[데이터넷] 코로나19 위기 상황에서 ICT는 오히려 빛을 발하며 한 단계 더 진화해 성장을 이어 나갔다. 비즈니스 환경이 급변하고 디지털 트랜스포메이션이 다양한 산업 분야로 확산되며 ICT의 중요성이 더욱 커졌기 때문이다. ICT 기술 분야별 분석과 평가를 통해 2023년 ICT 시장을 전망한다.<편집자>
공공·금융 클라우드 규제 완화에 업계 관심이 쏠리고 있다. 정부는 지난 8월 공공 클라우드 시장 규제를 푼다며 클라우드보안인증(CSAP) 등급제를 적용, 중요도가 낮은 업무는 물리적 망분리 의무 적용에서 제외하겠다고 밝혔다. 물리적 망분리가 적용되지 않는 업무라면 글로벌 클라우드 사업자(CSP)도 공공시장 진출이 가능해진다. 금융위원회도 금융권 클라우드 규제를 개편, 업무 중요도에 따라 이용절차를 차등화한다고 밝혔다. 통상 금융권 규제는 공공 규제완화 추세를 따르기 때문에 CSAP 등급제가 금융 클라우드 시장에도 큰 변화를 일으킬 것이라는 전망이 지배적이었다.
그러나 CSAP 등급제는 국내 CSP와 일부 여론, 정치권의 강력한 반발에 부딪히게 됐다. 공공 클라우드 시장까지 글로벌 사업자에 빼앗길 것이며, 데이터 주권을 보장하기 어렵다는 주장이었다. 그래서 정부는 CSAP 등급제 시행을 일단 보류했다.
금융위원회는 ‘전자금융감독규정’ 개정안을 의결, 1월 1일부터 시행하기로 했는데, 여기에서는 클라우드 이용 업무의 중요도 평가 기준을 마련하고, 업무 중요도에 따라 이용절차를 차등화하며, 비중요 업무는 CSP의 건전성과 안전성 평가, 업무 연속성 계획, 안전성 확보조치 절차를 완화할 수 있도록 한다는 내용을 담았다. 또 클라우드 이용을 사전 보고에서 사후 보고로 완화하고, 제출서류를 간소화하는 한편, CSP의 건전성과 안전성 평가항목을 정비했다.
누구도 완벽한 통제권 갖지 못하는 클라우드
공공·금융 클라우드 규제는 클라우드 업계의 초미의 관심사가 되고 있다. 국내외 모든 IT 기업들은 클라우드에 목숨을 걸고 있다. 디지털 전환이 가속화되면서 클라우드는 IT의 기본이 되고 있다. 이제 거의 모든 사업은 클라우드를 기반으로 하거나 클라우드 이용을 전제로 설계된다.
클라우드는 빠르게 비즈니스 변화에 맞출 수 있으며 IT 투자를 효율화 할 수 있다. 그러나 5년 이상 이용하거나 클라우드 기반 비즈니스 규모가 커질수록 비용이 급증해 온프레미스 운영보다 비용 부담이 높아진다는 단점이 있다. 최근에는 환율 급등으로 글로벌 클라우드 서비스 사용 기업들이 비용이 크게 늘어 부담이 커졌다고 호소하기도 했다.
클라우드는 사업자와 사용자가 운영과 보안의 책임을 공유하기 때문에 장애나 사고 시 책임소재에 대한 공방이 생길 수밖에 없다. 또 가시성을 충분히 확보할 수 없으며, 특정 클라우드 사업자에 종속될 수 있다는 문제, 그리고 개인정보와 중요정보의 정확한 위치를 특정하기 어려우며 일부 해외 서버에 저장될 수 있다는 문제 등이 지적된다.
클라우드 보안사고의 대부분은 사용자의 잘못으로 인해 발생하는 것이지만, 서비스 사업자의 잘못으로 인한 사고도 있다. 10월 지스케일러는 프랑스 근처에 설치된 해커 케이블이 손상돼 일부 패킷이 손실될 수 있다는 경고를 알렸는데, 고객들이 이러한 경고를 심각하게 받아들이지 않아 일부 서비스가 마비되거나 속도가 지연되고 패킷이 사라지며 서비스가 중단되는 사고가 발생한 바 있다.
이에 지스케일러는 “클라우드 서비스 사업자가 미리 케이블 손상으로 인한 장애 가능성을 경고했다는 사실이 중요하다. 중립적인 클라우드 서비스를 사용하지 않았다면 통신 케이블로 인한 장애 가능성을 모른 채 사고를 당했을 것”이라며 “이 사고는 서비스 연속성을 위해 클라우드가 필요하다는 것을 역설적으로 보여준다”고 강조했다.
실제로 CSP로 인한 사고도 자주 발생한다. 2020년 애저에서 정전사고가 일어나 MS의 아이덴티티와 접근관리 서비스가 중단되고 이를 이용하는 많은 기업들이 AD를 사용하지 못해 회사 인프라에 접근을 못하는 심각한 사고가 일어났다.
지난 4월에는 한 클라우드 사업자가 유지보수 작업 중 고객사이트를 삭제해 400여개의 고객 서비스가 중단되는 아찔한 사고를 일으키기도 했다. AWS 서울 데이터센터에서 가상서버 인터넷 연결 문제로 20분간 접속이 마비되는 사고가 일어나기도 했으며, 한 클라우드 사업자는 자사가 제공하는 DB의 취약점으로 인해 다른 클라우드 사용자의 DB에 접근, 이메일 주소 등 2억5000만개의 데이터를 유출시키는 사고를 발생시켰다.
클라우드 도입 장애 ‘보안’
클라우드 도입을 저해하는 가장 큰 문제는 언제나 ‘보안’이다. VM웨어가 기업 경영진에게 클라우드 도전과제가 무엇인지 묻는 설문조사에서 64%의 응답자가 보안 리스크를 들었다.
클라우드에서 보안을 적용하기 어려운 가장 큰 문제는, 클라우드는 너무 쉽게 사용할 수 있다는 것이다. 개발자와 현업은 업무 효율성을 높일 수 있는 새로운 업무 툴을 사용하고 싶어하며, 관리조직의 허가를 받지 않고 SaaS를 임의로 사용하는 일이 빈번하게 일어난다. SaaS에 무단으로 데이터를 이전하고 관리하지 않아 유출되는 사고가 일어날 수 있는데, 여기에 고객정보가 있다면 개인정보 유출로 과징금을 받을 수 있다.
클라우드 개발 시 오픈소스를 사용하는데, 이로 인한 보안 사고도 흔하게 일어난다. 지난해 로그4셸 취약점이 공개됐을 때 가상자산 플랫폼은 결제 소프트웨어에 이 취약점이 있는 것을 관리하지 못해 개인정보, 비밀번호 등 200만명의 이용자 정보를 유출시키는 사고를 일으켰다.
CSP 종속성을 탈피하기 위해 대부분의 기업은 멀티 클라우드 전략을 채택하는데, 이로 인한 보안 리스크가 높아진다. 탈레스 조사에 따르면 72%의 기업이 복수의 클라우드 서비스를 사용한다고 답했다. VM웨어 조사에서는 우리나라 기업이 사용하는 퍼블릭 클라우드가 평균 2.5개, 5년후에는 3.8개의 퍼블릭 클라우드 벤더를 사용할 예정이라고 답했다. 이는 글로벌 평균 2.9와 아태지역 평균 3.2보다 훨씬 많은 것이다.
멀티 클라우드는 보안 복잡성이 극대화된다. 온프레미스의 보안정책이 클라우드에도 그대로 적용된다면 이상적이지만, 현실에서는 불가능하다. 퍼블릭 클라우드 사업자마다 관리 환경이 제각각이다. A 사업자에서 수정한 정책이 B사업자를 통해 이용하는 서비스와 충돌하는 경우가 생길 수 있으며, 일관된 정책 수정과 운영이 되지 않아 보안 약점이 생길 수 있다.
CNAPP로 클라우드 전반 보호
클라우드 사용자의 실수와 잘못된 설정으로 인한 사고를 막기 위한 클라우드 보안 형상관리(CSPM)가 필수다. CSPM은 사용중인 클라우드를 스캔해 잘못된 정책 설정이나 구성을 찾아내고, 컴플라이언스 위반이나 권한관리 위배 등을 검색해 수정안을 제안한다. 여러 퍼블릭 클라우드를 사용할 때 수정된 정책이 다른 클라우드에 어떤 영향을 미치는지 알려주어 최적의 정책 운영이 가능하도록 한다. 특히 국내 클라우드 컴플라이언스와 ISMS/ISMS-P 등의 규제준수 요건도 만족할 수 있도록 지원한다.
CSPM은 클라우드 워크로드 보호 플랫폼(CWPP)과 통합되는 추세에 있으며, 클라우드 인프라 권한관리(CIEM), 클라우드 애플리케이션 보호 등과 결합해 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)으로 진화하고 있기도 하다. CNAPP는 클라우드 워크로드 보호와 컴플라이언스를 지원하며, 인프라 최적화와 관리, 클라우드 개발, 운영, 배포 전 과정의 보호 기능까지 지원한다. 이 분야에서는 아쿠아시큐리티가 가장 앞선 경쟁력을 보이고 있다.
국내기업의 클라우드 보안 기술 수준은 글로벌 기업에 비해 성숙도가 높다고 할 수 없지만, 빠른 속도로 기술을 업그레이드하면서 발전하고 있다. 안랩의 경우 CSPM 기업 테이텀시큐리티, CWPP 기업 아스트론시큐리티에 투자하고 이 기술을 자사 클라우드 보안 솔루션과 함께 제공하면서 클라우드 보안 포트폴리오를 확장하고 있다. 안랩의 클라우드 서버 워크로드 보안 플랫폼 CPP와 매니지드 보안 서비스 ‘안랩 클라우드’는 클라우드 보안관제와 서비스를 수행한 경험을 축적해 국내 환경에 최적화된 보안 서비스와 솔루션으로 제공한다.
SECaaS에 집중하는 국내 보안 기업
국내 보안 기업의 클라우드 전략은 클라우드를 보호하는 기술을 개발하는 것 보다 클라우드로 보안 솔루션을 서비스하는 SECaaS에 맞춰져있다. CNAPP과 같은 클라우드 보안 솔루션은 다양한 산업군에서 여러 고객의 클라우드를 보호한 경험이 바탕이 되어야 하며, 업계 대표적인 레퍼런스를 축적하면서 발전시켜야 하는데, 아직 국내 클라우드 도입 사례가 충분한 레퍼런스가 되기 어려운 상황이기 때문이다.
게임사나 인터넷 서비스 사업자 등 IT 기술을 앞장서서 도입하는 산업군은 다양한 클라우드를 이용하고 있으며, 이를 보호하기 위한 기술을 사용하고 있지만, 국내 기업이 레퍼런스로 공개할만한 사례는 많지 않다. 이 외의 산업에서는 클라우드 성공 사례를 공개하려면 상당한 시간이 걸릴 것으로 보인다.
그래서 국내 기업들은 자체 데이터센터 혹은 퍼블릭 클라우드 사업자의 마켓플레이스를 통해 보안 서비스를 제공하는 모델을 적극 내세운다. 클라우드로 서비스를 제공하기 때문에 보안 벤더의 기술지원 리소스를 줄일 수 있으며, 서브스크립션 방식의 라이선스 모델을 채택하기 때문에 매출과 수익을 예측할 수 있어 수익성을 개선할 수 있다. 또 국내 고객들이 원하는 기능을 즉시 추가할 수 있기 때문에 글로벌 SaaS보다 빠르게 국내 최적화된 서비스를 제공할 수 있어 경쟁력도 높은 편이다.
SSE로 일관적인 보안 환경 제공
글로벌 보안 벤더들은 시큐리티 서비스 엣지(SSE)에 좀 더 관심을 두고 있다. 클라우드 엣지에서 SWG, CASB, FWaaS, ZTNA 등의 보안 기능을 통합 제공하는 SSE는 하이브리드 업무환경에서 일관된 보안 정책을 제공할 수 있는 보안 모델로 각광받고 있다.
SSE는 주로 전 세계에 클라우드 POP을 가진 글로벌 기업들이 서비스 안정성이 높다는 점을 경쟁력으로 들고 있다. 이들은 모든 기기와 워크로드, 네트워크, 엣지를 검증하고, 암호화 트래픽을 포함한 모든 트래픽과 데이터를 분석해 위협을 분석, 예측할 수 있으며, 어디서든 일관된 통제와 접근이 가능하다는 점을 강조한다.
지스케일러의 경우 가장 오래되고 안정적으로 SSE를 제공해왔다는 사실을 앞세워 경쟁우위를 자신한다. 지스케일러는 가트너 SWG 분야 매직쿼드런트에서 10년 이상 리더였을 뿐 아니라 2021년에는 유일한 리더였다. 가트너가 SWG 매직쿼드런트 대신 공개한 SSE 시장 조사에서도 리더 자리를 차지하면서 경쟁력을 입증했다. 지스케일러는 사용이 쉽고 안전한 SSE를 제공하며, 성능과 가용성에 따라 확장되는 글로벌 클라우드 플랫폼 운영 능력을 인정받아왔다고 강조한다.
SSE 제공을 위한 광범위한 에코시스템과 통합, 오케스트레이션을 제공하며, 애플리케이션 연결을 최적화하고 사용자 경험을 개선하며, 대규모 암호화 트래픽을 검사해 고급 DLP와 고급 위협 보호 기능까지 제공한다.
스카이하이시큐리티도 SSE 분야에서 상당한 성과를 거두고 있다. SWG 시장에서 브로드컴(블루코트) 제품 윈백에 연이어 성공하고 있는 스카이하이시큐리티는 업계에서 가장 인정받는 CASB와 내장된 DLP, 그리고 ZTNA와 RBI 기술을 이용해 모든 환경에서 사용자와 비즈니스에 대한 일관된 보호를 지원한다.
탁월한 SWG 솔루션으로 인정받는 포스포인트도 국내 영업에 박차를 가한다. 에스에스앤씨가 국내 지사 역할을 하는 포스포인트 SSE는 고성능 SWG와 고급 DLP, ZTNA, RBI 기술을 통합한 SSE가 국내에서 호평을 받고 있다고 강조한다.
한편 에스에스앤씨는 이메일 보안 솔루션 기업 퍼셉션포인트도 함께 제공하면서 지능화되는 공격 대응 능력을 향상시키고 있다. 퍼셉션포인트는 이메일, 협업 애플리케이션, 클라우드 저장소, 파일공유 서비스, 서드파티 채널 등을 통한 콘텐츠 기반 공격을 막는 기술을 제공하며, 10초 이내에 모든 콘텐츠를 동적으로 스캐닝하는 차세대 샌드박스 기술을 갖고 있다.
국내 기업 중 모니터랩의 ‘아이온클라우드’도 SSE 솔루션으로 주목받고 있다. 아이온클라우드는 SASE 아키텍처를 채택한 글로벌 클라우드 서비스로, WAF, SWG, 웹사이트 악성코드 스캐너(WMS)를 제공한다. 이 솔루션은 15개 글로벌 리전, 40개 데이터센터를 통해 전 세계 고객에게 다양한 보안 서비스를 제공한다.
