[데이터넷] 전통적인 환경에서 보안의 기본은 안티바이러스와 방화벽이라고 할 수 있다. 클라우드에서 보안은 ‘클라우드 워크로드 보호(CWP)’가 기본이다. 클라우드에서 IT 리소스가 할당되고 애플리케이션이 프로비저닝 돼 업무를 할 수 있는 모든 환경이 워크로드이며, 이를 보호할 기술이 반드시 필요하다.

초기 CWP는 클라우드 서버 보호를 위한 리눅스 백신에서 시작됐으며, 다양한 버전의 리눅스 서버를 지원하는 제품이 경쟁력을 인정받았다. 트렌드마이크로, 시만텍(현 브로드컴), 맥아피가 대표 기업이며, 이 세 업체가 시장을 균등하게 나눠가졌다.

클라우드가 가상머신(VM)에서 컨테이너·서버리스 환경으로 전환되면서 CWP 시장의 전통적인 질서가 깨지기 시작했다. 전통적인 CWP는 호스트에 에이전트를 설치해 VM을 보호하는 방식으로, 에이전트를 설치할 수 없는 컨테이너·서버리스 환경은 보호하지 못한다. 또 개발과 운영이 통합된 CI/CD 환경에 적용이 불가능해 실시간으로 개발·테스트·배포되는 최신 클라우드를 보호하지 못한다.

이러한 이유로 새로운 기술 기업들이 놀라운 속도로 성장을 이어가고 있는데, IDC 조사에 따르면 이 시장의 다크호스인 시스디그가 2019년 대비 2020년 164.5%, 스택록스는 136.9%라는 경이로운 성장률을 보였다. 스택록스는 1월 레드햇에 인수됐다. 2021년 한국 시장에 정식 진출한 아쿠아시큐리티도 45%의 성장률을 기록하면서 주목받았다. 아쿠아시큐리티는 체크포인트와 협력해 CWPP 시장을 이끌어온 기업으로 주목받는다.

대대적인 변화 일어난 CWP

멀티·하이브리드 클라우드가 본격적으로 도입되기 시작한 2020년부터 CWP 시장은 대대적인 변화를 겪고 있다. 전통적인 시장 질서가 흔들리고 있을 뿐 아니라 근본이 되는 기술도 크게 달라지고 있으며, 클라우드 네이티브 보안 플랫폼의 일환으로 적용되면서 다른 기술과 통합·연동되는 추세를 보이고 있다.

특히 CWP 시장의 높은 성장이 주목되는데, 가트너는 2021년 전년대비 18.1% 성장한 17억달러에 이를 것으로 내다봤다. 더불어 CI/CD 파이프라인 통합과 런타임 보호, 도커·쿠버네티스와 서버리스 지원, 클라우드 보안 형상관리(CSPM)와 쿠버네티스 보안 형상관리(KSPM), 클라우드 계정과 권한 관리(CIEM), API 보안과 논리오류 수정 등을 통합하거나 연계·지원하며, 이미지 스캐닝을 추가해 에이전트 없는 도구를 통해 워크로드 외부에서 보안 형상관리를 제공할 수 있게 하는 것도 주목해야 할 변화다. 나아가 알려진 익스플로잇을 사용하는 네트워크 노출의 영향을 입증하기 위해 외부 공격 표면 관리(EASM) 원격 측정 도구와 통합하는 시도도 이어지고 있다.

이러한 변화에 트렌드마이크로가 적극 동참하면서 클라우드 보안 강자를 입증하고 있지만, 브로드컴과 맥아피는 다소 느리게 반응하면서 후발주자들의 추격을 당하고 있다. IDC의 2020년 시장조 사에서 트렌드마이크로는 27.5%로 선두지위를 유지하고 있지만, 맥아피 8.4%, 브로드컴 8.1%으로 영향력이 크게 떨어졌다. 체크포인트(7.4%), 팔로알토 네트웍스(7.3%)가 바짝 따라붙었다.

트렌드마이크로는 클라우드 시장과 기술 변화에 적극 대응하면서 이 분야 전문기업으로 확실하게 자리매김했다. 클라우드 컨포미티, 이뮤니오를 인수하면서 CSPM·애플리케이션 보안 역량을 강화했으며, 스니크와 전략적 파트너십을 체결하면서 써드파티·오픈소스 코드 취약점 관리 기술을 획득했다.

클라우드 보안 기술을 하나로 통합한 ‘클라우드 원’ 플랫폼을 완성하고 ▲CWPP ‘워크로드 시큐리티’ ▲컨테이너 보안 ‘컨테이너 시큐리티’ ▲애플리케이션 보안 ‘애플리케이션 시큐리티’ ▲클라우드 스토리지 보안 ‘파일 스토리지 시큐리티’ ▲CSPM ‘컨포미티’ ▲오픈소스·써드파티 소스코드 보안 ‘오픈소스 시큐리티’ ▲네트워크 보안 ‘네트워크 시큐리티’ 솔루션을 통합시켰다.

클라우드 보안 사고 99%, 사용자 실수

CSPM은 CWP와 통합을 가속화하는 매우 중요한 모듈이다. CSPM은 실시간 혹은 정기적으로 조직의 클라우드 사용 현황을 파악해 설정 및 구성 오류, 사용자 실수, 컴플라이언스 위반 등을 감시하는 모니터링 시스템이다.

팔로알토 네트웍스에 따르면 기업은 공개적으로 액세스 가능한 클라우드 서비스를 하루 평균 3.5개, 1년 1300개를 추가한다. 이렇게 추가되는 클라우드 중 일부가 제대로 프로비저닝되지 못하고 인터넷에 노출될 수 있어 공격자들이 침투하거나 규제위반 문제를 일으킬 수 있다.

실제로 클라우드 보안사고의 대부분은 사용자의 실수나 설정오류로 인한 것이 90% 이상이다. 가트너는 2025년까지 클라우드 침해의 99% 이상이 사용자 잘못으로 발생할 것으로 예상하며, 이를 바로잡을 수 있도록 도와주는 CSPM 솔루션 채택률이 높아져 연평균 18.8% 성장, 2023년까지 24억4000만달러 규모에 이를 것으로 내다봤다.

클라우드 운영상의 잠재적인 문제를 찾아내는 CSPM은 CWP와 통합돼 워크로드 전반의 위협을 감소시키고 있는데, CWP와 마찬가지로 도커·쿠버네티스·서버리스 등 코드로서의 인프라(IaC) 환경 을 지원하는 것이 필수 요구가 됐다. 또 퍼블릭 클라우드에서 운영 중인 워크로드의 구성오류 뿐 아니라 런타임 전 단계에서의 취약점과 잘못된 구성 탐지까지 지원한다.

CSPM 시장에서는 체크포인트 ‘클라우드가드 돔9’이 가장 앞선 경쟁력을 보인다. 돔9은 여러 퍼블릭 클라우드를 단일 창에서 관리할 수 있어 관리 편의성이 매우 높다. 설정오류에 대한 자동수정도 가능하지만, 혹시 모를 장애에 대비하기 위해 자동수정은 권고하지 않으며 최적의 수정안을 제안해 관리자가 확인하고 적용할 수 있도록 한다.

한편 체크포인트 클라우드가드는 멀티클라우드 전체에 대한 통합 보안과 자동화된 데브섹옵스, CSPM을 통합하고 있으며, 클라우드 네이티브 보호 플랫폼을 완성하고 있다.

국내 기업 중 ADT캡스가 CSPM 솔루션 ‘클라우드 보안 관리 플랫폼(CSMP)’을 SK텔레콤의 차세대 클라우드 관리 플랫폼의 클라우드 보안 상품으로 제공한다고 밝혀 주목된다. 이 제품은 고객의 클라우드 환경을 주기적으로 점검하고 설정오류를 탐지한다. ISMS-P 등 국내 주요 규제 준수 요건을 확인하고, 분산된 클라우드 인프라 보호를 위한 방화벽 통합관리 기능도 제공한다.

CNSP로 확장되는 클라우드 보안

CWP와 CSPM은 클라우드 워크로드 전반을 보호하는 역할을 벗어나 클라우드 네이티브 보안 플

랫폼(CNSP)으로 확장하고 있다. 워크로드에 대한 위협을 차단하고, 내재된 취약점·구성오류를 교정하며, 계정·접근관리와 API 보안까지 통합하는 통합 보안 플랫폼으로 진화하고 있는 것으로 보인다.

팔로알토 네트웍스 ‘프리즈마 클라우드’는 멀티·하이브리드 클라우드 수명주기 전체에 대한 보안 및 풀 스택 보호를 제공한다. CWPP, CSPM·KSPM, CIEM(Cloud Identity and Entitlement Management), API 보호, 네트워크 보안이 통합돼 있어 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)을 완성한다. 또 데이터 보안, 웹·애플리케이션 및 API 보안, 호스트·컨테이너·서버리스 보안 등 다양한 모듈로 제공돼 기업·기관이 필요한 기능만 채택해 유연하게 사용할 수 있다.

CNSP 전략은 여러 클라우드 보안 솔루션을 제공하는 거의 대부분의 기업이 채택하고 있다. 맥아피는 CASB 솔루션 ‘임비전 클라우드’를 플랫폼으로, CWP·CSPM, CASB·SWG, ZTNA, RBI 등 다양 한 클라우드 보안 기술을 통합 제공한다.

엔드포인트 보안 기업, 클라우드 최적화 CWP 출시

CWP 시장에서 주목할만한 변화는 엔드포인트 보안 솔루션 기업들이 일제히 뛰어들고 있다는 것이다. 초기 CWP가 리눅스 백신에서 시작했다는 점을 생각하면 특별한 변화가 아니라고 생각할 수 있지만, 가트너 등 시장조사기관에서 ‘CWP는 서버백신이 아니다’라고 강조해왔다는 점을 생각하면 특별한 변화라고 할 수 있다.

가트너가 소개한 CWP의 핵심 기능은 ▲익스플로잇 방어·메모리 보호 ▲애플리케이션 컨트롤, 화이트리스트 ▲시스템 무결성 보증 ▲ID 기반 세분화와 네트워크 가시성 ▲하드닝, 설정 및 취약점 관리 등이다.

서버 백신이 제공해 온 안티 멀웨어 스캐닝은 파일 저장소 보호를 위해 동작하는 기능이고, 취약점 보호가 탑재된 HIPS, 행위 모니터링 기능이 있는 서버 워크로드 EDR, 위협 탐지와 대응은 워크로드 외부에서 작동하는 기능으로, CWP의 필수 기능은 아니라고 설명한다.

그런데 IBM 조사에 따르면 클라우드 워크로드의 90% 이상이 리눅스가 지원하고 있으며, 리눅스 관련 악성코드 패밀리는 지난해 40% 증가하는 등 리눅스 기반 악성코드가 활개를 치고 있다. 컨테이너 환경이 확산되고 있지만 여전히 VM 기반 클라우드 인프라가 대다수이며, 컨테이너를 구동한다 해도 호스트가 되는 인프라는 대부분 리눅스를 채택하고 있다. 따라서 리눅스 보호 기능은 클라우드 워크로드 보호에 여전히 중요한 요소라고 할 수 있다.

리눅스 보호가 CWP의 핵심이라고 할 수는 없다. 가트너는 서버 백신, 서버 EDR·EPP와 CWP를 구분해야 한다고 강조한다. 크라우드스트라이크, 카스퍼스키, 안랩 등 엔드포인트 보안 기업들은 클라우드에 최적화해 설계한 전문 CWP 기술로 클라우드 워크로드를 보호하는 에이전트·에이전트리스 기술을 선보인다.

크라우드스트라이크의 ‘팔콘’ 플랫폼에는 CSPM, CWP, 컨테이너 보안 모듈이 추가돼 클라우드 워크로드를 보호한다. CSPM 솔루션 ‘팔콘 호라이즌’은 IaaS, SaaS, PaaS를 포함한 클라우드 인프라 전반에서 위험을 식별하고 해결을 자동화한다. ‘팔콘 CWP’는 데브옵스·CI/CD 파이프라인에 통합되며, 클라우드 리소스를 최적화하고 애플리케이션의 안전을 보장한다. ‘팔콘 컨테이너 시큐리티’는 취약점으로부터 컨테이너를 지속적으로 보호한다.

국내 기업 중에서는 처음으로 출시된 CWP 솔루션 ‘안랩 CPP’는 멀티 클라우드 서버 통합관리와 위협관리 및 대응, 화이트리스트 기반 애플리케이션 제어, 안티 멀웨어, 호스트IPS·방화벽 등의 기능을 제공한다. 클라우드 계정 연동으로 오토스케일링되며, 클라우드 서버 워크로드를 자동 식별하고 컨테이너 악성코드·침입을 탐지하는 기능도 제공한다.

안랩이 투자한 아스트론시큐리티는 ‘아스트론 CWP’의 GS 인증을 완료하고 공공시장 공략에 본격 나섰다. 이 솔루션은 클라우드 자산·계정·보안설정을 확인하고 변경상황을 감시하며, 이상행위를 통보해 클라우드 보안 운영의 안정성을 제고한다

다양한 IT 기업, CWP 시장 진출 경쟁

CWP 시장의 빠른 성장에 맞춰 글로벌 IT·보안 기업들의 시장 진출 속도도 빨라지고 있다. 포티넷의 ‘포티CWP’, 주니퍼 네트웍스의 ‘주니퍼 클라우드 워크로드 프로텍션’, 시스코의 ‘시큐어 워크로 드’ 등이 대표적이다. 이 솔루션들은 각자의 클라우드 통합 보안 플랫폼에 통합되면서 광범위한 써드파티 통합이 가능하다고 주장한다.

멀티·하이브리드 클라우드에서 워크로드를 보호하고, 취약점 탐지, 런타임 보호, 위협 인텔리전스 연동을 통한 지능적인 보호, 메모리 기반 공격 방어, 제로 트러스트 관점의 마이크로 세그멘테이션 지원 등을 제공한다.

VM웨어는 카본블랙, 옥타린, 라스트라인을 잇달아 인수하며 클라우드 워크로드와 애플리케이션 보안에 나서고 있다. VM웨어는 카본블랙 클라우드에 옥타린의 쿠버네티스 애플리케이션 보안 기능을 탑재해 컨테이너·쿠버네티스로 보호 영역을 확장하며, 탄주 플랫폼에도 통합한다. 샌드박스·멀웨어 방어 기술 라스트라인 인수를 통해 클라우드 전반의 보안 위협을 탐지한다.

IBM도 CWP와 CSPM을 클라우드 보안 제품군에 추가하면서 시장 공략에 나섰다. IBM은 2020년 스패누고(Spanugo)를 인수하고 CSPM을 자사 클라우드에 통합시켰으며, 2021년 레드햇이 인수한 스택록스를 결합해 컨테이너 워크로드 보호 기술도 확보하게 됐다