[데이터넷] 클라우드 네이티브 환경에서는 퍼블릭, 프라이빗 또는 양쪽이 수렴된 하이브리드 환경에서 확장성 있는 애플리케이션을 개발할 수 있다. 관리 편의성, 회복성, 가시성을 높이고 자동화 기능을 통해 최소한의 리소스로 임팩트가 높은 변경을 예측 가능하게 수행할 수 있어 편리하고 안전하다.

따라서 클라우드 네이티브 환경에 구축된 데이터베이스와 시스템 역시 이러한 편리성과 고도의 안전성, 그리고 이에 투입되는 시간과 비용을 대폭 절감할 수 있는 효율성을 반영해 구축된 완성도 높은 클라우드 데이터 보호 플랫폼을 사용한다면, 한층 정교하고 신뢰 있는 관리와 보안이 가능하다. 그럼에도 불구하고, 아직 많은 기업이 클라우드 네이티브 환경에 적합한 보안 솔루션 도입을 망설이고 있다.

클라우드 네이티브는 클라우드와 다르다

우리나라는 글로벌 시장보다 빠른 2000년 초반부터 디지털 전환이 시작됐지만, 클라우드 전환은 상당히 늦은 편이었다. 그래서 클라우드 네이티브 환경에 대한 정의가 표준화·안정화되는 시기를 거치지 못한 채, 빠른 속도로 다양한 클라우드에서 상당량의 데이터와 시스템을 구축해왔다.

클라우드 네이티브 환경에 적합한 데이터 보안과 관리에 필요한 핵심 경쟁력과 취약점에 대한 정밀한 파악을 하지 못한 상태에서, 이미 구축된 기존의 환경을 보호하는 기술 범위 내에서 방어하다 보니, 레거시 기술의 보호 범위를 벗어나는 장애를 파악하고 대응하지 못하고 있다. 온프레미스 환경을 그대로 클라우드로 옮겨 서비스하는 것 만으로는 클라우드의 장점을 누릴 수 없기 때문에 클라우드 네이티브 기술이 필요하다.

그런데 클라우드와 클라우드 네이티브에 대한 이해도 없어서 문제를 해결하기 어려운 상황이다. 클라우드는 인터넷상에 호스팅된 가상머신과 네트워크 환경으로 데이터와 애플리케이션을 저장, 관리, 처리하는 기능을 제공하는 반면, 클라우드 네이티브 환경은 클라우드 네이티브 기술과 방법론을 사용해 애플리케이션을 개발, 배포, 관리한다.

클라우드 네이티브는 클라우드 컴퓨팅의 장점을 최대한 활용하기 위해 특별히 설계된 접근 방식이나 아키텍처다. 이러한 기술과 방법론에는 컨테이너화, 마이크로서비스 아키텍처, 자동 확장, 쿠버네티스와 같은 오케스트레이션 도구, 데브옵스 방식이 포함되는데, 이는 클라우드 환경의 장점을 최대한 활용할 수 있는 확장성이 뛰어나고 복원력이 있는 애플리케이션을 구축하기 위한 목적이 있다.

환경 제약 없는 실행 가능한 클라우드 네이티브

클라우드 네이티브 환경의 고유성은 ▲컨테이너 ▲마이크로 서비스 ▲서비스 메시 ▲불변 인프라(Immutable Infrastructure) ▲선언적 API(Declarative API)의 다섯 가지로 설명된다.

컨테이너: 컨테이너는 애플리케이션과 이에 따른 종속성을 격리된 환경에서 실행할 수 있게 하는 가상화 기술이다. 종속성은 특정 애플리케이션 실행에 필요한 라이브러리, 소스코드 등을 말한다. 애플리케이션의 이식성을 높이고 개발, 배포, 확장 등을 지원한다. 애플리케이션 이식성은 애플리케이션이 다양한 플랫폼에서 동작하는 것을 말한다. 이러한 컨테이너의 특성으로 애플리케이션은 환경의 제약없이 실행, 중앙화가 용이해진다.

마이크로서비스: 마이크로서비스는 단일 애플리케이션을 여러개의 작은 서비스 단위로 분해하는 소프트웨어 아키텍처 패턴이다. 서비스가 독립적으로 개발, 배포, 확장될 수 있고, 서비스 간 유연하고 확장 가능한 애플리케이션 개발이 가능하다는 장점이 있다.

서비스 메시: 서비스 메시는 마이크로서비스 아키텍처를 지원하는 네트워크 인프라 구성 요소다. 애플리케이션 서비스 간 통신, 로드 밸런싱, 서비스 디스커버리, 보안 등의 공통 기능을 제공한다. 마이크로서비스 환경에서 서비스 간 통신의 관리와 모니터링을 지원해 보다 효율적 구현이 가능하다.

불변 인프라: 불변 인프라는 인프라스트럭처를 변경할 수 없는 상태로 만드는 것으로, 외부 해커는 물론이고, 내부자도 승인 없이는 인프라를 변경할 수 없도록 한다. 인프라스트럭처를 코드로 정의하고 버전 관리해 변경 사항을 추적하고, 인프라스트럭처를 배포할 때마다 새로운 인스턴스를 생성, 이전 버전의 인스턴스를 대체한다. 따라서 뛰어난 확장성과 신뢰성을 기반으로, 자동화된 인프라 관리를 지원한다.

선언적 API: 선언적 API는 원하는 최종 상태를 정의하는 방식으로 동작하는 API로, 사용자는 시스템 구성을 지정할 필요 없이, 시스템이 해당 상태를 최대한 유지(수렴)하게 해 준다. 이로써 자동화, 일관성, 그리고 안정성을 개선하는 것이다.

클라우드 규모·복잡성 지원 못하는 레거시 보안

클라우드는 많은 장점을 갖고 있지만, 많은 기업들이 클라우드 데이터와 시스템 보안에 어려움을 겪고 있다. 기존 방식으로는 클라우드 네이티브 환경에 구축한 데이터와 시스템을 보호할 수 없기 때문이다. 전통적인 방식의 데이터 보호 솔루션은 태생부터 클라우드 네이티브 환경의 특성과 규모, 복잡성 등이 고려되지 않았다.

클라우드 네이티브 환경에 구축된 데이터와 시스템을 보호하는데 있어 레거시 방식의 가장 큰 제약요인은 자동 확장, 데브옵스, 멀티 클라우드, 세밀한 데이터 접근제어, 그리고 원격 근무를 꼽을 수 있다.

● 자동확장 기능

클라우드의 장점 중 하나가 리소스를 동적으로 할당하고 반환하는 자동확장 기능이다. AWS 오로라 오토스케일링이 대표적인 자동확장 기능이다. 이는 사용자 트래픽이 높거나 낮을 때 DB 클러스터를 자동으로 늘려 성능을 유지하거나 DB 클러스터 내 DB의 수를 줄여 비용을 절약하도록 관리한다. 가령 클러스터 내 DB CPU 사용률이 70%를 초과할 경우 DB를 추가하거나, 30% 미만인 DB를 제거하는 정책을 생성하는 방식이다.

클라우드 서비스 공급자(CSP)가 지닌 자동 확장 기능은 가용성이 높지만, 별도의 솔루션을 통해 데이터와 시스템을 자동으로 찾아내고, 보호 대상으로 동기화가 되지 않으면 기밀성과 무결성의 보안 요소에 약점이 생길 수 있다. 레거시 솔루션으로 DB와 EC2, K8S 등과 같은 시스템에 자동확장을 구동하면, 관리자가 직접 추가·삭제 작업을 통해 쓰레기값을 일일이 제거해야 해 클라우드 자동화의 장점을 전혀 활용하지 못한다.

● 데브옵스

클라우드는 개발과 운영을 통합해 빠른 배포가 가능한 데브옵스를 택하고 있다. 데브옵스는 전통적인 개발 방식과는 다르게 개발자들도 운영 환경에 다양한 데이터 조회가 가능하다. 이에 사전에 검토된 보안 승인 프로세스에 의해 조회, 업데이트, 삭제 등이 수반돼야 한다.

레거시 방식의 솔루션은 DB·시스템의 대규모 분산 시스템에 대해 자동화된 관리가 필요한 경우, 테라폼과 같은 IaC를 지원하지 않고 있다. 생산성과 보안성을 아우르는 통합 플랫폼을 제공하지 못한다는 뜻이다.

또한 데브옵스 환경은 셀프 서비스 시스템으로 개발자 스스로 개발 시스템을 생성할 수 있고 관리할 수 있어야 하는데, 이러한 행위가 승인, 로깅되지 않으면 보안의 맹점이 발생한다. 즉 자동화 환경에 레거시 환경에서 데이터와 시스템 접근제어 솔루션이 추가되지 않는 한계가 발생한다.

여러 클라우드 제공자를 사용하는 멀티 클라우드 환경에서는 각 서비스 제공자의 보안 프로토콜, 데이터 관리 방식, API 등이 다르다. 예를 들어 AWS, GCP, 애저 데이터베이스에는 하나의 계정 원장(The Source of Truth)으로 하나의 권한 정책을 통해 관리할 수 있어야 하는데, 레거시 방식은 통합 정책 관리가 불가능하다.

각각의 클라우드 플랫폼마다 제공하는 장점이 다르기 때문에 사용자들은 멀티 클라우드에서 특정 서비스를 골라오는(Cloud Cherry-picking) 방식으로 서비스를 구현한다. 이 환경에서 전통적인 데이터 보호 솔루션으로는 일관된 데이터 보호 정책을 운영하지 못한다. 레거시 데이터와 시스템 보호 솔루션은 CSP마다 각각의 콘솔을 배포, 관리하므로 인프라와 관리비용이 상승하기에, 안전하고 효과적인 보안에 걸림돌이 될 수 있다.

● 세밀한 데이터 접근제어

클라우드 네이티브 환경에서는 다양한 서비스, 대내외 사용자, 디바이스가 데이터에 접근할 수 있다. 복잡한 접근 패턴을 관리하고, 누가 어떤 데이터에 언제 접근할 수 있는지 제어하는 것은 큰 도전이 될 수 있다.

AWS에만 아마존 RDS, 다이나모DB, 도큐먼트DB, 레드시프트, 엘라스틱캐시 등 다양한 형태의 데이터베이스 서비스가 있다. 이러한 데이터 소스가 지원이 되지 않는다면 AWS를 기반으로 서비스하는 클라우드 네이티브 환경의 기업에서는 레거시 데이터 보호 솔루션 적용이 어려워진다. 나날이 늘어가는 비즈니스 인텔리전스 솔루션 스노우플레이크, 데이터브릭스 등의 사용도 증가하고 있지만 레거시 솔루션에서의 지원은 전무한 실정이다.

● 원격근무

팬데믹을 기점으로 원격 업무가 일상화되면서 다양한 위치와 디바이스에서 데이터에 접근한다. 분산 환경에서 데이터와 시스템을 보호하는 것은 심리스하면서 보안이 적용된 원격작업 환경을 DB와 시스템 사용자에게 제공해야 한다.

신뢰할 수 있는 제로 트러스트 환경 구축이 전제되어야 하지만, 사용자가 별도의 DB 통합 개발 환경 IDE 또는 서버 CLI 편집기 없이 OS에서 기본 제공되는 크롬, 엣지, 사파리와 같은 웹브라우저에서 DB 쿼리와 서버 명령어를 실행하고, 모든 행위가 승인·결재, 통제, 로깅돼야 한다. 이는 쿠버네티스와 같은 모든 클라우드 네이티브 환경의 기업에서 쓰고 있는 오케스트레이션툴에 대한 접근제어와 로깅도 동일하게 해당된다. 이 기능 역시 레거시 솔루션에서 제공되지 않고 있다.

클라우드 네이티브 최적화 데이터 보호 필요

클라우드 네이티브 환경을 운영하기 위해서는 클라우드 환경에서 관리되는 데이터베이스, 시스템 등의 리소스 접근을 효과적으로 관리하고 보호할 수 있는 클라우드 데이터 보호 플랫폼(CDPP)이 필요하다. CDPP는 비인가자의 접근을 통제하고, 중요 데이터와 시스템에 대한 정책을 수립할 수 있으며, 모든 행위를 기록하고 모니터링함으로써 기업 내 중요 자산을 안전하게 보호한다.

체커가 개발한 ‘쿼리파이(QueryPie)’와 같이 클라우드 데이터와 시스템의 제어·관리에 최적화된 CDPP는 자산과 권한, 컴플라이언스에 이르는 데이터 접근 제어 기능과 시스템 접근 제어 기능을 각기 다른 클라우드 환경에 연동해 운영체제에 상관없이 웹 브라우저 환경에서 접근 통제와 감사 관리 기능이 가능하다.

실제 SSO 계정의 시스템 연동으로 기업 내 계정에서 사용자의 입·퇴사를 효율적으로 관리하거나 AWS, 애저, GCP 등 클라우드에 산재한 데이터베이스를 동기화해 관리하거나 외부에서 제어 가능한 API를 통해 관리하는 등 여러 환경에 유연하게 대응하는 클라우드 네이티브 환경에 최적화된 솔루션과 보안을 제공한다.

종합적으로 클라우드 상에 올라간 여러 데이터베이스를 한번에 관리할 수 있는 통합 플랫폼에서 분산된 데이터에 대한 보안과 컴플라이언스를 한번에 제공하는 것이 핵심이다.

CDPP는 서버 접근제어, 네트워크 접근제어, 데이터 디스커버리 등으로 확장가능하고, 향후 챗GPT와 같은 생성형 AI 확산으로 발생하는 다양한 데이터 보안 문제에 대응하는데 있어 매우 유연하다. 동시다발적으로 확장되는 기업의 데이터와 시스템에 대한 보안문제의 해법으로, 그 중요성은 더욱 증대될 것으로 보인다.