 애플리케이션과 데이터를 보호한다. 자동화 기능과 중앙화된 관리를 통해 보안 기능을 애플리케이션 개발 프로세스에 포함시킬 수 있다.