[데이터넷] 인터넷 쇼핑몰이 클라우드 관리자 키를 탈취당해 고객정보를 유출시키는 사고가 잇따르고 있다. 클라우드 개발 프로젝트 후 액세스 키를 관리하지 않아 해킹당하는 사고도 자주 발생한다. 클라우드 애플리케이션 접속을 위한 키, API 키 등도 관리되지 않아 클라우드 도처에 해커가 이용할 수 있는 무기가 널려있는 상황이다.

김종덕 하시코프코리아 지사장은 “클라우드 보안사고 중 키 관리 실패로 인한 것이 매우 많다. 특히 고객정보 유출 사고나 클라우드의 불법 암호화폐 채굴 사고 등의 사례에서 액세스 키를 입수한 공격자들의 소행인 경우가 많다”며 “클라우드 보안을 위해서는 클라우드에 맞는 키 관리가 필요하다”고 말했다.

클라우드 보안의 시작, 키관리

클라우드를 사용하는 조직들이 클라우드 자원이나 애플리케이션, API, 데이터 등에 접근할 때 필수적인 ‘키’를 관리하는데 큰 관심을 갖지 않는 것이 현실이다. 클라우드 전환에 있어서 보안이 필수적이라는데 동의하지만 클라우드 자동화·효율화에 쏟는 관심에 비하면 보안 투자는 극히 미미한 상황이다. 클라우드 보안사고의 많은 경우가 액세스 키를 탈취당해 일어나는 일인데도 키 관리는 극히 소극적이다.

클라우드에서 키관리는 온프레미스 환경의 키관리와 다르다. 클라우드는 자원이 유동적으로 변하며, 서비스가 수시로 생성, 변경, 제거된다. 기업의 임직원 뿐 아니라 파트너사, 계약직, 고객들도 클라우드에 접근하며, 애플리케이션, API 등도 클라우드 접속을 위한 키를 부여받는다. 모두 다 다른 권한으로 키를 할당받으며, 사용할 수 있는 시간과 기간, 횟수, 상황 등이 제한된다.

수많은 키를 자동으로 생성, 할당하며, 만료 시 제거하는 과정이 완벽하게 자동화 되어야 하며, 여러 퍼블릭 클라우드와 SaaS를 사용하는 복잡한 환경에서도 일관된 키관리가 가능해야 한다. 온프레미스의 키관리 솔루션은 극대화된 확장성과 민첩성을 요구하는 환경을 지원하지 못하기 때문에 클라우드에 맞는 키관리 솔루션이 필요하다.

하시코프가 국내에서 적극 드라이브하는 ‘볼트(Vault)’는 멀티 클라우드 전반에서 일관되고 유연한 키관리를제공해 클라우드 보안관리와 민감한 데이터를 보호할 수 있도록 돕는다. 하시코프 볼트는 UI, CLI, HTTP API를 이용해 토큰, 비밀번호, 인증서, 암호키, 기타 민감 데이터 액세스를 보호하고, 저장하며, 제어할수 있도록 한다. 중앙에서 관리해 일관된 키관리 정책 적용이 가능하며, 하드코딩된 인증정보를 제거해 침해위험을 줄인다.

김종덕 지사장은 “퍼블릭 클라우드 도입 속도가 빨라지면서 보안사고 발생 빈도도 높아지고 있다. 이를 막기 위해 여러 보안 기술이 소개되고 있지만, 가장 기본은 계정관리와 키 관리다”라며 “키는 해커의 불법적인 접근을 막는 가장 기본적이고 중요한 보안 수단이다. 키관리야말로 클라우드 보안의 시작이라고 할 수 있다”고 밝혔다.

클라우드 통한 디지털 혁신 지원

하시코프는 클라우드 자동화 소프트웨어 기업으로, 클라우드 보안 ‘볼트’, 클라우드 인프라 자동화 ‘테라폼(Terraform)’, 클라우드 네트워킹 자동화 ‘컨설(Consul)’, 클라우드 애플리케이션 자동화 ‘노마드(Nomad)’를 공급하고 있다. 최근 원격 액세스 솔루션 ‘바운더리(Boundary)’를 출시하며 제로 트러스트 원칙의 클라우드 운영도 지원한다.

김종덕 지사장은 “우리나라 클라우드 시장은 지난해부터 성장에 가속이 붙기 시작했다. 그러면서 멀티 클라우드 복잡성 해결을 위한 자동화와 보안에 관심이 생기기 시작했다”며 “하시코프는 클라우드를 효율적으로 운영할 수 있도록 돕는 전문 기업으로, 고객이 특정 클라우드에 종속되지 않도록 하고, 클라우드를 통한 디지털 혁신에 성공할 수 있도록 지원한다”고 말했다.

하시코프가 국내에서 가장 먼저 공략하는 사업은 수요가 가장 많은 보안 사업으로, 멀티 클라우드를 위한 키관리 솔루션 ‘볼트’는 이미 여러 국내 고객이 도입해 성공적으로 운영하고 있다.

테라폼은 하시코프의 대표 제품으로, 코드형 인프라(IaC) 개념을 처음 제안한 솔루션이다. 퍼블릭·프라이빗 클라우드와 서비스의 모든 인프라를 코드로 프로비저닝, 컴플라이언스, 자동화 하는 이 솔루션은 운영조직의 업무를 줄이고 관리자의 실수와 빌드 실패를 방지해 클라우드 효율성과 생산성을 높인다.

김종덕 지사장은 “전통적인 데이터센터의 자동화 기술과 클라우드의 자동화 기술은 관점이 다르다. 전통적인 기업이 제안하는 클라우드 자동화는 하시코프가 제안하는 것보다 협소하며, 클라우드의 이점을 온전히 보장하지 못한다”며 “하시코프는 멀티·하이브리드 클라우드 전체를 효율화하고 보호해 고객의 비즈니스 성장을 도울 수 있다”고 밝혔다.

디지털 네이티브 비즈니스 대상 영업 전개

김종덕 지사장은 하시코프의 솔루션을 고객에게 더 잘 이해시키기 위해 성공적인 활용사례를 소개하고 있다. 한국 고객들이 클라우드 운영 중 어려움을 겪는 사례를 소개하고 하시코프가 어떻게 해결할 수 있는지 알리는데 집중하고 있다. 예를 들어 클라우드 사용 고객들이 하시코프 볼트를 이용해 ISMS/ISMS-P 준수에 도움을 받을 수 있는지 소개하는 등의 활동을 전개한다는 설명이다.

더불어 하시코프 솔루션을 고객에게 제대로 전달할 수 있도록 파트너 교육을 전개하고 있는데, 내년에는 국내 총판인 메가존클라우드와 함께 교육센터를 마련하고 파트너와 고객 교육 프로그램을 진행할 계획도 세우고 있다. 이를 통해 하시코프 인지도와 친밀도를 높일 계획이다.

김종덕 지사장은 “클라우드를 사용하면 하시코프를 사용할 수 밖에 없다는 사실을 알리기 위해 실제 활용사례를 소개하고 있다. 국내 클라우드 사용 고객이 늘어나면서 하시코프가 소개하는 활용사례에 대한 이해가 높아지고 있다. 엔터프라이즈와 SaaS를 사용하는 고객이 우선 공략 대상”이라며 “이커머스, 핀테크 등 디지털 네이티브 비즈니스를 하는 고객을 대상으로 성공사례를 만들어가겠다”고 밝혔다.

김선애 기자 다른기사 보기