포괄적이고 심층적인 클라우드 보호 위해 호스트·컨테이너 보안 함께 사용해야
[데이터넷] 클라우드는 기존과 다른 환경이기 때문에 보안도 새로운 방식으로 진화해야 한다. 조직이 완전한 통제권을 갖고 구축, 운영하던 온프레미스 환경의 보안 기술은 가시성과 통제력을 온전히 갖지 못하는 클라우드에 적용할 수 없다. 클라우드는 빠르게 변하기 때문에 잘못된 구성과 부적절한 변경 제어, 안전하지 않은 소프트웨어와 타사 리소스로 인해 침해당하기 쉽다. 점점 더 까다로워지는 규제준수 요건과 브랜드 신뢰도 보호, 강화되는 비즈니스 연속성 등 컴플라이언스를 만족시키는 것도 쉽지 않다.
어려운 문제일수록 기본부터 하나씩 차근차근 풀어가야 한다. 클라우드 보안에서는 클라우드 워크로드 보호 플랫폼(CWPP)을 제대로 갖추는 것부터 클라우드 보호를 시작해야 한다.
김세윤 SGA솔루션즈 전략기획팀 이사는 “클라우드는 데이터 유출, 불안전한 API, 불충분한 액세스 관리, 규정위반, 잘못된 구성 등의 보안 문제에 직면해있다. 이 문제를 해결하는 방법으로 가장 먼저 포괄적인 워크로드 보호를 갖추고, 지능형 위협 완화와 가시성 확보, 무결성 보장, 액세스 제어 강화 등을 갖춰나가면서 클라우드를 안전하게 운영하는 방법을 찾아야 한다”고 설명했다.
호스트·컨테이너 보안 함께 사용해 사각지대 제거
‘제 5회 클라우드 보안 & SECaaS 인사이트 2023’에서 ‘클라우드 보호를 위한 포괄적인 접근 보안 전략’ 주제의 세션을 진행한 김세윤 이사는 클라우드 보안의 시작이라고 할 수 있는 호스트·컨테이너 플랫폼의 통합 보안 전략 구축·운영 방안에 대해 상세히 소개했다.
클라우드 보안의 시작은 워크로드 보호이며, 전통적인 환경에서는 호스트 기반 보호 솔루션을 통해 워크로드를 보호할 수 있었다. 최근에는 클라우드 네이티브 애플리케이션이 늘어나면서 컨테이너·쿠버네티스 환경을 위한 보안 기술도 필요하다. 클라우드에서는 개별 솔루션을 각각 도입해 복잡성을 높이는 것은 바람직하지 않다. 호스트 기반 보안과 클라우드 네이티브 보안 기술을 함께 사용해 보안 사각지대를 제거하고 포괄적인 클라우드 보안 전략을 완성할 수 있다.
김세윤 이사는 “클라우드 보안의 시작은 워크로드 보호이며, 다양한 워크로드 환경에 대한 통합 보호가 필요하다. 그래야 보안 공백을 막고, 클라우드 가시성과 제어를 향상시키며, 공격자의 악용을 차단시킬 수 있다. 컴플라이언스와 새로운 개발과제 지원 역시 통합 보호 전략을 채택하는 것이 유리하다”고 설명했다.
포괄적인 클라우드 보호 지원
클라우드 보호의 시작이라고 할 수 있는 CWPP는 클라우드 워크로드에 대한 멀웨어 차단, 침입방지, 비인가 변경 방지, 워크로드 액세스 제어, API 취약성 완화, 규정준수 보장 등의 기능을 기본으로 제공한다.
SGA솔루션즈의 ‘브이이지스(vAegis)’는 하이브리드 환경을 위한 서버 워크로드 통합 보안 플랫폼으로, IT 인프라 전반에 걸친 통합 가시성과 보안 기능을 제공하는 CWPP다. 유기적으로 운영되는 동적 클라우드 환경에서 서버 워크로드 가시성을 제공하며, 오토스케일링에 대응한 서버 자원 자동 보호, 클라우드 서비스에 영향을 주지 않는 최소화된 설계로 최적의 보안 성능과 강력한 보안을 제공한다.
컨테이너화된 클라우드를 보호하기 위한 기능으로는 컨테이너 이미지 취약성 스캐닝과 잘못된 구성 식별과 수정, 리소스 과다 사용, 브레이크 아웃 방지 등이 포함된다.
컨테이너 보안 솔루션은 이미지 취약점 완화를 위해 컨테이너 배포 전 CVE 기반 스캐닝으로 잠재적인 위협을 식별하고 해결하며, 인터넷 보안센터(CIS) 벤치마크를 기반으로 플랫폼 취약점 점검을 수행해 컨테이너 플랫폼의 잠재적인 약점을 식별하고 수정한다.
최소권한 원칙에 따른 접근제어를 적용하며, 공격자가 컨테이너를 통해 호스트 시스템에 접근하지 못하도록 한다. 더불어 컨테이너가 시스템 리소스 독점을 방지하고 전체 시스템 성능을 유지하면서 서비스 연속성을 보장할 수 있게 해야 한다.
SGA솔루션즈의 ‘씨이지스(cAegis)’가 컨테이너 환경에 최적화된 통합보안을 제공한다. 빌드, 배포, 운영 전 단계에서 컨테이너 취약점과 불법적인 접근을 막고 리소스 과다 사용이나 브레이크아웃을 방지한다. 컨테이너 라이프사이클 전반에서 지속적인 모니터링을 수행하며, 보안관리자 부담을 줄이고 사고에 신속하게 대응할 수 있게 한다.
김세윤 이사는 “CWPP와 컨테이너 보안을 함께 사용하면 일관된 보안 태세를 유지하면서 포괄적이며 심층적인 방어가 가능하다. 효율성과 확장성, 유연성이 높아 클라우드 이점을 보장하면서 안전하게 보호할 수 있다. 다양한 클라우드 워크로드 보호 기술의 통합으로 안전하게 클라우드를 운영할 수 있도록 SGA솔루션즈가 적극 돕겠다”고 말했다.
