“복잡한 클라우드 운영 위해 기업 최적화된 데브섹옵스·CSPM 도입 방안 찾아야”
[데이터넷] 클라우드는 비즈니스 유연성을 극대화 해 시장의 변화에 신속하게 대처할 수 있도록 한다. 그만큼 자산의 변동성이 높고 통제가 어려우며 가시성 확보도 쉽지 않다. 또 퍼블릭 클라우드는 공동책임모델에 따라 클라우드 사업자와 사용자의 책임이 나뉘기 때문에 기업이 보안의 주도권을 갖기도 어렵다.
이 문제를 해결하기 위해 여러 보안 기술이 제안되고 있으며, 그 중 가장 기본이 되는 원칙이 ‘자동화’이다. 비즈니스 전체 거버넌스 내에서 변경되는 자산을 지속적으로 추적하고 가시화하며 관리하는 과정을 효율화 할 수 있는 자동화 기술이 필수다.
양혁재 테이텀시큐리티 대표는 데이터넷TV ‘제 3회 클라우드 보안 인사이트 2021’의 ‘클라우드 보안 문제의 명쾌한 해결책, 데브섹옵스(DevSecOps)와 클라우드 보안 형상관리(CSPM)’ 세션에서 자동화를 통한 클라우드 보안 구현 방안에 대해 자세히 설명했다.
양혁재 대표는 “클라우드는 변경되는 자산에 대한 지속적인 추적과 관리, 가시성 확보가 무엇보다 중요하다. 그 방안이 데브섹옵스이며, 클라우드 보안 연합(CSA), 미 국방부, NIST 등 글로벌 클라우드 보안 선도기관이 데브섹옵스의 필요성을 강조하고 있다”고 밝혔다.
단계별·점진적 데브섹옵스 도입 방안 제시
테이텀은 데브섹옵스와 CSPM으로 클라우드 보안을 자동화하는 기술을 제공하는 기업이다.
데브섹옵스는 IT 개발부터 배포, 운영, 관리 전 영역을 보안과 연결해 자동화 관리하는 프로세스로, 클라우드의 유연성과 민첩성을 보장하면서 보안을 달성할 수 있게 한다. 그래서 많은 클라우드 기업들이 데브섹옵스 구현 툴과 솔루션을 제안하고 있지만, 개발환경이 너무 빠르게 변하고 있으며, 개별 기업과 비즈니스 특성, 개발 환경이 다르기 때문에 적합한 데브옵스 툴을 선택하기 어렵다.
양혁재 대표는 “데브섹옵스 구현을 위해 정의된 단 하나의 표준화된 방법은 없다. 기업 스스로 자사에 가장 적합한 환경을 찾아야 한다. 기업 상황을 진단하고, 상황에 맞게 단계별로 적용해야 하며, 사전에 철저한 사전 검토가 필요하다”며 “또한 데브섹옵스에 필요한 보안 기술도 각 상황에 맞는 것을 찾아야 하기 때문에 자사 보안 요구사항을 정확하게 파악하는 것이 필요하다”고 설명했다.
양혁재 대표는 데브섹옵스를 도입할 때 단계별로 점진적으로 진행하는 것이 권장된다고 설명했다. 가장 먼저 개발단계에서 위협 모델링과 IDE SAST 도입을 검토한 후, 통합 단계에서 SAST를 일부 도입한 후 오픈소스·써트파티 소스코드 점검(SCA)을 검토한다. 승인 단계에서 SAST 도입을 완료하고 블랙박스 퍼징과 일부 보안 관련 컴플라이언스를 테스트한다.
시제품 운영 단계에서 SAST 도입을 완료하고, 런타임 애플리케이션 자가 방어(RASP), 기능별 보안 테스트 도입, IAST/DAST 도입, 보안관련 컴플라이언스 테스트 도입 등을 진행한다. 마지막 제품 운영 단계에서 RASP를 완료하고, 컴플라이언스 테스트까지 도입한다.
지속적인 클라우드 보안 형상관리·모니터링 필수
데브섹옵스를 구현할 때 반드시 검토해야 하는 것이 컴플라이언스다. 테스트·개발 시 민감정보가 노출되지 않도록 하거나, 실제 서비스에 적용할 때 규제 준수 여부 등을 반드시 점검해야 한다. 클라우드 보안 사고의 대부분이 사용자 실수나 설정오류, 규제준수 위반으로 인해 발생하는 것으로, 가트너는 지속적인 클라우드 보안 형상관리와 추적·변경 모니터링을 수행하는 CSPM이 필요하다고 강조했다.
양 대표는 “데브섹옵스 구축의 기본은 컴플라이언스 관리 자동화이며, CSPM이 필수라는 뜻”이라며 “CSPM은 컴플라이언스를 확인하고, 자산을 시각화 해 사용중인 멀티 클라우드 전체를 한 눈에 볼 수 있도록 해야 한다. 컴플라이언스 위반에 신속하게 대응하는 것도 필요하다”고 말했다.
테이텀의 ‘C3(Cloud Compliance Checker)’는 국내에서 개발된 제품 중 유일한 데브섹옵스·CSPM 솔루션으로, 사용자가 자신의 상황에 맞춰 관리할 컴플라이언스 설정하고 운영할 수 있게 한다. 사용자가 쉽게 컴플라이언스 준수 여부를 스캔하고, 관리할 수 있게 한다. 컴플라이언스 관리의 모든 과정을 자동화하고, 인증 관리를 겸할 수 있게 하며, 보유하고 있는 클라우드 리소스와 IAM을 시각화한다.
AWS, 애저, GCP, 오픈스택, 도커, 쿠버네티스, 오라클, 네이버 클라우드 등 국내에서 사용중인 대부분의 클라우드를 지원하며, ISMS-P, 클라우드 보안 인증, ISO 27001, NIST 800-53, HIPAA, PCI-DSS 등 국내외 클라우드 보안 인증을 획득했다.
양혁재 대표는 “클라우드 보안과 자동화를 위한 표준 모델은 아직 정립되지 않은 상황이어서 기업·기관의 클라우드 마이그레이션이 쉽지 않다. 테이텀시큐리티는 다양한 클라우드마이그레이션 지원 경력과 완성된 데브섹옵스·CSPM 솔루션, 관련 교육 경험을 축적한 전문기업으로, 고객의 클라우드 보안 문제 해결을 적극 돕고 있다”고 덧붙였다.
