[데이터넷] 클라우드 보안의 시작은 워크로드 보호이며, CWPP와 CSPM이 대표 기술로 꼽혔다. 이 분야는 인접한 기술을 통합하면서 CNAPP으로 진화하고 있는데, 컨테이너·쿠버네티스와 IaC까지 포함하는 클라우드 네이티브 환경 전반을 보호하는 플랫폼이 필요해졌기 때문이다. CWPP에서 CNAPP까지 발전 단계를 알아본다. <편집자>

‘클라우드 보안의 시작’이라고 할 수 있는 클라우드 워크로드 보호 플랫폼(CWPP, 혹은 CWS) 시장이 대대적인 변화의 물결에 올라탔다. 전통적인 강자가 시장에서 밀려나고, 신흥 주자들이 리더 자리를 차지하고 있다.

초기 CWPP는 클라우드 인프라에 사용되는 리눅스 서버를 보호하는 기능을 중심으로 개발됐으며, 트렌드마이크로와 브로드컴에 인수된 시만텍, 스카이하이 시큐리티로 이름을 바꾼 맥아피가 시장을 만들어왔다. 그러나 포레스터의 ‘2022년 1분기 클라우드 워크로드 보호 시장 점유율’ 조사 결과, 시장의 리더는 팔로알토 네트웍스, 그 뒤를 스카이하이 시큐리티가 바짝 뒤쫓고 있다. 트렌드마이크로는 강력한 경쟁자로 한 단계 내려갔으며, 브로드컴은 챌린저에 가까운 위치까지 내려갔다.

IDC의 ‘2021년 전 세계 클라우드 워크로드 보호 시장 점유율’에서는 트렌드마이크로가 여전히 후발주자와 큰 격차를 보이는 1위를 달리고 있지만 점유율은 2020년 27.5%에서 10%p 가까이 낮아진 17.7%로 줄었다.

IDC 조사에서 흥미로운 것은 점유율 순위를 매기지 않는 ‘기타’가 49.3%로 절반에 이르렀다는 점이다. 2020년에는 32.8%, 2018년에는 20%였다. 시장이 빠르게 성장하면서 시장에 뛰어든 경쟁사가 너무 많아 점유율을 일일이 표시하지 못했을 것으로 보인다.

통합 트렌드 이끄는 클라우드 보안 스타트업

CWPP 시장에서 전통적인 질서가 수시로 변하고, 신흥주자들이 강세를 보이는 이유는 그만큼 클라우드 기술이 빠르게 바뀌고 있기 때문이다.

호스트에 에이전트를 설치해 백신처럼 보호하는 기술은 현재 클라우드 환경에 맞지 않다. IaC와 같이 코드로만 운영되는 환경이나 도커와 같이 이미 개발된 컨테이너 이미지를 가져와서 조립하는 형태를 취하는 마이크로 서비스 아키텍처는 호스트를 염두에 두고 설계한 것이 아니다.

복잡한 클라우드 환경을 보호하기 위해 여러 보안 기능이 필요한데, 이를 개별적으로 설치해 사용하는 것 보다 통합 플랫폼으로 제공되어야 한다는 점도 CWPP의 변화를 촉진하는 요인이 된다. 그래서 클라우드 보안 벤더들이 통합 플랫폼으로 빠르게 전환하고 있으며, 클라우드 네이티브 기술을 기반으로 설계된 클라우드 보안 스타트업의 플랫폼이 신흥 강자로 부상하고 있다.

포레스터는 “클라우드 보안이 서로 다른 도구가 뒤죽박죽 섞이는 형태로 구성되어서는 안된다. 포인트 솔루션 제공업체들은 계속 기술 혁신을 이루고 있지만, 고객들은 여러 솔루션의 통합 제품을 원한다”고 설명했다.

CNAPP으로 진화하는 CWPP

통합 제품의 수요에 따라 CWPP와 클라우드 보안 형상관리(CSPM)가 통합돼 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)으로 진화하고 있으며, 클라우드 인프라 권한 관리(CIEM), 쿠버네티스 보안 형상관리(KSPM), API 탐지와 위협 방어 등의 툴도 CNAPP에 통합되면서 워크로드에 대한 포괄적인 가시성을 제공하게 됐다.

클라우드 워크로드와 인프라, 네이티브 애플리케이션 보호 기능이 통합되는 이유는 분명하다. 클라우드는 복잡성이 높기 때문에 개별 솔루션을 일일이 설치하고 운영하는 기존의 방식으로 보호하지 못한다는 것이다.

가트너는 “CSPM은 단순한 컨트롤 플레인 구성 오류를 식별하며, 전체 워크로드 위험 상태를 통찰하지 못한다. 하이퍼스케일 규모로 확장하는 CWPP는 기능이 풍부한 도구 모음을 개발하기 때문에 에이전트가 포괄적인 가시성과 보호 기능을 시행해야 한다. 이 때문에 CWPP는 사용되지 않는 기능, 복잡한 관리 절차의 한계를 갖게 되고, 클라우드 인프라 사용량이 늘어나 엄청난 비용이 발생한다”고 CSPM과 CWPP의 한계를 언급했다.

가트너는 이어 사일로화된 CSPM과 CWPPP가 엔터프라이즈 비즈니스 요구 사항을 따라가지 못하고 있으며, 에이전트 방식의 CWPP는 클라우드에서 작동하지 않는다는 점을 지적하면서 “CSPM 도구는 CWPPP를 CNAPP로 진화시키고 있다”고 밝혔다.

가트너는 ‘통합 플랫폼’이 실제로 통합된 환경을 제공하는지도 파악해야 한다고 조언했다. 클라우드 보안은 여러 단편적인 솔루션을 사용하지 말고, 하나의 공급업체를 최대한 활용해 도구 복잡성을 줄여야한다. 그렇지 않으면 복잡성이 높아지고 비용이 증가하며 보안 사각지대가 늘어난다.

그래서 CWPPP·CNAPP을 제공하는 기업들이 통합 플랫폼의 역량을 강조하고 있지만, 일부 솔루션은 인수한 여러 기업의 기술을 나열하는 수준의 솔루션으로 ‘통합 플랫폼’이라고 설명한다. 이러한 제품은 단일 관리 지점에서 일관된 제어를 제공하지 못하며 클라우드 보안 위협을 해결하지 못한다.

단일 통합 솔루션 제공

이 시장의 강자로 빠르게 부상하고 있는 팔로알토 네트웍스의 ‘프리즈마 클라우드’는 클라우드 인프라, 애플리케이션, 데이터, 권한관리 기능을 단일 통합 솔루션으로 제공한다. 모든 CI/CD 워크플로우와 통합해 클라우드 인프라와 애플리케이션 개발 초기부터 보호한다. 풀 스택 런타임 보안을 유지하면서도 IaC 템플릿, 컨테이너 이미지, 서버리스 기능 등을 스캔해 데브옵스와 보안조직을 위한 통합 툴을 제공한다.

프리즈마 클라우드는 CIEM을 위한 멀티 클라우드 그래프를 제공해 과도하게 권한이 부여된 계정을 검색하고, 멀티 클라우드 액세스 리스크를 쉽게 확인할 수 있게 한다. 클라우드 환경의 멀웨어와 비정상적인 동작에 대한 공격 표면 탐지, 머신러닝·지능형 위협 인텔리전스를 활용한 DNS 트래픽의 공격 행위자를 식별한다.

팔로알토 프리즈마는 CWPP와 CNAPP 기술 외에도 웹 애플리케이션과 API 보안(WAAS) 기능도 제공한다. 심층 웹·API 보안을 제공하는 WAAS는 외부 채널형(OOB)으로 제공돼 클라우드 운영에 지장을 주지 않으면서 안전한 웹 애플리케이션 보호와 최적의 유연성을 보장한다.

통합 플랫폼으로 민첩한 클라우드 운영 지원

CWPP 시장 불변의 강자 트렌드마이크로는 클라우드 통합 보안 플랫폼 ‘클라우드 원’에 클라우드 보안을 위한 모든 솔루션을 통합시켜 유연하고 민첩한 클라우드의 장점을 지키면서 안전한 클라우드를 운영할 수 있게 한다.

트렌드마이크로의 장점은 온프레미스와 멀티·하이브리드 클라우드를 위한 통합 플랫폼을 제공한다는 것이다. 트렌드마이크로 솔루션을 하나로 통합한 사이버 보안 플랫폼 ‘트렌드마이크로 원’에 ▲클라우드 보안 플랫폼 ‘클라우드 원’ ▲네트워크 보안 ‘네트워크 원’ ▲엔드포인트, 이메일, 모바일, 웹 등 사용자 보호 ‘워크포스 원’ ▲사이버 방어 센터 ‘비전원’을 통합했다.

멀티·하이브리드 클라우드를 위한 클라우드 원에는 ▲CWPP ‘워크로드 시큐리티(Workload Security)’ ▲클라우드 보안 형상관리(CSPM) ‘컨포미티(Conformity)’ ▲네트워크 보안 ‘네트워크 시큐리티(Network Security)’ ▲파일 스토리지 보안 등이 통합돼 있으며, 스닉(Snyk)과의 파트너십으로 오픈소스와 컨테이너 보호 기술도 적용돼 있다.

클라우드 원은 모든 클라우드 사업자와 클라우드 환경에 구축하는 애플리케이션을 포괄적으로 보호하며, AWS, 애저, VM웨어, 구글 클라우드 툴셋을 보호하고, 사용자 경험에 영향을 미치지 않으면서 매주 새로운 기능을 제공한다.

국내 기술로 CWPP 시장 진출

국내에서도 클라우드 시장 성장 속도에 맞춰 CWPP의 수요가 늘어나고 있다. 그래서 국내 기업들도 시장 진출 채비를 서두르고 있는데, 우리나라에서는 본격적으로 클라우드 전환을 시작한지 얼마되지 않았으며, 보안이 필요하다는 인식도 비교적 최근 자리 잡았기 때문에 솔루션으로 완성되어 공개된 제품은 많지 않다. 또한 많은 솔루션이 호스트 기반 보안 기술로 가상환경을 보호하는 수준에 머물러 있는 실정이며, 신뢰할 수 있는 성공사례를 확보하는 속도도 더디다.

아직은 초기인 CWPPP 시장을 공략하기 위해 안랩은 국내에서 가장 먼저 워크로드 보호 솔루션 ‘안랩 CPP’를 출시하고 여러 고객들로부터 호평을 받고 있다. 안랩 CPP는 물리·가상·클라우드 환경의 서버에 대한 가시성과 일관된 통합 보안을 제공하며, 컨테이너가 존재하는 호스트에 대한 런타임 보안도 지원한다.

호스트 서버를 비롯해 컨테이너 내 악성코드, 컨테이너로부터의 네트워크 침입 공격을 탐지하고 차단할 수 있으며, 대시보드를 기반으로 클라우드·하이브리드 환경의 서버 워크로드에 대한 보안 상태를 직관적으로 보여준다.

또한 안랩은 클라우드 기술 스타트업 테이텀시큐리티에 투자하는 한편 전략적 파트너십을 맺고 테이텀의 클라우드 보안 형상관리(CSPM) 솔루션 ‘테이텀 C3’와 안랩 CPP를 함께 제공한다. 이를 통해 클라우드 워크로드에 대한 침입 탐지와 방어, 구성오류 및 컴플라이언스 문제를 통합 관리할 수 있게 한다.

안랩 CPP는 금융·핀테크 기업과 리테일, 공공기관 등 다양한 산업군에 공급됐으며, 클라우드 환경을 갖춘 다수 핀테크, 스타트업이 준수해야 하는 컴플라이언스 조건에 맞춰 지원함으로써 스타트업이 핵심 역량에만 집중해 비즈니스를 성장시킬 수 있도록 지원한다.

국내 환경 최적화 지원

안랩이 투자한 테이텀시큐리티는 국내외 컴플라이언스를 지원하는 CSPM을 제공, 가장 쉽고 편하게 클라우드 보안을 달성할 수 있도록 한다. 한 번의 스캔으로 클라우드의 자산 현황을 파악하고, 모든 설정을 확인할 수 있다.

테이텀시큐리티는 ISMS-P, 클라우드 보안인증(CSAP), 금융보안원 클라우드 보안 가이드 등 국내 클라우드 보안 규제를 모두 만족하며, ISO 27001, NIST 800-53, HIPAA, PCI-DSS 등 글로벌 컴플라이언스도 지원한다. 국내외 퍼블릭·프라이빗 클라우드 지원, 국내 기업·기관 환경에 최적화된 클라우드 워크로드 지원 등의 특징을 갖는다.

테이텀시큐리티는 향후 CWPP와 CIEM을 결합하면서 CNAPP로 발전시킨다는 계획을 밝힌다.

CSPM은 사용중인 클라우드를 실시간 모니터링해 구성·설정오류, 사용자 실수, 규제준수 위반 등을 파악하는 관리 솔루션이다. 클라우드 상에서 발생하는 99%의 사고는 사용자 실수에 의한 것인데, 클라우드 인프라는 여러 요소로 구성돼 있으며, 구성요소 별로 하나하나 콘솔을 통해 확인하고 설정해야 하기 때문에 수작업으로 관리할 수 없다.

또한 클라우드 인프라는 크기와 상태가 끊임없이 변하기 때문에 자동화된 툴이 없으면 구성 내용을 확인할 수 없으며, 서비스를 제공하는 지역·국가별 혹은 산업별로 상이한 컴플라이언스를 만족시키는 방법도 수동으로는 관리할 수 없다.

그래서 CSPM이 클라우드 보안의 시작이라고 평가되고 있으며, 이 분야의 기술을 제공하는 전문기업들이 대형 기업에 인수돼 클라우드 보안 플랫폼의 한 요소로 자리하고 있다. 체크포인트에 인수돼 ‘클라우드가드’에 편입된 ‘돔9’, 트렌드마이크로에 인수돼 ‘클라우드원’에 포함된 ‘클라우드 컨포미티’, 팔로알토 네트웍스에 인수돼 ‘프리즈마 클라우드’에 통합된 에비던트 아이오, 레드락 등이 대표적인 예이다.