[데이터넷] 클라우드 전환 속도가 빨라지면서 멀티 클라우드 전략을 택하는 조직이 늘어나고 있다. 멀티 클라우드는 온프레미스와 프라이빗 클라우드, 여러 IaaS를 관리해야 하는 문제와 수많은 클라우드 애플리케이션, 빠르게 변하는 클라우드 네이티브 애플리케이션 환경을 지원해야 한다는 문제가 있다.

클라우드는 공동책임모델에 따라 클라우드 서비스 사업자(CSP)와 사용자의 책임이 나뉘는데, 대부분의 클라우드 사고가 사용자 실수, 설정오류, 관리소홀로 인해 발생하기 때문에 사용자들의 철저한 보안 대책이 마련되어야 한다.

이에 다양한 클라우드 환경을 보호하기 위한 클라우드 워크로드 보호 플랫폼(CWPP), 클라우드 보안 형상관리(CSPM)가 필수이며, 빠르게 개발·배포되는 클라우드 애플리케이션 환경을 위한 클라우드 네이티브 애플리케이션 보안 플랫폼으로 처음부터 보안을 적용해 서비스를 제공할 수 있도록 해야 한다.

클라우드 워크로드 가시성·보안 제공하는 CWPP

CWPP는 클라우드 보안의 가장 기본적인 솔루션으로, 온프레미스, 가상머신(VM), 컨테이너, 서버리스 등 워크로드에 대해 가시성과 보안을 함께 제공한다. 가트너는 CWPP를 하이브리드·멀티 클라우드 환경에서 서버 워크로드를 보호하기 위한 보안으로 정의하고 있으며, 다음의 8가지 핵심 기능을 갖춰야 한다고 설명한다.

1. 보안 강화, 설정·취약점 관리(Hardening, Configuration and VulnerabilityManagement): 워크로드 환경의 시스템 구성과 취약점 분석 기능 형태로 제공, 해당 워크로드가 사용하고 있는 애플리케이션 취약점과 OS 취약점을 점검하고 관리한다.
2. 네트워크 방화벽, 가시성 확보 및 마이크로 세그멘테이션(Network Firewalling, Visibility and Microsegmentation): 워크로드 기준으로 방화벽 기능을 제공, 각 워크로드를 외부로부터 보호한다.
3. 시스템 무결성 보장(System Integrity Assurance): 워크로드에서 각 지정된 환경 설정의 무결성을 확인하거나 시스템 파일이나 구성, 권한에 대한 무결성을 실시간으로 모니터링한다.
4. 애플리케이션 제어(Application Control/Whitelisting): 애플리케이션 실행을 제어해 보안을 강화한다. 일반적으로 화이트리스트 기반으로 애플리케이션 실행을 제어한다.
5. 익스플로잇 예방, 메모리 보호(Exploit Prevention/Memory Protection): OS와 실행이 가능한 애플리케이션의 취약점에 대응하며 악성코드가 메모리에서 구동되는 등의 파일리스 공격 등으로부터 서버 워크로드를 보호한다.
6. 서버 워크로드 EDR, 행위 모니터링 및 위협 탐지·대응(Server Workload EDR, Behavioral Monitoring and Threat Detection/Response): 네트워크 통신, 프로세스 시작 등을 모니터링해 의심스러운 행위를 탐지하고 대응한다. 호스트 기반 에이전트 방식으로 탐지하거나, 클라우드 사업자가 제공하는 네트워크 데이터 등의 정보를 기반으로 탐지 및 대응하는 형태로 구성돼 있다.
7. 호스트 기반 침입 탐지 시스템(Host-Based IPS With Vulnerability Shielding): 워크로드 환경으로 유입되는 네트워크 트래픽을 분석해 공격을 탐지, 차단하며 호스트 기반으로 동작한다. 가상·컨테이너 환경에서 발생하는 네트워크 공격과 각종 취약점 공격으로부터 서버를 방어한다.
8. 안티 멀웨어(Anti-malware Scanning): 시그니처 기반으로 멀웨어를 탐지, 차단하며 관련 컴플라이언스를 충족한다.

구성오류 수정·컴플라이언스 지원하는 CSPM

클라우드는 공동책임모델에 따라 클라우드 서비스 사업자(CSP)와 사용자의 책임이 나뉘지만, 클라우드 사고의 대부분은 사용자의 잘못으로 인해 발생한다. 가트너는 클라우드 보안 사고의 99%가 사용자의 잘못으로 인한 것이라고 분석한바 있다. 클라우드 도입으로 서비스 개발·배포 속도가 비약적으로 향상됐지만, 지속적으로 변하는 클라우드 환경, 한정된 인력으로 수많은 클라우드 설정과 서비스를 관리하는 것이 쉽지 않다.

그래서 전체 클라우드 환경에 대한 안전한 보안 관리가 필요하다. 다양한 서비스로 복잡하게 구성된 클라우드 환경에 대한 설정 오류로 발행할 수 있는 위협을 사전에 방지하고 기업이 준수해야하는 보안규정에 대한 실시간 검증과 관리가 필요하다.

이 기능을 하는 클라우드 보안 형상관리(CSPM)는 세계 각국, 각 지역, 산업별 컴플라이언스를 준수할 수 있게 하며, 기업보안 정책에 따라 클라우드 인프라의 위험요소를 예방, 탐지, 대응하고, 클라우드 위험을 지속적으로 관리할 수 있게 한다.

CSPM은 3가지 핵심 기능을 수행한다.

• 끊임없이 변경되는 클라우드 환경에서의 컴플라이언스 지속적인 확인
• 하나 이상의 계정을 통합적으로 연동해 전체 위험을 통합관리
• 컴플라이언스 준수 위반이 발생했을 때 신속한 자동 대응

빌드부터 운영까지 중단없이 보호해야

클라우드의 장점인 민첩성과 유연성은 컨테이너, 서버리스 컴퓨팅, FaaS(Function as a Service) 등 빠르게 애플리케이션을 개발할 수 있도록 하는 클라우드 네이티브 개발 방식으로 극대화된다. 그러나 클라우드 네이티브 애플리케이션은 기존 호스트 기반 기술로 접근하기 어렵기 때문에 빌드 단계에서 보안을 고려해야 한다. 특히 개발자가 사용하는 오픈소스 애플리케이션 라이브러리, 오픈소스 도구 취약점과 악성 URL이 배포 이미지에 포함될 수 있기 때문에 오픈소스·써드파티 이미지를 적용하기 전 보안 검증을 수행해야 한다.

코드 기반 인프라 도구를 이용해 애플리케이션 배포와 인프라도 코드 기반 환경으로 배포할 수 있게 됐다. 이에 잘 설계된 아키텍트 프레임워크 기반 검증과 데브옵스 파이프라인 프로세스에 포함된 보안 이슈가 발생할 수 있는 인프라 구성을 사전에 검토하고 보호해야 한다.

가장 먼저, 데브옵스·CI/CD 배포 전 컨테이너 이미지 안전성을 검증, 이미지에 취약점이 있거나 의심스러운 URL이 포함돼 있는지 살펴본다. 빌드 단계에서 취약점을 제거하면 배포나 애플리케이션 런타임 과정에서 취약점을 제거하는 것 보다 더 빠르고 효율적으로 보호할 수 있다.

코드 기반 인프라를 배포하는 도구가 증가하면서 애플리케이션이 실행되는 인프라 환경도 코드 기반으로 배포될 수 있게 됐다. 따라서 빌드 단계에서 보안성 검증할 때 보안 이슈가 발생할 수 있는 인프라 구성을 점검하는 것도 필요하다.

클라우드는 마이크로서비스 아키텍처(MSA)를 채택해 작게 쪼개서 개발하며, API를 이용해 연결한다. 따라서 API 사용이 늘어나고 API 취약점으로 인한 보안 문제도 발생하게 된다. 더불어 애플리케이션 운영 중 발생하는 각종 장애나 보안 문제를 해결할 수 있는 방법도 마련되어야 한다. 빠르게 개발, 배포, 운영되고, 수정·폐기되는 클라우드 애플리케이션을 보호하기 위해서는 운영 중 애플리케이션 내에서 이상행위가 발생하지 않는지 실시간으로 확인하는 런타임 애플리케이션 자가방어(RASP)가 필요하다.

RASP는 개발 단계에서 소스코드 제어 흐름과 입출력 데이터에 대한 안전성을 검증하는 코드를 추가해 애플리케이션 실행 중 제어흐름과 처리 데이터를 검증하고 불법적인 데이터 처리와 실행을 탐지하고 방어한다.

허가되지 않은 애플리케이션 사용과 동작을 실시간으로 탐지·차단하며, 애플리케이션 실행 시간에 발생하는 상세공격 정보를 실시간으로 관리 콘솔에서 확인할 수 있도록 제공해 클라우드 애플리케이션에 대한 런타임 행위를 확인할 수 있다.

통합 보안 플랫폼으로 클라우드 보호

클라우드 보안 기술은 단일 플랫폼에 통합되는 추세로, 다양한 클라우드 환경을 단순하게 보호할 수 있는 방법을 지향하고 있다. 트렌드마이크로는 ‘클라우드원(Cloud One)’ 플랫폼에 CWPP 솔루션 ‘워크로드 시큐리티’, CSPM ‘컨포미티’, 컨테이너 보안 ‘컨테이너 시큐리티’, 서버리스 보안 ‘애플리케이션 시큐리티’, 클라우드 스토리지 보안 ‘파일 스토리지시큐리티’ 등 다양한 기능을 통합시켰다.

워크로드 시큐리티는 물리·가상·클라우드·컨테이너를 위한 런타임 보안 기능을 제공한다. 가트너가 정의한 CWPP 8가지 핵심기능을 모두 지원하며, 퍼블릭 클라우드 환경에서 자동으로 워크로드를 검색해 동적 워크로드를 보호하고, 하나의 관리 콘솔을 통해 정책을 일관성 있게 적용한다.

쿠버네티스, 컨테이너화 된 응용 프로그램을 포함, 컨테이너 환경의 다중 계층에 보안을 제공하며, 동일한 호스트 기반 컨트롤을 통해 컨테이너 워크로드에 대한 전체 영역을 보호하는 광범위한 보안을 제공한다.

컨포미티는 다양한 클라우드 인프라에 대한 규정 준수 프레임워크를 사용해 클라우드 계정 내 리소스 설정을 자동으로 검사하고 잘못된 클라우드 설정으로 인한 위협으로부터 기업의 클라우드 환경을 안전하게 보호할 수 있도록 통합 모니터링을 제공한다.

퍼블릭 클라우드 환경의 90개 이상 서비스에 대해 700개의 패턴을 갖고 고객의 클라우드 환경에 대한 설정을 모니터링한다. 자동화된 보안과 컴플라이언스 검사를 통해 컴플라이언스표준(PCI, ISO27001, GDPR, HIPAA, NIST 등)과 클라우드 보안 모범 사례 규칙을 이용한 클라우드 인프라에 대한 보안 사항과 컴플라이언스 준수 상태를 실시간으로 검사한다. 또한 전체 멀티 클라우드 인프라에 대한 명확한 가시성 제공과 다양한 필터 조합으로 상세 점검 보고서를 제공한다.

컨테이너 시큐리티는 CI/CD 파이프라인에 이미지 스캔·배포 제어를 적용, 컨테이너 배포 전 이미지의 취약점을 탐지한다. 애플리케이션 시큐리티는 사용자 애플리케이션에 함께 통합·배포돼 클라우드 애플리케이션 런타임 환경을 보호한다.

파일 스토리지 시큐리티는 클라우드 파일·오브젝트 스토리지 서비스 파일에 대한 악성코드 검사를 지원한다.