[데이터넷] 클라우드는 ‘코드’로 운영된다. 모든 서비스가 코드로 제작될 뿐 아니라 인프라까지도 코드로 구성된다. 이 환경에서 개발단계부터 운영단계까지 전체 라이프사이클을 아우르는 코드 보안 도구와 컴플라이언스 툴이 필요하며, 코드를 공급받는 수요자 관점에서의 보안도 필수다. 코드 보안 기술 트렌드와 시장 동향을 알아본다. <편집자>

국내 CNAPP 시장에서 아쿠아시큐리티가 지난해 한국 지사를 설립하고 게임, 포털 등 여러 고객사를 확보하면서 빠르게 시장을 장악하고 있다. 아쿠아시큐리티는 가장 완성도 높은 CNAPP을 제공한다고 자부하며, 보안연구 조직 아쿠아 노틸러스를 운영해 클라우드 네이티브 환 경의 위협을 심층적으로 분석하고 인텔리전스를 제공한다.

아쿠아 시큐리티는 특히 애플리케이션 컨텍스트 기술을 통해 빌드에서 런타임까지 전반의 보안 문제를 정확하게 탐지하고 대응할 수 있게 한다. 예를 들어 빌드 단계에서 위험 수준이 아주 낮은 보안 문제가 발생했을 때 기존의 보안툴은 이에 대해 경고하지 않고 지나간다. 그런데 이 문제가 배포, 런타임 환경으로 이어지면서 심각한 보안 문제로 발전할 수 있다. 애플리케이션 컨텍스트는 낮은 보안 위험도를 가진 오류라도 클라우드 전체에서 이와 관련된 오류를 찾아 연계분석해 실제 위험도를 파악하고 조치할 수 있게 한다.

국내 컴플라이언스 지원하는 CNAPP

아쿠아 플랫폼은 고객의 클라우드 네이티브 자산을 구축 첫날부터 보호하며, 실시간 보안을 제공한다. 이 플랫폼은 취약성, 설정 오류, 암호화, 멀웨어가 프로덕션에 침투하는 것을 방지하고, 공격 발생 시에 자동으로 이를 차단한다. 아쿠아시큐리티는 소프트웨어 공급망부터 워크로드 실행에 이르기까지 전체 애플리케이션 라이프사이클을 보호하고, 위협 방지를 자동화하며, 즉각적인 대응을 보장한다.

아쿠아 플랫폼은 ISMS-P, 금융보안원 클라우드 보안 가이드를 지원하며, 클라우드 보안 인증(CSAP)도 획득할 예정으로, 금융·공공시장까지 공략할 계획이다. 더불어 구축형으로 ‘아쿠아 엔터프라이즈’ 고객을 대상으로 SaaS 기반 ‘아쿠아 CNAPP’ 무상 업데이트를 제공한다. 이와 함께 국내 클라우드 서비스 제공 사업자(CSP)에 대한 통합용 플러그인을 개발하며, 매니지드 보안 서비스 사업자(MSP)와 협력해 시장을 공략할 계획이다.

아쿠아시큐리티 본사에서는 아쿠아 플랫폼 사용 고객에게 무 상으로 ‘클라우드 네이티브 보호 보증 프로그램’을 제공, 아쿠아 플랫폼을 뚫고 공격받은 고객에게 최대 100만달러를 지급하는 프로모션을 진행하고 있다.

이은옥 아쿠아시큐리티 한국지사장은 “클라우드 전환으로 클라우드 네이티브 애플리케이션 사용이 늘어나면서 이 환경을 중단없이 보호할 수 있는 CNAPP이 필수”라며 “아쿠아시큐리티는 한국 고객을 위해 클라우드 보안 규제를 모두 지원하는 한편, 공격적인 프로모션도 진행하고 있다. 고객의 클라우드 전환·운영을 보호하는 아쿠아 플랫폼이 국내에서도 빠르게 확산될 것이라고 자신한다”고 말했다.

에이전트 없이 클라우드 보호

CNAPP 분야에서 새롭게 떠오르는 오르카 시큐리티도 지사를 설립하고, 쿤텍과 파트너십을 체결하면서 한국시장에 진출했다. 오르카 시큐리티는 별도의 에이전트를 설치할 필요 없이, 실제 클라우드 운영 환경에 영향을 주지 않고 몇 분 안에 배포 및 보안 관리를 시 작할 수 있다. 에이전트가 없어 확장 시에도 데브옵스에 영향을 주지 않으며, 성능 저하가 없으며 사각지대 없이 보호할 수 있다.

단일 멀티 클라우드 플랫폼에서 위험에 처한 민감데이터를 포함해 가장 중요한 보안과 규제준수 문제를 몇 분 내에 파악하고 우선순위를 지정한다. 어떤 공격 경로와 위협 조합이 가장 큰 비즈니스 위험을 초래하는지 파악할 수 있게 한다.

쿤텍은 오르카 시큐리티와 함께 기업이 운영 중인 클라우드의 현재 보안 상태를 평가해 가장 위험한 비즈니스 요소를 파악할 수 있도록 보안되지 않은 데이터, 의심스러운 활동, 취약한 자산, 조직의 대응 상황 등에 대한 ‘무료 클라우드 보안 평가 프로모션’을 시행한다.

쿤텍 관계자는 “민감하게 데이터를 보호하고 엄격 한 산업 규정을 준수해야 하는 금융 서비스부터 보건 의료, 기술 서비스, 소매, 미디어 및 엔터테인먼트에 이르기까지 다양한 산업분야에서 오르카 시큐리티를 통해 포괄적인 클라우드 및 규정 준수 플랫폼의 이점을 최대한 활용하고 있다”며 “국내 기업들도 단일 클라우드 보안 플랫폼의 수요가 높아지고 있는 만큼, 쿤텍이 확보한 클라우드 보안 강화를 위한 보안 솔루션과 컨설팅을 제공해 고객을 보호할 것”이라고 말했다.

수요자 중심 SW 보안 필요

리눅스 파운데이션 리서치와 스닉이 발간한 ‘오픈 소스 소프트웨어의 사이버 보안 문제 해결’ 보고서에 깊이 생각해 봐야 할 분석 항목이 있다. 59%의 조직 이 공급업체가 보안 툴에 인텔리전스를 추가하고 책임을 지기를 원한다는 점이다. 다시 말해 애플리케이션을 공급받는 기업이 자사의 서비스를 구현하는 애플리케이션 공급업체에게 보안 문제를 해결할 것을 요구한 다는 점이다.

스닉은 이 응답 결과를 여러가지로 해석했는데, 그 중 하나가 ‘최종 사용자 조직의 리소스가 부족하다’는 것을 들었다. 애플리케이션 취약성의 40%는 타사 코드에서 비롯되며, 개발과정에서 발견하지 못했 던 취약점이나 운영 과정에서 새롭게 발견되는 취약점, 여러 코드를 조합해 애플리케이션을 개발, 운영 하면서 발생하는 취약점 등이 공격에 사용된다. 로그포셸, 스프링포셸 등 전 세계를 위협했던 취약점은 이미 배포·운영되고 있는 서비스에서 새롭게 발견된 취 약점이다.

애플리케이션 공급업체가 보안약점 없이 제공했다 해도, 실제 서비스에 적용해 배포하는 과정에서 새로운 약점이 나타날 수 있으며, 개발과정에서 미처 발견하지 못한 약점이 뒤늦게 발견될 수 있다. 최종 사용자 조직은 완성된 형태로 공급받은 소프트웨어의 약점을 파악할 수 있는 기술을 충분히 갖고 있지 않다.

애플리케이션 공급업체가 실수 혹은 고의로 취약한 제품을 제공했다면 전적으로 공급업체의 잘못이기 때문에 피해에 대해 보상해야 한다. 그런데 공급업체는 안전하게 개발했지만, 최종 사용자에게 설치되기까지 공급망이 침해를 당해 감염된 소프트웨어가 도달했다면 책임소재를 밝히는 과정에서 상당한 갈등이 야기된다.

가트너는 2025년까지 전 세계 기업의 45%가 공급망 공격을 경험할 것이라고 경고했는데, 대부분의 공급망 사고는 감염된 업데이트·패치파일 배포, 개발자 혹은 개발환경 감염으로 취약점이 내재된 파일 배포, 공급망에 숨은 공격자가 배포되는 애플리케이션에서 사용되는 오픈소스의 취약점을 이용하거나 특정 소프트웨어 컴포넌트를 바꿔치기하는 경우 등을 들 수 있다.

또한 소프트웨어 전달 창구를 이메일에 의존한다는 점을 악용, 이메일에서 코드를 훔치거나 감염된 코드를 몰래 삽입하는 등의 공격을 진행할 수 있다.

전익찬 레드펜소프트 부대표는 “현재 AppSec은 개발단계 보안에만 초점을 맞추고 있는데, 공격자는 공급망의 취약점을 주로 노린다. 최종 사용 기업은 개발사에서 제공한 애플리케이션이 안전한지 사전에 검증할 방법이 없으며, 피해를 입었을 때 책임소재를 가리는 과정에서 많은 시간과 비용이 발생한다”며 “수요자 관점의 애플리케이션 보안이 필요하다”고 말했다.

외부 개발 SW 취약점 점검

소프트캠프 자회사인 레드펜소프트는 외부에서 반입하는 모든 소프트웨어의 무결성을 검증하고, 이상이 발견됐을 때 개발기업에게 소명할 수 있는 통로를 만들어주는 수요자 관점의 공급망 위험 대응 서비스 ‘엑스스캔(X-Scan)’을 제공하는 전문기업이다.

소프트웨어 리버스 엔지니어링 엔진을 이용해 바이 너리 파일에서 인증서정보, 실행파일, API 함수, 의존성 모듈 등 패치의 제반 구성 컴포넌트를 추출해 SBoM을 생성한다.

정교한 핑거 프린팅 방법론을 이용해 소프트웨어 개발에 활용된 오픈소스 의존도를 탐지한다. 이후 이전 소프트웨어 패치와 비교해 변경·추가된 컴포넌트를 찾 고, 위협·의심과 및 소프트웨어 개발에 활용된 오픈소스가 있는지 세부 분석을 한다.

클라우드를 통해 이 모든 과정이 진행돼 고객과 소프트웨어 개발사가 직접 소통하고, 소명 과정을 이력으로 남길 수 있다. 유형에 따라 화이트해커와 같은 전문가의 제3자 검증 서비스도 추가 제공한다.

전익찬 부대표는 “최근 발생한 공급망 공격은 소프트웨어 패치·업그레이드 과정에서 특정 컴포넌트를 위변조하는데, AppSec은 공급망을 통해 최종 사용 기업에게 도달하는 과정을 보호하지 않는다”며 “엑스스캔은 소프트웨어 패치 반입과 검증 시스템을 혁신해 능 동적이고 선제적인 사이버 대응 체계를 구축한다”고 말했다.

이어 전 부대표는 “엑스스캔은 공격자의 TTP와 현 재 진행 중인 공격 정보를 파악할 수 있는 사이버 위협 인텔리전스(CTI), 외부 공격표면 관리(ASM) 솔루션 과 함께 사용하면 공급망 공격 위협에 능동적으로 대 응할 수 있을 것으로 보인다”며 “엑스스캔은 대국민 금융·공공 서비스, SOC 기반 서비스, 국방 분야 무기 비무기 체계 및 방산업체 등 공급망 공격 시 심각한 피해를 입을 수 있는 산업군은 물론이고, 일반 기업에서 도 폭넓게 사용될 수 있을 것”이라고 밝혔다