클라우드 네이티브 애플리케이션 개발부터 배포·운영까지 중단없이 보호
[데이터넷] 공격자는 목표 조직의 클라우드에서 잘못된 구성과 취약한 워크로드, 공급망·써드파티 이미지의 취약점을 찾아 초기 침투를 시도한다. 침투 후 공격코드를 다운로드하고 C&C 호출 후 공격용 컨테이너 이미지를 내려받아 실행한다. 권한을 상승시키고, 서버를 점유한 후 백도어 삽입, 더 많은 시스템으로 확장 이동, 정보 탈취와 암호화폐 채굴을 한다.
만일 초기 침투에 사용한 잘못된 구성과 취약한 워크로드, 공급망·써드파티 이미지의 취약점이 없었다면 공격은 시작되지 않았을 것이다. 박인우 아쿠아 시큐리티 코리아 수석은 이 점을 강조하며 “클라우드 네이티브 환경이 확산되면서 이러한 방식을 택하는 보안공격이 더 증가할 것이다. 클라우드 네이티브 환경 보호를 위한 방법이 시급하다”고 강조했다.
가시성 제한된 클라우드 네이티브 환경
박인우 수석은 ‘차세대 보안 비전 2022’에서 ‘비즈니스 서비스 인프라의 변화, 위험 관리 전략’ 주제의 세션을 통해 클라우드 네이티브 애플리케이션 환경의 보안위협과 대응 방법을 소개했다.
클라우드는 기업·기관의 중요 IT 인프라이며, 애플리케이션 개발 표준으로 자리잡았다. 컨테이너를 이용해 클라우드 사용 비용을 줄이면서 더 민첩하게 서비스를 개발·운영할 수 있게 하고 있다. 개발부서 51%가 클라우드 네이티브를 사용하며, 조직의 70%는 쿠버네티스를 사용한다. 2025년까지 95%의 기업이 클라우드 네이티브로 비즈니스 인프라를 전환시킬 계획을 밝힌다.
클라우드 네이티브 환경은 이전과 다른 보안 문제를 갖는다. HIPS와 방화벽은 VM을 볼 수 있지만, 컨테이너·쿠버네티스는 보지 못한다. 개발과 배포, 운영을 자동화 한 데브옵스 환경에서 개발·운영조직은 별도의 커뮤니케이션을 하지 않을 뿐 아니라 보안을 적용할 시간도 충분하지 않다.
로그4j와 같은 취약점은 클라우드 환경을 더 위험하게 만든다. 광범위하게 배포된 클라우드 애플리케이션에서 로그4j 취약점 영향을 받는 파일을 찾는 것은 백사장에서 바늘 찾는 것과 같다. 많은 개발자가 사용하는 라이브러리에 취약점이 있으면 이를 사용한 서비스가 모두 영향을 받는데, 개발자들은 이미지를 적용하기 전 보안 취약점을 점검하지 않을 뿐 아니라 취약점 점검 툴도 충분한 상황은 아니다.
박인우 수석은 “랩서스 공격그룹은 클라우드 환경의 보안 위협에 더 강한 경고를 내렸다. 랩서스는 크리덴셜 탈취, 시스템 접근 권한 확보, 권한 상승, 데이터 유출로 취약점을 이용한 공격 기법을 사용했다”며 “서비스 전 구간에서 위험 요소를 식별하고 대응· 관리하는 것만이 위험을 예방할 수 있다”고 강조했다.
위협 분석 조직 ‘팀 노틸러스’, 빠른 위협 탐지 지원
아쿠아는 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)을 제공하는 기업으로, 가트너가 CNAPP에 대해 “개발부터 런타임까지 통합된 보안 접근을 지원하며, 통합 수명주기 방식을 보장해야 한다”며 밝힌 CNAPP 핵심 요구를 모두 만족한다.
아쿠아는 개발부터 런타임까지 모든 보안위협을 사전에 제거하는데, 도커 이미지 취약점 스캐닝과 설정 오류, 신뢰할 수 없는 이미지 적용을 제한한다. 레지스트리와 오케스트레이터의 불충분한 인증·인가, 비인가 접근, 런타임 취약점과 공격표면 등을 점검하고 자동화된 보안 조치를 수행한다.
아쿠아 CNAPP은 코드에서 프로덕션까지 규제준수를 보장하며, 워크로드를 중단하지 않고 프로덕션의 불변성을 제공하고, 클라우드 네이티브 공격이 발생하기 전에 방지한다. 개발 프로세스와 함께 작동하는 별도의 보안 도구를 고도화해 클라우드 네이티브 환경을 보호한다.
또한 아쿠아는 클라우드 전반의 위협과 취약점을 탐지하고 분석하는 위협 분석 전문조직 팀 노틸러스(Team Nautilus)를 통해 빠르게 위협을 발견하고 조치할 수 있게 한다. 로그4j의 경우, 취약점이 공개되기 전에 탐지하고 아쿠아ID로 취약점을 업데이트 했으며, 익스플로잇 릴리스 초기에 취약점의 위치를 찾아 제거할 수 있게 했다.
박인우 수석은 “클라우드 개발환경은 빠르게 진화하고 있지만, 기존 보안도구는 새로운 환경에 맞지 않는다. 아쿠아시큐리티는 처음부터 클라우드 네이티브 환경을 보호하기 위해 설계된 플랫폼을 통해 클라우드 애플리케이션 수명주기 전반을 보호할 수 있다. 또한 팀 노틸러스를 통해 빠르게 클라우드 위협을 인지하고 고객들이 대응할 수 있도록 지원한다”며 “아쿠아시큐리티는 고객의 안전한 클라우드 운영을 중단없이 돕는다”고 말했다.
