CWPP·CSPM·CIEM·IaC 통합되며 클라우드 보안 단순화
[데이터넷] 클라우드는 워크로드 단위로 운영되기 때문에 클라우드 보안은 워크로드 보호에서 시작돼야 한다. 그런데 클라우드 기술이 시시각각 변하면서 전통적인 CWPP·CSPM 뿐만 아니라 컨테이너, IaC, CIEM 등의 기술도 워크로드 보호에 포함·연계되고 있으며, 워크로드와 애플리케이션을 보호하는 CNAPP 시장으로 진화하고 있다.<편집자>
쿠버네티스 구성오류로 인한 사고 45%
클라우드 워크로드 위협을 높이는 요인 중 하나가 컨테이너와 쿠버네티스다. 레드햇 ‘2023 쿠버네티스 보안 현황’ 보고서에서는 지난 12개월간 컨테이너와 쿠버네티스 보안 인시던트의 49%가 런타임 단계에서 발생했으며, 빌드/배포 단계에서도 거의 동일한 수준으로 영향을 미쳤다. 쿠버네티스 구성오류로 인한 사고를 경험했다는 응답자가 45%, 보안 문제로 클라우드 네이티브 도입이 지연됐다는 응답자가 67%에 이른다.
쿠버네티스는 컨테이너, 네트워크 구성, 비밀 등의 중요한 자원을 관리하기 때문에 공격자의 주요 타깃이 된다. 공격자는 쿠버네티스를 장악해 호스트 또는 전체 클러스터를 제어하고, 데이터 유출, 크립토마이닝, 봇넷을 운영할 수 있다. 이를 막을 수 있는 쿠버네티스 보안은 쿠버네티스의 악성행위와 컨테이너 내부에서 실행되는 악성 프로그램 탐지, 손상된 컨테이너 이미지 탐지, 이상행위 탐지 등의 기능을 한다.
클라우드 워크로드가 컨테이너로 옮겨가고 있기 때문에 컨테이너·쿠버네티스 보안은 필수적인데, 일부 기업·기관이 이에 소극적인 모습을 보이고 있다. 구글의 ‘2023년 3분기 위협지형’ 보고서에서는 고객이 클라우드 서비스에 장애를 줄 것을 우려해 보안 문제 해결에 주저하고 있다고 분석했다.
예를 들어 블랙 프라이데이와 같이 특정 시간에 트래픽이 급증할 때 쿠버네티스 보안 취약점이 공개되고 패치가 배포된다면 이커머스 기업은 패치를 적용하지 않으려 할 것이다. 패치에 소요되는 시간 동안 서비스에 장애가 발생할 수 있기 때문이다. 그런데 몰려드는 트래픽 속에 악의적인 공격자가 숨어 취약점 공격을 하면 더 큰 피해를 입힐 수 있다. 따라서 보안 패치는 반드시 이행해야 한다.
즉각적인 패치가 어려운 경우, 구글의 ‘릴리스 채널’ 기능을 이용할 수 있다. 마이너 버전 업데이트는 자동화하지만, 중요한 변경은 점검 후 패치하도록 설정하고, 패치 중 최소 사용 가능한 POD가 실행되도록 해 패치로 인한 서비스 중단을 막을 수 있게 한다.
기업 49% “AWS 키, 가상머신에 저장”
클라우드 워크로드 보호 기능에 CIEM이 통합되고 있다는 점도 중요한 대목이다. 많은 클라우드 침해사고가 클라우드 권한 탈취를 통해 이뤄진다. IBM은 공격자들이 훔친 클라우드 자격증명을 이용해 클라우드에서 무단으로 암호화폐를 채굴하거나, 채굴 가능한 리소스를 재판한다. 클라우드는 온프레미스에 비해 리소스를 철저하게 관리하지 않기 때문에 불법 채굴 행위를 들키지 않고 장기간 활동할 수 있다.
오르카는 크리덴셜 관리 소홀로 인한 위협에 대해 경고했다. 오르카 조사에서 조직의 49%가 민감한 AWS 키를 가상머신 파일 시스템에 저장하고 있어 이를 탈취한 공격자가 모든 AWS 리소스에 접근할 수 있으며, EC2 인스턴스 실행, S3 개체 삭제 등을 수행할 수 있다. 오르카는 AWS 키는 수동으로 해지하지 않는 한 무기한 액세스가 가능하기 때문에 ASW 키 대신 보안토큰 서비스를 사용해 생성되는 임시 자격증명을 사용할 것을 권고했다.
클라우드 인프라 구성에 IaC가 사용되면서 IaC 보안도 뜨거운 이슈로 떠올랐다. IaC는 기계가 읽을 수 있는 파일, 스크립트를 이용해 서버, 네트워크, 데이터베이스 등 IT 인프라를 관리하는 프로세스다. IaC를 이용하면 실수나 설정오류로 인한 장애·침해를 예방할 수 있으며, 코드로 빠르게 작성돼 쉽게 배포할 수 있어 클라우드 속도를 높일 수 있다.
IaC는 클라우드 인프라 보안을 강화할 수 있다. 규제준수와 감사를 간소화하고, 모든 환경에 일관성있는 정책을 적용할 수 있다. 보안정책을 최적화하고, 불변 인프라 구현을 용이하게 하며, 사고대응을 가속화할 수 있다.
그러나 코드로 구성되는 인프라인 만큼 보안문제가 없을 수 없다. IBM은 IaC를 데브섹옵스에 통합해 코드베이스에 안전한 인프라 설정을 내재화하면서 CI/CD 파이프라인을 운영하는 것을 제안한다. 또한 보안 전략에 IaC를 적용하며, 인프라 관리를 간소화할 수 있도록 IaC를 최적화해야 한다고 권고했다.
통합 트렌드에 맞춰 CNAPP 부상
클라우드 인프라 보호 기술 시장은 컨테이너·쿠버네티스 보안, CIEM, IaC 보안 등과 결합하면서 CNAPP으로 발전하고 있다. 클라우드 복잡성을 낮추기 위해 ‘공급업체 통합’ 전략이 우선 채택되고 있으며, 보안에서도 같은 기류를 보이면서 CNAPP이 본격적인 성장을 시작했다. CNAPP은 전체 클라우드 네이티브 애플리케이션과 관련 인프라의 위험을 식별하고, 우선 순위를 지정하는 데 중점을 둔 여러 보안 기능을 통합한 솔루션이다.
가트너는 2026년까지 기업의 80%가 클라우드 네이티브 애플리케이션의 라이프사이클 보호를 위한 통합 보안 툴을 3개 이하 벤더로 통합할 것으로 예측하면서 단일 벤더 CNAPP이 대세를 이룰 것이라고 예측했다.
CNAPP의 핵심 기능은 ▲VM, 컨테이너 워크로드 런타임 가시성 ▲주요 하이퍼스케일 프로바이더, 관리형 쿠버네티스를 포함한 클라우드 보안 형상관리 ▲IaC 스크립팅 언어와 쿠버네티스 용 YAML/Helm을 포함한 IaC 검색 ▲CIEM ▲네트워크 연결 매핑 ▲컨테이너·컨테이너 레지스트리 위험 검사: 구성 검사, 알려진 취약성 검색, 암호 검색, 공격경로 분석 ▲SBOM 생성을 포함한 소프트웨어 구성 분석 등을 들었다.
CNAPP은 시프트 레프트(Shift-Left)를 위해 개발 파이프라인과 아티팩트에 대한 깊은 이해를 갖고 있어야 하며, 취약성 검색을 위한 개발 파이프라인으로 확장해야 한다. CNAPP은 개발 아티팩트와 클라우드 리스크, 런타임 리스크에 대한 세밀한 가시성을 제공하며, 개발자에게 익숙한 환경으로 구성돼야 한다. 더불어 클라우드 환경에 최적화된 위협 탐지와 대응(CDR), 클라우드 데이터 보호 플랫폼(CDPP), API 테스트와 모니터링, 멀웨어 검색 등의 기능도 추가되고 있다.
가트너가 설명한 CNAPP의 모든 요구를 완벽하게 만족시키는 솔루션은 없지만, 팔로알토 네트웍스의 ‘프리즈마 클라우드’가 가장 근접하게 CNAPP을 구성하고 있는 것으로 평가된다. 프리즈마 클라우드는 팔로알토 네트웍스가 클라우드 보호 기술을 가진 기업들을 인수하고, 이를 하나의 플랫폼으로 통합시킨 CNAPP이다.
가장 최근에는 CI/CD 보안 전문기업 사이더 시큐리티 인수하고 핵심기술을 프리즈마 클라우드에 통합, 코드 투 클라우드 보안이 가능하도록 했다. CI/CD 보안 모듈은 시크릿 스캐닝, 소프트웨어 구성 분석, IaC 보안 등의 기능이 탑재돼 있다. 프리즈마 클라우드는 CI/CD 보안 모듈을 포함, 11개의 모듈을 제공하고 있으며, 코드에서 배포, 런타임까지 전체 애플리케이션 라이프사이클을 보호한다.
