옵스나우 시큐리티, 클라우드 가시성·최적화된 정책 지원
[데이터넷] 클라우드는 기존과 완전히 다른 기술과 아키텍처를 기반으로 설계됐으며, 매일 새로운 기술과 서비스가 추가된다. 퍼블릭 클라우드는 책임공유모델에 따라 CSP와 사용자의 책임이 나뉘기 때문에 CSP·사용자 그 누구도 완벽한 가시성과 통제력을 갖지 못한다. 그래서 클라우드는 공격표면이 넓고 보안 사각지대가 매우 많다. 각종 규제와 컴플라이언스 이슈도 있어 도입과 활용에도 제한이 있다.
빠른 시장 변화에 대응하기 위해 클라우드 전환은 필수이지만, 보안과 관리 문제는 해결하기 어렵다. 클라우드 보안을 위해 제안되는 기술이 수백가지에 이르며, 이 중 상당수가 클라우드 네이티브 환경에서 새롭게 등장한 기술이다. 장기간 클라우드 환경에 적용돼 안정적으로 운영된 모범사례나 전문가가 부족해 안정적으로 도입해 운영하기 쉽지 않다.
베스핀글로벌 클라우드 보안사업 본부장인 정현석 상무는 “레거시 환경을 위한 보안은 클라우드 환경을 보호하지 못한다. 클라우드는 레거시와 다른 아키텍처와 기술을 사용하고 있으며, 조직 환경에 따라 다르게 구축·활용되기 때문에 참고할 수 있는 성공사례도 많지 않은 상황”이라며 “클라우드 성공을 위해서는 다양한 산업군 고객의 클라우드 도입·운영을 경험한 ‘현장 전문성’이 필수다. 그래서 클라우드 매니지드 서비스가 각광받고 있는 것”이라고 설명했다.
클라우드 성숙도 낮은 우리나라, 사용 쉬운 보안 솔루션 필요
클라우드는 20년 가까운 역사를 가진 IT 서비스로, 글로벌 시장에서는 각 산업군과 조직 규모별로 성숙도 높은 모범사례가 다양하게 있다. 그러나 우리나라에서는 이제 막 걸음마를 뗀 상태로, 소수의 글로벌 대기업을 제외하면 클라우드 사용률이 매우 저조하다.
본지 조사에 따르면 국내 기업 30%가 한 가지 퍼블릭 클라우드 인프라를 사용하고 있으며, 50%는 4개 이하 SaaS를 사용하고 있다. 글로벌 조사에서는 98%가 멀티 클라우드를 사용하고 있으며, 한 조직당 평균 110개의 SaaS를 사용한다. 클라우드 운영 환경이 우리나라와 글로벌 시장은 차원이 다르다.
국내에 공급되는 대부분의 클라우드 보안 솔루션은 글로벌 환경에 맞춰 설계·개발된 것이다. 클라우드 네이티브 비즈니스나 대규모 클라우드 운영 환경을 위해 개발된 클라우드 보안 솔루션에는 많은 기능이 탑재돼 있으며, 다양한 솔루션·기술과 통합·연동될 수 있도록 설계됐다.
국내 클라우드 환경은 보안은 많은 기능을 필요로 하지 않으며, 핵심적인 몇 가지 기술만, 쉽게 적용하고 사용할 수 있기를 바란다. 다수 클라우드를 사용하는 대형 엔터프라이즈에서도 단순하고 쉬운 클라우드 보안을 요구한다. 너무 많은 통합된 기능은 복잡성을 높이고 비용을 증가시키며, 이종 클라우드 연결을 어렵게 하고, 운영을 위한 전문성을 필요로 한다.
정현석 상무는 “보안은 단 한가지 기술만으로 완성될 수 있는 것이 아니며, 클라우드는 특히 더 다양한 기술을 요구한다. 그러나 국내 클라우드 보안은 많은 기술이 아니라 최적의 기술을 요구한다. 국내에서 운영중인 클라우드 환경에 맞춤형으로 제공되면서 국내 기업·기관의 문화와 까다로운 규제를 만족시킬 수 있는 클라우드 보안이 필요하다”고 말했다.
그는 이어 “베스핀글로벌은 4500여 고객의 클라우드 운영을 지원하면서 쌓은 노하우를 기반으로 각 사이트마다 최적의 보안을 제공할 수 있다. 고객에 대한 높은 이해와 클라우드 전문성으로 클라우드 강점을 유지하면서 안전하게 운영할 수 있는 전문 서비스를 제공한다”고 설명했다.
CSPM 기술력 인정받아 SK그룹 표준 툴 선정
베스핀글로벌은 클라우드 매니지드 서비스를 제공하면서 축적한 전문성을 결집한 클라우드 운영관리 SaaS 브랜드 ‘옵스나우(OpsNow)’를 7월 독립 법인으로 출범시켰으며, 이 조직에서 클라우드 보안 형상관리(CSPM) 플랫폼 ‘옵스나우 시큐리티’를 공급하고 있다.
옵스나우 시큐리티는 클라우드 인프라의 구성·설정 현황을 파악하고 지속적으로 모니터링하며 개선조치를 안내하는 서비스로, ISMS, ISO27001, GDRP 등 국내외 주요 규제 준수 요건도 만족한다. 옵스나우 시큐리티는 SK그룹 표준 툴로 선정되는 등 출시 1년만에 대기업 그룹사와 엔터프라이즈, 중견·중소기업을 고객으로 확보하면서 시장 장악에 나서고 있다.
정현석 상무는 “클라우드 보안 사고의 99%는 사용자 실수와 구성 오류, 잘못된 정책으로 인해 발생한다. 특히 클라우드 시작이라고 할 수 있는 리소스 보안 설정부터 잘못돼 일어나는 보안사고가 가장 많다”며 “클라우드 보안 정책을 최적화하고, 가시화하면 클라우드 보안 문제의 80%를 예방할 수 있다. 옵스나우 시큐리티가 그 해결책”이라고 설명했다.
CSPM은 정책관리에 초점을 맞춘 솔루션인 만큼, 조직의 클라우드 환경에 맞는 정책을 수립할 수 있어야 한다. 베스핀글로벌은 그간의 클라우드 노하우를 기반으로 8개 카테고리, 28개 챕터, 61개 섹션으로 구성한 벤치마크를 제공해 고객 환경에 최적화된 정책을 수립하고 운영할 수 있도록 지원한다.
옵스나우 시큐리티는 현재 CSPM 기능을 제공하고 있으며, 조만간 쿠버네티스 보안 형상관리(KSPM), 클라우드 워크로드 보호 플랫폼(CWPP)를 추가 공개할 계획이다. 장기적으로 시장 수요에 맞춰 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)을 위한 기능을 추가하면서 CNAPP 완성도를 높여나갈 계획이다.
정 상무는 “클라우드를 안전하게 운영하려면 클라우드 전반을 가시화하고, 최적의 정책을 적용하며, 실시간 변화에 따른 정책 운영 변경을 자동화해야 한다. 지속적으로 클라우드 보안 수준을 평가하고 부족한 부분을 보완해야 하며, 전담조직을 통해 통제해야 한다”며 “기존 보안과 다른 클라우드 보안이 향후 사이버 보안 시장을 이끌게 될 것이다. 베스핀글로벌은 새롭게 열리는 시장을 리딩하면서 고객과 산업의 성장을 지원할 것”이라고 말했다.
