[데이터넷] 클라우드 보안은 기본적으로 쉽지 않다. 구성되는 요소가 많고 또 보호해야 할 대상이 계속해서 바뀌기 때문이다. 클라우드 보안을 올바르게 시작하기 위해 가장 먼저 해야할 일은 온프레미스와 클라우드의 본질적인 차이를 이해하는 것이다. 온프레미스와 클라우드의 구조뿐만 아니라 기존 보안에서 분리돼 있던 엔드포인트와 네트워크에 대한 상호 이해까지 포괄한다.

여러 클라우드 보안 솔루션, 상호 보완 체계 구축해야

클라우드 보안이 기본적으로 어떻게 구성되는지 살펴보자. 가트너가 제시한 클라우드 보안 모델과 각 보안 툴의 역할을 정리하면 <표>와 같다. <표>의 클라우드 보안 모델은 가장 기본적인 것으로 실제 클라우드 보안의 구분은 더 세분화돼 있다. IaaS와 PaaS를 보호하는 CWPP와 CSPM도 영역을 세분화해보면 보호하는 지점이 조금씩 다르다. <그림 1>과 <표>는 클라우드 보안의 구성을 큰 틀에서 정의한다는 관점으로 이해하면 된다.

중요한 것은 클라우드 보안은 하나의 솔루션으로 온전히 한 영역을 커버할 수 없다는 것이다. 여기에 클라우드 네이티브 서비스의 수명주기가 점점 짧아짐에 따라 변화에 빠르게 대응해야 한다는 요구사항도 존재한다. 따라서, 각 솔루션들이 상호보완적 체계를 구축하는 방향으로 재편되고 있다.

개발·운영환경 다른 온프레미스 vs 클라우드

클라우드 보안 구성의 개념을 이해하면, 기존 온프레미스 보안과 본질적으로 다르다는 것을 깨닫게 된다. 두 체계에 어떤 차이가 있는지 개념적인 측면에서부터 짚어본다.

개발 프로세스부터 살펴보면, 기존 온프레미스에서는 특정한 계획을 중심에 두고 단계적으로 진행해 나가는 ‘워터폴(Waterfall)’ 방식을 채택했다. 이후에는 일정한 주기를 두고 끊임없이 개발해 변화에 유연하게 대응할 수 있는 애자일(Agile) 방식으로 변모했다. 그리고 클라우드 환경으로 넘어오면서 신속성과 확장성에 대한 요구사항이 증가함에 따라, 개발부터 배포와 운영까지 통합된 ‘데브옵스(DevOps)’ 방법론이 각광받고 있다.

아키텍처의 경우, 온프레미스에서는 컴포넌트와 데이터를 하나의 공간에 밀집시켜 연결한 ‘모놀리식 아키텍처(Monolithic Architecture)’가 활용돼 왔다. 모놀리식 아키텍처는 비교적 복잡성이 덜하지만, 작은 수정사항에도 애플리케이션 전체가 영향을 받아 변화에 유연하지 못하다는 단점이 있다. 클라우드 환경에서는 컴포넌트를 세분화해 나누고 각각을 API로 연결한 ‘마이크로서비스 아키텍처(MSA)’로 변화했다.

이와 같은 차이는 운영 환경에도 변화를 불러왔다. 기존 온프레미스 환경에서는 물리 서버와 가상화 기술을 활용했다면, 클라우드에서는 마이크로서비스 아키텍처를 수용하기 위해 컴포넌트를 실행시킬 작은 단위의 환경이 필요해졌다. 이는 곧 컨테이너와 서버리스 및 오케스트레이션 필요성 증가로 이어지게 된다.

정리하면, 클라우드와 데브옵스, 마이크로서비스 아키텍처의 핵심은 애플리케이션 개발 및 운영의 신속성과 변화에 대한 즉각적인 대응이다. 최근 IT 환경에서는 이 개념에 대한 필요성이 높아지고 있어, 점점 더 많은 기업들이 온프레미스에서 클라우드로 옮겨가고 있는 상황이다.

클라우드 최적화 마이그레이션 고려해야

온프레미스를 사용하던 기업이 클라우드를 도입하면 마이그레이션을 위한 다양한 작업을 수행한다. 클라우드 마이그레이션은 이전하는 구성요소가 클라우드 환경에 얼마나 최적화되는지에 따라 4단계로 구분된다.

클라우드 마이그레이션 4단계

• 1단계: 리호스트(Rehost) – 리프트 앤 시프트(Lift and Shift)
• 2단계: 리플랫폼(Replatform) - 개발 로직을 클라우드 환경에 맞게 옮겨오는 것
• 3단계: 리팩터(Refactor) - 클라우드 기반 모델에 맞게 코드를 바꾸는 것
• 4단계: 리라이트(Rewrite) - 클라우드 네이티브(Cloud Native)로 다시 설계하는 것

우리나라에서는 클라우드 전환을 빠르게 하기위해 ‘리프트 앤 시프트방식으로 클라우드 환경을 구축하는 기업들이 많다. 물론 새로 만들어지는 서비스의 경우는 그렇지 않지만, 서버 애플리케이션들은 대부분 리프트 앤 시프트 형태로 이전되고 있다.

리프트 앤 시프트 방식은 온프레미스 서버에서 가상 서버로 이전하는 것에 대해서는 어려움이 없다. 하지만 환경이 기존과 완전히 바뀌는 네트워크나 클라우드 인프라 서비스의 경우 운영에 차질을 빚을 수 있다. 이는 보안도 마찬가지다. 온프레미스의 보안 로직을 클라우드에 그대로 옮겨오면 장기적인 관점에서 구성에 어려움을 겪을 가능성이 높다.

클라우드를 원활하게 운영하고 최대한의 혜택을 보기 위해서는 클라우드 환경에 맞게 아키텍처를 설계하는 클라우드 네이티브 마이그레이션이 필요하다. 물론 리프트 앤 시프트에 비해 시간과 비용이 많이 소요되지만 장기적인 비즈니스 생산성과 지속가능성을 고려하면 클라우드 네이티브가 올바른 선택이라 할 수 있다.

경계 사라지는 클라우드

온프레미스와 구조적인 차이를 가진 클라우드는 보안도 다르게 구성된다.

온프레미스 보안 프레임워크는 ‘경계(Perimeter)’를 중심으로 보안이 운영된다. 경계는 내부와 외부 혹은 엔드포인트와 네트워크 등의 경계로 이해하면 쉽다. 온프레미스의 경계 보안은 보호할 대상과 자원이 정의돼 있어야 한다. 정의된 자원에 대해 외부 접근을 강력하게 통제하고, 내부의 중요 자원 또는 외부와 연결된 자원에 대한 보안을 별도로 강화하는 형태로 진행된다. 이를테면, 네트워크 보안을 통해 강력한 접근 통제와 위협 차단을 적용하고 시스템에 대한 접근을 제어하는 식이다.

온프레미스 보안 관리와 적용은 정책을 기준으로 하며, 기본 보안 솔루션으로는 백신으로 알려진 안티 멀웨어가 꼽힌다. 백신을 설치해두고 엔드포인트 보안 플랫폼의 구성 요소들을 정책을 기반으로 연결해 나가는 것으로 이해하면 된다.

클라우드 보안 프레임워크는 자원을 공유하는 클라우드의 특성 상 경계가 모호하기 때문에 ‘워크로드’ 중심으로 보안이 운영된다. 워크로드란 운영체제, 애플리케이션 등 비즈니스 가치를 창출하는 자원의 모음을 뜻한다. 즉 견고한 클라우드 보안 체계 구축을 위해서는 경계를 지키는 것 보다 클라우드 상에서 운영되는 자원인 워크로드에 대한 통합 보안이 더 효과적이라 할 수 있다.

클라우드 보안은 온프레미스와 달리 보안 형상(Posture) 관리가 중요하다. 보안 형상 관리란 클라우드 구성 요소의 올바른 설정을 의미하는데, 예를 들면 잘못 설정된 네트워크 연결이나 너무 쉽게 접근 가능하도록 설정된 계정 등을 관리하는 것 등이 있다. 가트너 조사에 따르면, 클라우드 보안 사고의 약 80%는 설정 오류에 의해 발생했을 만큼 보안 형상 관리는 안전한 클라우드 보안 환경 조성의 핵심이라 할 수 있다.

솔루션 측면에서 보면 온프레미스의 안티 멀웨어와 달리 클라우드에서는 호스트 IPS가 기본이 된다. 악성코드를 차단하고 치료하는 안티 멀웨어는 클라우드 환경에서도 중요한 보안 요소이지만 경계 보안과는 다른 접근법을 가져가는 클라우드 환경에서는 온프레미스처럼 보안의 근간을 이루는 정도는 아니다.

클라우드 환경에서 호스트 IPS가 기본이 되는 이유는 내부와 외부의 통신(North-South) 뿐만 아니라 서버와 서버 간, 그리고 애플리케이션과 애플리케이션 간 통신(East-West) 트래픽까지 보호해야 하기 때문이다. 특히 East-West 트래픽은 클라우드 환경에서 빈번하게 발생하고 공격자들도 이를 내부 피해 확산에 활용하기 때문에 호스트 IPS를 통해 트래픽의 흐름과 취약점을 관리하고 위협을 차단할 수 있어야 한다.

호스트IPS·AV 탑재한 안랩 CPP

앞서 설명했 듯, 클라우드 보안 프레임워크에서 핵심은 워크로드 통합 보안이다. 따라서 클라우드 보안 솔루션의 우선순위에서도 클라우드 워크로드 보안 플랫폼(CWPP)이 단연 첫 손에 꼽힌다.

CWPP는 하이브리드 및 멀티 클라우드 아키텍처에서 워크로드를 보호하는 보안 솔루션이다. 애플리케이션의 개발부터 배포까지 모든 단계에서 보안 현황을 점검하고 일관적인 워크로드 가시성과 통제 역량 확보를 위해 여러가지 기능들을 제공한다. CWPP의 핵심이자 존재 이유는 서버, 가상머신, 컨테이너 등 다양한 환경에서 워크로드 위협을 신속하게 탐지해 대응하는 것이다.

워크로드 보안은 운영과 기본적인 보안의 전반을 일컫는 ‘보안 위생‘을 필두로 하드닝, 설정 및 취약점 관리, 아이덴티티 기반 보안 세분화, 네트워크 가시성 확보를 근간으로 한다. 이처럼 다양한 기능들이 요구되는 상황에서 중요한 것은 실질적으로 활용도가 높은 기능들을 탑재한 보안 솔루션을 통해 가용성을 향상시키는 것이다.

안랩은 클라우드 보안에 대한 고객들의 요구사항을 면밀하게 파악한 뒤 이를 반영해 출시한 CWPP 솔루션 ‘안랩 CPP’를 선보였다. 안랩 CPP는 CWPP의 핵심인 호스트 IPS부터 애플리케이션 제어, 무결성 모니터링, 방화벽, 안랩의 안티 멀웨어를 탑재하고 있다.

안랩 CPP의 호스트 IPS, 그리고 호스트 방화벽 기능은 호스트와 컨테이너 환경을 대상으로 서버 및 애플리케이션 취약점을 악용한 네트워크 공격을 방어한다. 경계점에서의 집중 보호뿐만 아니라 내부 자원, 즉 호스트 기반의 네트워크 공격 방어를 지원하는 것이다. 서버로 들어오거나 나가는 트래픽을 모니터링해서 방화벽 설정에 따라 허용/차단하거나, 적용된 IPS 시그니처에 따라 공격을 탐지/차단한다.

안랩 호스트 IPS는 차세대 침입방지시스템인 AIPS를 통해 국내에서 검증된 수천 여 개의 시그니처를 제공하며 주기적으로 업데이트를 지원한다. 또한 관리자는 조직이 필요한 시그니처를 직접 설정할 수 있다. 스노트, PCRE 등 다양한 형태의 등록도 지원한다.

네트워크 IPS와 달리 호스트 IPS는 서비스 서버를 적용 대상으로 해, 모든 시그니처를 적용할 경우 서비스 제공 시 성능 이슈가 발생할 수 있다. 이에 호스트 IPS는 해당 서버에 필요한 시그니처만을 적용하도록 설계돼, 서버의 부하를 줄이고 보안의 효율성을 높일 수 있다. 이 때, 각 서버의 환경 정보를 기반으로 분석을 진행해 단말에 적합한 시그니처를 추천, 자동 할당한다.

안랩과 함께하는 ‘실용적인’ 클라우드 보안

안랩은 안랩 CPP를 중심으로 한 클라우드 보안 플랫폼에 활발한 투자와 인수합병을 통해 클라우드 웹 애플리케이션 방화벽(WAF), 데이터 통합 보안, 컴플라이언스 점검 자동화 등 폭 넓은 보안 역량을 갖추고 있다. 여기에 보안 특화 차세대 MSP 서비스 ‘안랩 클라우드’를 비롯해 클라우드 위협을 실시간으로 탐지해 대응하는 클라우드 보안 관제와 보안 요구사항 및 컴플라이언스 준수 방안을 제공하는 클라우드 정보보호 컨설팅까지 포괄적인 클라우드 보안 포트폴리오를 갖추고 있다.

클라우드 보안에 관해 안랩이 지향하는 키워드는 ‘활용 가능성(Actionable)’이다. 복잡한 클라우드 환경에서 고객이 효과적으로 보안을 확립하기 위해서는 올바른 우선순위 설정과 실제 적용 가능한 보안 역량 제공이 필수적이기 때문이다.

안랩의 통합 보안 역량은 고객들에게 다양한 소통 경로를 제공하기도 한다. 고객들은 보안 솔루션과 서비스를 활용하면서, 혹은 컨설팅을 통해 클라우드 보안 인텔리전스를 확보할 수 있다. 안랩은 앞으로도 고객들이 실제 필요로 하는 사항에 우선순위를 두고 최적의 클라우드 보안 파트너로서 계속 발전시켜 나갈 계획이다.

<이상국 안랩 마케팅본부장 >