컴플라이언스·클라우드 모범 사례·클라우드 보안 운영 노하우 담은 ‘옵스나우 시큐리티’ 개발
[데이터넷] IT에 기반한 비즈니스 혁신인 ‘디지털 트랜스포메이션’이 진행되면서 보안의 중요성이 점차 커지고 있다. 실제로 국내외 대기업들이 연달아 보안 사고를 겪는 사례가 발생하면서 이제는 디지털 트랜스포메이션의 핵심 역량이 보안이라는 말이 나올 정도다.
맥아피에 따르면 2020년 1월부터 4월까지 클라우드 서비스에 대한 공격이 기존보다 630% 늘어난 것으로 집계됐다. 또 IBM은 2020년 국내 24개 대기업들이 데이터 침해에 따른 비용으로 평균 38억원을 소요했다는 분석을 내놓기도 했다.
이처럼 나날이 증가하는 클라우드 보안 사고에 대비하기 위해 베스핀글로벌은 <데이터넷TV>가 주최한 ‘제4회 클라우드 보안·서비스 인사이트 2022’ 온라인 컨퍼런스에서 ‘옵스나우 시큐리티를 활용한 클라우드 보안 가시화 전략’을 소개했다.
정현석 베스핀글로벌 상무는 “클라우드 침해 사고의 99%는 사용자 실수로 인해 발생하고 있다”며 “사이버 공격자를 검거하는 것은 어렵고, 기업의 중요 자산이 한 번에 무너질 수 있기 때문에 예방이 최우선이다. 따라서 사이버 보안은 더 이상 보안 담당자만의 책임이나 이슈가 아니라 CEO의 아젠다가 되고 있다”고 밝혔다.
클라우드 보안은 전통적인 IT 보안과 많은 차이가 있어 기업들의 어려움이 가중되고 있다. 클라우드는 기존 온프레미스 환경에 없었던 새로운 기술들로 운영되며, 매년 새로운 기술이 쏟아져 나오고 있기 때문에 아직까지 그에 대한 보안 준비가 갖춰져 있지 않다.
또 클라우드는 클라우드 서비스 제공업체(CSP)와 이용 고객 간 책임이 명확하게 구분되는 책임 공유 모델이 존재하지만, 생각보다 많은 기업들이 클라우드 보안은 CSP가 책임질 것으로 오해하고 있는 것도 문제로 작용한다. 뿐만 아니라 이용자에 대한 권한만 통제하던 예전과 달리 이제는 리소스, API에 대한 권한도 통제해야 하는 만큼 전반적인 환경이 복잡해졌다.
즉 클라우드 보안은 레거시 보안과 완전히 다를 수밖에 없으며, 기존 컴플라이언스나 보안 기술, 보안 거버넌스 등으로는 해결하기 어렵다.
보안 상태 가시화 필수
정현석 상무는 “클라우드 보안 사고의 99%가 사용자에 의해 발생하게 된 이유는 제대로 된 클라우드 보안 정책이 없고, 복잡한 클라우드 자원을 관리할 수 있는 툴이 없기 때문”이라고 지적하면서 “클라우드 보안은 기존 보안과 다르기 때문에 새로운 보안 정책을 만들고, 그에 따라 보안 상태를 가시화해야 보안성을 높일 수 있다”고 강조했다.
이에 베스핀글로벌은 클라우드 보안 정책을 우선적으로 수립하기로 했다. 매년 5개의 컴플라이언스 인증을 받는 것에 맞춰 클라우드 정책을 만들고자 했지만, 각 컴플라이언스들이 클라우드 환경, 구성 요소, 운영 특징을 반영하지 못한다는 것이 단점이었다. 그로 인해 직접 정책을 만들기로 결정했고, 컴플라이언스, 클라우드 모범 사례, 클라우드 보안 운영 노하우를 기반으로 8개 카테고리의 28개 챕터와 61개 섹션의 ‘옵스나우 시큐리티 벤치마크’를 제작했다.
또 전 세계 모든 클라우드 보안 정책이 나오는 곳을 찾아 핵심이 되는 몇 곳에서 새로운 정책이 나오면 이를 자동으로 가져오는 정책 부스터를 개발했으며, 실시간으로 전 세계 클라우드 정책을 확인하고 업데이트되도록 자동화했다. 특히 클라우드 기술이 지속 변화함에 따라 보안 정책들을 필요에 따라 쉽게 추가하고 커스터마이징할 수 있도록 했다.
클라우드 보안 상태를 쉽게 파악하기 위해 점수 형태 관리하고자 정책 중요도, 심각도, 클라우드 리소스 중요도를 감안해 계산 방식을 만들었다. 100점 만점에 60점 이상이면 안전한 상태로 규정하며, 매일 점수를 확인해 미달된 프로젝트 엔지니어에게는 수정해야 할 사항을 전달하고 조치하도록 프로세스를 만들었다.
초기에는 이러한 프로세스 수행에 많은 시간이 걸렸지만, 점수가 상승했을 경우 굉장히 짧은 시간만 소요됐다. 아울러 최고보안책임자는 회사의 모든 프로젝트 보안 점수를 확인할 수 있게 돼 사용자 실수에 의한 보안 사고를 예방할 수 있었으며, 조치 방법에 대한 노하우도 쌓을 수 있었다는 평가다.
이에 더해 베스핀글로벌은 클라우드 보안 가시성을 더욱 높이고자 취약점 원인을 밝히는 데도 투자하고 있다. 취약점이 발생한 시간과 장소, 행위, 계정정보를 분석해 자세한 로그를 살펴보면 공격 방식도 확인할 수 있으며, 이러한 데이터들을 모아 인공지능(AI)을 활용해 분석하면 취약점이 발생하기 전 예방이 가능할 것으로 보고 개발 중이다.
정현석 상무는 “베스핀글로벌은 클라우드 정책을 만들고, 보안 정책을 점수화해 90점 이상을 유지한다는 원칙을 세웠으며, 이에 기반해 취약점 발생 시 1일 이내에 조치하고 이상행위를 분석하는 방식으로 80% 이상 클라우드 보안 사고를 예방했다”고 말했다.
이어 ‘옵스나우 시큐리티’의 고객 사례 소개와 데모 시연을 진행한 두소휘 베스핀글로벌 매니저는 “클라우드 보안은 인증심사처럼 1, 2년에 한 번씩 취약점을 점검해 개선하고, 다음 점검 주기가 돌아오기까지 기다려서는 안 된다. 점검하고 개선하는 기간에는 보안 수준이 올라가지만, 지속적으로 관리하지 않으면 보안 수준이 다시 낮아지게 된다”며 “클라우드는 항상 변하고 있고, 새로운 보안 위협도 지속되면서 취약점은 증가하기 때문에 ‘옵스나우 시큐리티’로 지속 모니터링을 수행할 것을 권장한다”고 당부했다.
