[데이터넷] 비즈니스 성장 속도가 빨라지면서 애플리케이션도 변화하고 있다. 다양한 기능을 제공하기 위해 애플리케이션의 크기는 점점 커지고 있으며 고객 요구 사항 증가로 빈번한 업데이트가 필요하다. 그런 만큼 애플리케이션 개발에 있어 확장성과 배포의 용이성이 가장 중요시되고 있다.

이전에는 애플리케이션이 간단하거나 크기가 작았기 때문에 애플리케이션 기능을 하나의 서비스로 구현했다. 하지만 애플리케이션이 크고 복잡해지면서 모놀리스 방식의 문제점이 드러났다. 개발코드가 하나의 프로젝트로 돼 있기 때문에 간단한 업데이트를 진행해도 많은 코드 변경이 필요했고 하나의 통합된 코드로 작성돼 애플리케이션 전체를 배포하게 되면서 배포의 위험성이 따랐다.

이러한 문제점을 해결하기 위해 애플리케이션의 구성요소(기능)를 서비스 단위로 잘게 나눠 개별 서비스로 동작하는 마이크로서비스가 등장했다. 마이크로서비스는 하나의 큰 애플리케이션을 여러 개의 작은 애플리케이션으로 구현해 조합하는 방식을 말한다. 각각의 서비스는 독립적으로 동작하기 때문에 서비스 단위로 배포를 쉽게 진행할 수 있고 서비스 단위로 개발이 가능하기 때문에 유연한 확장성을 제공한다. 넷플릭스, SK플래닛, 삼성전자 등 이미 많은 기업들이 마이크로서비스로 전환한 것도 이 때문이다.

수평 확장하는 보안위협

마이크로서비스에서 가장 인기 있는 오픈소스 플랫폼은 쿠버네티스다. 구글이 2014년 공개한 오픈소스 플랫폼으로 오픈소스 역사상 가장 빠른 속도로 성장하고 있다. 이름이 길어 첫 글자 K와 끝 글자 S 사이에 있는 ubernete가 8글자라 이를 줄여 K8s로 부르기도 한다. K8s를 이용하면 컨테이너 기반의 마이크로서비스를 구현할 수 있다. 가트너에 의하면, 2020년에는 글로벌 기업의 50% 이상이 애플리케이션을 컨테이너 기반의 환경에서 사용할 것으로 예상된다.

컨테이너란 애플리케이션이 실행되는 격리된 가상의 공간을 말한다. 애플리케이션을 구동하기 위해 필요한 라이브러리, 바이너리, 구성파일을 패키지해 이미지를 통해 컨테이너를 생성할 수 있다. 컨테이너를 이용하면 애플리케이션을 쉽게 빌드하고 배포할 수 있기 때문에 많은 기업들이 컨테이너 기반의 마이크로서비스를 사용한다.

컨테이너가 증가될수록 이를 관리하는 작업이 필요하다. K8S를 이용하면 자동으로 관리하기 때문에 컨테이너를 편하게 관리할 수 있다. 이를 오케스트레이터라고 한다. 따라서 K8s는 다수의 컨테이너를 관리하기 위한 필요한 플랫폼이다.

AWS, 애저, IBM, 구글 등은 모두 컨테이너 기반 플랫폼 K8s를 활용하고 있다. K8s를 사용하는 기업들이 늘어나면서 새로운 환경의 보안이 필요해지고 있다. 기존에는 외부에서 유입되는 트래픽으로 인해 노스-사우스 구간에 집중됐던 보안이었지만 마이크로서비스가 등장하면서 내부 통신의 트래픽이 증가함에 따라 이스트-웨스트 구간으로 보안 영역이 확대됐다.

쿠버네티스 웹방화벽 통해 컨테이너 보호

컨테이너 기반 보안은 새로운 보안 영역인 만큼, 아직 체계적인 보안시스템을 갖추지 못하고 있다. 다양한 기능을 제공하는 전통적인 웹 방화벽과 달리 컨테이너 보안에서 제공하는 웹 보안 기능은 한정적이다.

OWASP TOP 10과 같은 알려진 웹 공격 취약점만 차단만 할 수 있으며, 네거티브 시큐리티 모델만 제공한다. 제로데이 또는 알려지지 않은 취약점을 노린 공격도 증가하고 있지만 현재 이에 대응할 수 있는 방어 기술을 가지고 있지 않다.

애플리케이션은 지속적으로 변화하기 때문에 사람이 수동으로 정책을 관리하는 것은 어려움이 있다. 그래서 머신러닝 알고리즘을 통해 애플리케이션의 변경을 자동으로 감지해 위협을 분석한 후 정책 업데이트를 진행해야 한다. 하지만 아직 자동 정책 기능을 제공하지 않고 있어 최신 정책으로 관리하는 것이 매우 어렵다.

마이크로서비스를 구현하면 빠질 수 없는 것 중 하나가 API이다. 개별로 나뉜 서비스는 API 호출을 통해 서로 통신한다. OWASP에서 API 별도 항목을 공개할 정도로 API에 대한 보안 위협이 증가하고 있지만 API 조작에 대한 공격 방어가 어려운 한계점도 갖고 있다.

라드웨어는 이러한 문제점을 선제적으로 파악하고 이를 해결할 수 있는 K8s WAF로 마이크로서비스에 맞게 설계된 웹 방화벽을 개발했다. 이 제품은 K8s 포드 앞에 설치돼 애플리케이션을 안전하게 보호할 수 있다. K8s WAF 컨트롤러가 보호할 애플리케이션(POD)으로 유입되는 트래픽을 상시로 체크하고 있다가 공격 발생 시 공격을 차단하는 컨셉으로 K8s 환경에 최적화된 솔루션이라 할 수 있다.

포지티브 시큐리티 모델로 제로데이 공격 방어

K8s WAF은 네거티브 시큐리티 모델 뿐 아니라 포지티브 시큐리티 모델까지 제공해 제로데이와 알려지지 않은 취약점 공격도 방어할 수 있다. 실제 기업의 운영환경을 보면 대부분 오픈소스를 사용하고 있어 방대한 내부 개발 코드는 보안에 취약하다. 또한 내부 보안장비를 우회하는 공격이 발생할 만큼 공격 방식은 점점 진화하고 있기 때문에 알려진 공격만 차단해선 완벽한 보안을 할 수 없다.

그러나 라드웨어 K8s WAF는 알려지지 않은 취약점 공격에도 방어가 가능하도록 구현됐다.또한 빠르게 변화하는 애플리케이션을 감지해 동적으로 정책을 생성하며 애플리케이션 변경을 감지해 지속적으로 정책 업데이트까지 진행한다.

현재 WAF를 운영하는 기업은 서비스 문제 때문에 자동 정책 기능을 선호하지 않고 있다. 하지만 마이크로서비스로 전환되면서 빠르게 앱이 출시되고 애플리케이션 업데이트가 빈번하게 이뤄지면서 지금과 같은 보안방식을 고집하면 더 많은 위협에 노출되게 된다. 이제 자동 정책 기능은 불가피한 선택으로 보안의 필수 요구 사항으로 볼 수 있다.

요즘 웹 서비스를 보면 대부분 API를 사용해 구현한다. 이 외에도 IoT 기기 간의 통신이 많아지고 자동화에 대한 수요가 증가되면서 API 트래픽은 점점 증가되고 있다. API를 사용하면서 API 호출 및 결과 응답 시의 데이터는 대부분 JSON과 XML 형식으로 표현하는데 이 점을 악용한 공격들이 많아지면서 API 보안은 중요하다. 이런 추세를 반영해 API 조작한 공격도 차단이 가능하다.

무엇보다도 가장 큰 장점은 SSL 인증서를 요구하지 않는다. Envoy나 NGINX와 같은 L4, L7 로드밸런서에서 SSL 통신을 진행한 후 복호화 된 평문 트래픽이 유입되는 구성이라 SSL 인증서가 필요하지 않다. 기존 온 프레미스 WAF 제품들은 웹 서버 앞 단에 위치해 SSL 통신을 직접 진행하기 때문에 높은 성능을 요구한다. 하지만 라드웨어 K8s WAF는 원문 데이터인 HTTP 트래픽을 검사하기 때문에 성능 이슈로부터 자유롭다.

탁월한 보안 가시성 제공

마이크로서비스 특성상 서비스가 분산돼 있기 때문에 안정적인 서비스 운영을 위해서 가시성 있는 모니터링 시스템을 제공하고 있다. 보호할 애플리케이션에 발생된 보안 이벤트를 수집하고 엘라스틱 또는 그라파나 같은 데이터 시각화 툴을 이용해 로그 데이터를 시각화 분석이 가능하다. 시스템과 보안의 영역이 없는 요즘 같은 환경에 맞게 공통된 로그 데이터를 가지고 각 팀에 맞는 관점으로 대시보드를 생성해 모니터링을 할 수 있는 기능을 제공한다.

모니터링 시스템 연동을 하지 않아도 자사 제품의 대시보드에서 공격에 대한 상세분석을 제공하고 있기 때문에 관리자는 손 쉽게 공격 정보를 확인할 수 있다.

애플리케이션 개발을 가속화하기 위해 마이크로서비스가 등장하면서 이에 맞는 새로운 보안 시스템이 필요하게 됐다. 그러나 그동안 체계화된 컨테이너 보안 시스템을 갖추지 못하면서 공격에 노출됐다. 라드웨어 K8s WAF는 이러한 한계점을 개선해 애플리케이션을 안전하게 보호하도록 도와준다. 이런 점에서 라드웨어 K8s WAF는 고객의 니즈를 미리 판단해 보안 시장을 선두하는 기술력을 증명하고 있다. [글: 노지선 라드웨어코리아 과장]