플랫폼 기반 클라우드 보호·SECaaS로 클라우드 보안 효과 높여야
[데이터넷] 임인년(壬寅年)은 물을 머금고 피어나는 새싹처럼 무언가를 시작하기 좋은 기운을 가진 해라고 한다. 그런데 사이버 세상은 긍정적인 신호만을 보여주지 않는다. 지난해 사이버 범죄 비용이 6조달러(약 7경)을 초과할 것으로 예상되며, 올해는 이보다 훨씬 더 성장할 것으로 보인다. 예측하면 대응할 수 있다. 올해 주목해야 할 보안 키워드를 정리해 본다.<편집자>
클라우드 도입 속도와 비례해 보안 문제도 급속도로 확대되고 있다. 클라우드는 사용이 편한 만큼 공격도 쉽다. 클라우드 계정을 탈취하거나 방치된 클라우드로 침입하는 공격자, 관리자 실수 혹은 설정오류로 인한 보안 위협, 국가·지역의 규제준수 위반으로 인한 위협 등이 클라우드의 대표적인 리스크다. 마이크로 서비스 아키텍처(MSA)를 도입해 빠르게 서비스를 출시하는 클라우드 개발환경에서 취약한 라이브러리, 도커 이미지, API 취약점을 이용하는 공격도 증가한다.
클라우드 보안 문제의 요점은 클라우드 주권이 사용자에게 있지 않다는 것이다. 퍼블릭 클라우드는 사업자와 사용자의 공동책임 모델에 따라 통제권이 나뉜다. IaaS는 인프라, PaaS는 플랫폼, SaaS는 서비스까지 사업자의 책임이며, 그 상위 항목은 사용자의 책임이다.
그러나 계약에 따라 책임 범위가 명확하지 않거나 장애·사고 발생 시 사업자와 사용자 누구의 책임인지 분명히 가려지지 않을 수 있다는 문제가 있다. 클라우드에 호스팅된 또 다른 서비스를 이용할 경우, 혹은 매니지드 서비스를 사용할 경우 책임 범위를 정하는 것이 더 복잡하다. 이 경우 보안문제가 다른 서비스까지 영향을 미쳤을 때 어떻게 해결해야 할지 결정하는 것은 어려운 일이다.
사업자 잘못이어도 계약 조건 따라 피해 보상 못 받을 수도
현재까지 발생한 거의 대부분의 문제는 클라우드 사용자의 책임이었다. 클라우드 사업자 책임 범위의 사고가 발생했다 해도, 백업 서비스를 이용하지 않아 피해를 입었을 경우, 계약에 따라 사용자가 보상 받지 못하는 경우도 생긴다.
따라서 클라우드 전환 시, 보안 문제를 철저하게 검토하고 정책을 마련하는 것이 매우 중요하다. 제로 트러스트 원칙 하에 클라우드 접근 권한과 모니터링, 통합·자동화된 보안관제와 운영 체계를 마련해야 한다. 모든 서비스에 보안이 내재되도록 설계하며, 지속적으로 내외부에 취약점을 점검해 공격 가능성을 낮춰야 한다.
클라우드를 보호하는 솔루션 도입도 필요한 일이다. 클라우드 워크로드 보호 플랫폼(CWPP), 클라우드 보안 형상관리(CSPM)이 필수이며, 이를 클라우드 네이티브 플랫폼에 통합한 클라우드 네이티브 보안 플랫폼(CNSP) 전략을 도입하는 것도 필요하다. CNSP는 CASB, 애플리케이션·API 보안까지 결합한 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)로 진화하고 있는데, 단절된 개별 솔루션으로는 복잡한 클라우드를 보호할 수 없기 때문에 단일 플랫폼 기반 보안으로 통합 보안 가시성 확보와 일관된 통제를 위한 것이다.
클라우드 이점 극대화하는 SECaaS
클라우드 보안에는 클라우드를 사용해 보안을 서비스하는 SECaaS(Security as a Service)도 있다. SECaaS는 클라우드 서비스의 장점을 갖고 있으며, 보안전문가의 보안관리 서비스를 제공받을 수 있다는 점에서 효과가 매우 크다.
한 번 도입한 후 가끔 등장하는 취약점을 패치하고 여러 기능을 업데이트하는 IT 솔루션과 달리, 보안은 지속적으로 위협 정보를 공유하고 업데이트하는 보안성 지속 서비스도 제공해야 한다. 그러나 보안 솔루션의 가격조차 제대로 받지 못하는 국내 현실에서 유지보수료와 보안성 지속 서비스까지 요구하는 것이 상당히 어렵다.
그래서 제품가격, 유지보수 비용, 보안성 지속 서비스까지 감안한 정기 과금 방식의 구독형 서비스가 제안된다. 이는 고객의 보안 예산 처리를 간단하게 하고, 초기 솔루션 구축 비용을 줄여 보안 비용 부담을 줄인다. 보안 기업은 정기적으로 예측 가능한 수익이 발생하기 때문에 보안 기술 개발 투자 여력을 확보할 수 있어 보안 수준을 한층 높일 수 있다.
클라우드로 보안을 제공하면 별도의 인프라 투자 없이 보안 서비스가 가능하기 때문에 보안 기업이나 사용 고객 모두 비용 효율적으로 고급 보안을 이용할 수 있다. 이 때문에 보안 전문가와 예산이 충분하지 않은 중소기업은 물론이고, 대기업에서도 SECaaS를 사용해 자사 보안조직의 부담을 줄이면서 진화하는 공격에 대응하고 있다.
보안 기업이 SECaaS를 제공하기 위해서는 여러 퍼블릭 클라우드 플랫폼에서 운영될 수 있도록 클라우드 네이티브 플랫폼을 기반으로 개발되어야 한다. 로컬 클라우드 규제 준수 사항을 반드시 검토해야 하는데, 우리나라의 경우 공공기관 클라우드 제공을 위해서는 클라우드 보안 인증을 받아야 한다. 해외 진출 시 그 나라 규제를 반드시 확인하고 지원해야 하며, 다양한 과금 방식 지원, 24시간 고객지원 서비스 마련, 셀프 서비스 가능한 서비스 구현 등을 고려해야 한다.
