컨테이너 보안 기술 기업, CNAPP로 도약
[데이터넷] 클라우드 보안의 시작은 워크로드 보호이며, CWPP와 CSPM이 대표 기술로 꼽혔다. 이 분야는 인접한 기술을 통합하면서 CNAPP으로 진화하고 있는데, 컨테이너·쿠버네티스와 IaC까지 포함하는 클라우드 네이티브 환경 전반을 보호하는 플랫폼이 필요해졌기 때문이다. CWPP에서 CNAPP까지 발전 단계를 알아본다. <편집자>
컨테이너·IaC도 지원해야
CSPM은 CWPP와 함께 적용되어야 시너지를 낼 수 있으며, 일부 기능은 겹치는 부분도 있어 최근에는 CWPP와 통합되는 추세를 분명하게 보이고 있다. 또한 CWPP는 컨테이너·클라우드 등 클라우드 네이티브 환경과 IaC와 같은 새로운 인프라 환경을 반드시 지원해야 한다. 포레스터는 IaC에 대해서도 CSPM 기능을 제공하는지 살펴봐야 하고, IaC 클라우드와 컨테이너 빌드 스크립트에서 드리프트, 안전하지 않은 구성을 감지할 수 있어야 하며, 구성뿐만 아니라 침해 위협에 대한 평가도 진행해 데이터 침해를 예방할 수 있어야 한다고 설명했다.
이 환경을 보호하는 기술은 기존의 CWPP와 다르다. 코드로만 구성, 운영되는 IaC나 외부에서 이미지를 가져와서 조립하듯 사용하는 컨테이너 환경은 기존의 침입 탐지, 구성오류 스캔, 취약점 스캔 등의 기능만을 하는 호스트 기반 솔루션으로 보호하지 못한다. CWPP에서 컨테이너 이미지 취약점 스캐닝 기능을 제공하고 있지만, 속도가 느려 서비스 개발 프로세스에 영향을 미칠 수 있으며, 정확도도 높지 않다는 단점이 있다.
레드햇의 ‘2022년 쿠버네티스 보안 현황 리포트’에 따르면 조직의 93%가 지난 12개월 동안 쿠버네티스 환경에서 최소 한 건의 보안 인시던트를 경험했고 그 중 95%는 실수에 의해 발생한 것이었다. 또한 53%는 컨테이너 환경에서 구성오류로 인한 장애를 경험했고, 22%는 감사에 실패했다고 답했다.
아쿠아시큐리티 조사에서는 클라우드 네이티브 워크로드를 침해하는데 단 20분밖에 소요되지 않은 것으로 나타나기도 했다. 즉 클라우드 네이티브 워크로드는 클라우드 네이티브 환경에서 설계된 새로운 보안 솔루션이 필요하다.
“컨테이너는 블랙박스”
컨테이너 보안 전문기업 시스딕은 “컨테이너는 블랙박스”라며 “내부에서 무슨 일이 일어났는지 알기 어렵고, 수명도 짧다. 컨테이너의 49%가 2/5만 사용할 수 있는 실정이다. 그러나 기존 보안 도구는 컨테이너 내부를 확인하거나 쿠버네티스 동적 특정을 처리하고 다중 클라우드로 확장할 수 없다”고 지적했다.
인섹시큐리티와 총판계약을 통해 국내에 공급되는 시스딕은 컨테이너 이상행위를 탐지하는 CNCF(Cloud Native Computing Foundation) 오픈소스 프로젝트 ‘팔코(Falco)’를 주도한 기업이다. 팔코는 4000만개 이상 도커 허브 풀을 보유하고 있으며, 컨테이너·쿠버네티스 보안위반을 탐지하고 알림을 생성하는 런타임 정책을 정의할 수 있다. 머신러닝 기반 알고리즘으로 시스템 환경 확장에 맞춰 규칙 관리, 데이터 수집 및 성능을 확장할 수 있으며, 경고 피로를 최소화하고 오탐을 줄이기 위해 규칙을 자동으로 조정한다.
시스딕은 CNAPP을 제공하는 전문기업으로, CWPP, 컨테이너 보안, CSPM, CIEM을 지원하는 ‘시스딕 시큐어’, 컨테이너 모니터링 애플리케이션 ’시스딕 모니터’가 포함돼 있으며, ▲코드 검증으로서의 인프라 ▲취약점 관리 ▲구성 및 권한 관리 & 위협 탐지 ▲사고 대응 등의 기능을 제공한다.
CNAPP 전문기업 아쿠아 시큐리티는 지난해 한국지사 설립 후 대규모 사업을 수주하며 빠른 성장을 이루고 있다. 아쿠아 시큐리티는 프로덕션 환경에서 클라우드 네이티브 워크로드 보호 시장을 만들어 온 업계 최초의 기업으로, 전체 애플리케이션 라이프사이클에 걸쳐 자동화된 예방, 탐지 및 대응을 통해 이미지 빌드 환경과 클라우드 인프라를 안전하게 보호하고, 실행 중인 모든 워크로드를 안전하게 보호한다.
아쿠아 시큐리티의 CNAPP ‘아쿠아 플랫폼’은 클라우드 네이티브 자산을 구축 첫날부터 보호하며, 실시간 보안을 제공한다. 이 플랫폼은 취약성, 설정 오류, 암호화, 멀웨어가 프로덕션에 침투하는 것을 방지하고, 공격 발생 시에 자동으로 이를 차단한다. 아쿠아 시큐리티는 소프트웨어 공급망부터 워크로드 실행에 이르기까지 전체 애플리케이션 라이프사이클을 보호하고, 위협 방지를 자동화하며, 즉각적인 대응을 보장한다.
또한 아쿠아는 전담 보안 연구팀 ‘팀 노틸러스(Team Nautilus)’를 통해 클라우드 네이티브 애플리케이션과 인프라에 대한 공격을 완화하기 위한 방법을 조사하고 있으며, 인텔리전스를 축적해 위협을 선제적으로 막을 수 있도록 한다. 팀 노틸러스의 조사 결과는 클라우드 네이티브 위협에 대한 정보를 제공할 뿐 아니라 아쿠아 제품의 혁신을 추진하고, 기업과 오픈 소스 커뮤니티를 모두 보호하는 오픈소스 프로젝트로도 확장하고 있다.
아쿠아 시큐리티는 아쿠아 플랫폼 사용 고객을 대상으로 100만달러 규모의 ‘클라우드 네이티브 보호 보증 프로그램(Cloud Native Protection Warranty)’도 실시한다. 아쿠아 플랫폼을 완전히 구축한 고객에게 무상으로 제공되는 이 프로그램은 아쿠아 플랫폼을 뚫고 공격당한 고객에게 최대 100만달러를 지급한다는 보장을 담고 있다. 또한 국내 ‘아쿠아 엔터프라이즈’ 사용 고객의 ‘아쿠아 CNAPP’ 무상 업그레이드도 지원한다.
에이전트 없는 보안으로 모든 플랫폼 지원
클라우드 네이티브 보안 시장에서 새롭게 떠오르는 강자인 오르카 시큐리티가 한국지사를 만들고 쿤텍과 국내 파트너십을 체결하면서 시장 공략에 나섰다. 오르카 시큐리티는 에이전트 없이 AWS, 애저, 구글 클라우드 등 전체 자산에 대한 심층적인 가시성을 제공한다.
가트너의 2021년 CSPM 분야 쿨벤더로 선정된 오르카 시큐리티는 CWPP, CSPM, 데이터 보호, 클라우드 네이티브 보호를 통합한 SaaS 기반 플랫폼을 제공한다. 에이전트와 네트워크 스캐닝 없이 클라우드 전체에서 취약점과 이상행위를 탐지하는 ‘사이드 스캐닝(SideScanning)’을 제공한다.
사이드 스캐닝은 클라우드 공급자의 API와 워크로드 런타임 블록 스토리지에서 대역 외 데이터를 수집하고 분석함으로써 몇 분만에 클라우드 자산에 대한 환전한 위협 프로파일을 작성할 수 있다. 네트워크를 통해 단일 패킷을 보내거나 코드를 실행하지 않고도 완전한 가시성을 보장할 수 있으며, 워크로드 심층 인텔리전스를 제공해 전체 클라우드 자산에 대한 시각적 위협 컨텍스트를 확보할 수 있게 하고 잠재적인 중요한 공격 벡터를 신속하게 발견할 수 있게 한다.
오르카 플랫폼을 국내에 공급하게 될 쿤텍은 기업이 운영 중인 클라우드의 현재 보안 상태를 평가하여 가장 위험한 비즈니스 요소를 파악할 수 있도록 보안되지 않은 데이터, 의심스러운 활동, 취약한 자산, 조직의 대응 상황 등에 대한 무료 클라우드 보안 평가 프로모션을 진행하면서 국내 클라우드 보안 시장에서의 인지도를 높여나갈 계획이다.
