[데이터넷] 코로나19로 인한 재택·원격근무 확산, 클라우드 도입 등 다양한 환경 변화에 따라 기업의 디지털 전환이 신속하게 이뤄지고 있다. 서비스의 다양화를 기반으로 필요한 만큼 IT 자원을 생성·사용하는 유연성과 확장성을 가진 클라우드의 도입이 가속화되고 있다.

그러면서 클라우드 환경에 대한 보안을 어떻게 해야 할지에 대해 보안 담당자의 고민이 깊어지고 있다. 또한 많은 클라우드 보안 사고로 인해 클라우드 보안 투자의 필요성이 높아지고 있다.

클라우드는 지속적으로 자산이 추가되고 수정되기 때문에 자산의 변동성이 높고 통제가 어려우며 가시성 확보도 쉽지 않다. 또한 퍼블릭 클라우드에서는 공동 책임모델에 따라 클라우드 사업자와 사용자의 책임이 나뉜다. 클라우드 사용자들은 변경되는 자산을 지속적으로 추적하고 가시화하며 관리하는 과정을 효율화 할 수 있는 자동화 기술이 필요하다.

변동성 높은 클라우드 인프라 환경은 준수해야 하는 법규와 컴플라이언스에 대해 지속적인 모니터링, 보안 감사가 필요하다. 매 설정 변경 작업마다 설정오류, 컴플라이언스 위반, 접근·권한 정책 점검, 데이터 보호 정책 준수 여부를 확인해 개발 시 민감정보가 노출되지 않도록 하거나, 실제 서비스에 적용할 때 규제 준수 여부 등을 반드시 점검해야 한다.

또한 온프레미스, 프라이빗·퍼블릭 클라우드 등 다양한 환경을 연계한 분석은 필수고, ISMS·ISMS-P, CSAP 등 국내 정보보호 관리체계 인증을 지원하는지도 확인해야 한다.

클라우드 보안위협 사전 제어

클라우드 보안 사고의 대부분이 사용자 실수나 설정오류, 규제준수 위반으로 인해 발생하는 것으로 알려지고 있다. 이에 가트너는 지속적으로 클라우드 추적· 변경 모니터링을 수행하는 클라우드 보안 형상관리(CSPM)가 필요하다고 강조했다.

CSPM은 기업·기관이 사용하는 클라우드를 실시간 모니터링해 잘못된 구성과 설정오류, 규제준수 위반 여부를 점검하고 수정안을 제안하는 솔루션이다. 클라우드 책임공유 모델에 따라 사용자가 관리해야 하는 범위 내에서 발생할 수 있는 위협을 사전에 제거해 리스크를 낮출 수 있게 한다.

이러한 관점에서 CSPM은 클라우드 보안의 시작이라고 할 수 있다. 운영 중이거나 도입하려는 클라우드 상태를 확인하 고, 구성과 설정을 점검하며, 컴플라이언스 위배 여부를 확인 해 클라우드 보안 위협을 사전에 제어할 수 있다.

클라우드 보안 시장에서는 제로 트러스트 아키텍처 전환과 데브섹옵스(DevSecOps) 전환 컨설팅 등 클라우드 보안 전문 컨설팅 서비스의 일환으로 CSPM을 활용한 클라우드 보안 자동화 기술을 제공하는 전문 기업이 있다. 클라우드 보안 전문 컨설팅 서비스를 통해 고객사의 고민과 우려사항을 고려해 해결책을 제안하는 클라우드 보안 전문 기업이 올해 1금융권을 대상으로 CSPM 솔루션 활용해 제로 트러스트 아키텍처 전환 로드맵 수립, 클라우드 인프라 진단 컨설팅을 수행하고 있다.

CSPM은 기업·기관 내 클라우드 서비스 사용에 대한 리소스 시각화 기능과 자산 리스트 기능을 제공해 클라우드 가시성을 높이는 것으로부터 클라우드 보안을 시작할 수 있도록 한다. 클라우드 서비스의 가시성이 확보되지 못한다면 기업에 서 사용중인 클라우드 서비스 중 많은 항목이 섀도우 IT 시스템이 될 수 있다.

가트너는 기업에 대한 보안 공격 중 3분의 1이 섀도우 IT 시스템 및 자산에 대해 발생될 것으로 전망하고 있다. 클라우드에 대한 가시성 확보 및 컴플라이언스 체크는 CSPM의 핵심 기능으로 클라우드 보안의 시작이 되며 이는 다양한 클라우드 환경 운영 환경에서 더욱 중요하다.

국내 컴플라이언스 지원 여부 확인해야

CSPM을 도입하고자 할 때 다음을 반드시 확인해야 한다.

• 국내외 CSP 지원: AWS, 애저, GCP, 네이버 클라우드, KT 클라우드, NHN 클라우드 등
• 프라이빗 클라우드 지원: VM웨어, 도커, 쿠버네티스, 오픈 스택 등
• 해외 컴플라이언스 지원: ISO 27001, NIST 800-53, HIPAA, PCI-DSS 등
• 국내 컴플라이언스 지원: ISMS-P, 금융보안원, 클라우드 보안 인증(CSAP)

국내 클라우드 사업자와 컴플라이언스를 지원하는지 여부가 중요한 평가 기준이 될 수 있어 국내 환경에 최적화돼 있는 지에 대한 검토가 무엇보다 중요하다.

그리고 SaaS 형태로 서비스가 제공되는 특성상 CSAP를 획득했는지 여부도 확인해야 한다. CSAP는 공공기관에 안 정성과 신뢰성을 검증한 민간 클라우드를 공급하기 위해 정 부가 마련한 인증제도다. 민간 기업이 공공기관에 클라우드를 제공하기 위해서는 반드시 KISA로부터 CSAP를 취득해 야만 한다.

결론적으로 디지털 혁신 우선 순위의 결과로 클라우드 채택이 가속화됨에 따라 모든 조직은 클라우드 환경 보안의 복잡 성을 예상하고 탐색해야 한다.

클라우드 보안을 다시 한번 정의하자면 데이터, 애플리케이션 및 인프라 서비스를 보호하기 위한 일련의 정책, 제어 및 기 술을 말하는데 이러한 요소들이 함께 작동해야 보안이 유지될 수 있다.

그중에서 가장 선행돼야 하는 것은 전체 클라우드 서비스의 자산을 가시화하고 존재하는 위협을 확인하고 개선하는 것이 다. 이런 의미에서 클라우드 보안의 시작은 CSPM이라고 할 수 있다