[데이터넷] 클라우드의 효율성과 유연성을 극대화하기 위해 코드와 이미지로 구성·운영되는 클라우드 네이티브 애플리케이션을 적용하는 환경이 늘어나고 있다. 이 환경은 더 빠르게, 더 간편하게 서비스를 배포하기 위해 오픈소스 커뮤니티를 비롯한 여러 서드파티에서 코드와 이미지를 가져오며, 다양한 서비스와 결합해 시장 변화에 민첩하게 대응할 수 있도록 하고 있다.

문제는 이 환경에 대한 보안 대책이 충분하지 않아 각종 사이버 위협에 노출되고 있다는 점이다. 개발환경에 침입한 공격자 혹은 취약점이 있는 코드와 이미지를 이용한 공급망 공격, 잘못된 설정과 구성오류를 노리는 클라우드 운영 환경 공격 등이 지속적으로 발생하고 있다.

가트너는 ‘프로덕션 환경에서 클라우드 네이티브 애플리케이션을 보호하는 방법’ 보고서에서 “클라우드 보안 책임이 보안 조직에서 개발자로 옮겨가고 있다”고 주장하며 “개발자가 주도하는 자동화된 워크플로우와 애플리케이션 보안 상태관리 기능으로 런타임과 개발 보안을 통합해야 한다. 최신 애플리케이션 보호 도구는 ▲자산 식별과 분류 ▲보안태세 관리 ▲탐지와 대응 기능을 갖춰야 한다”고 설명했다.

RASP·보안 통합된 APM으로 런타임 환경 보호

이 보고서에서 애플리케이션 보호 도구는 소프트웨어 검색과 상태관리, 탐지와 대응 기능이 포함돼 있어야 하며, 워크로드를 생성하는 데 사용되는 컨테이너 및 코드형 인프라(IaC)까지 초점을 맞춰 애플리케이션에서 워크로드까지 보호 기능을 확장해야 한다고 강조했다.

특히 WAF와 WAAP만으로는 런타임 보안 요구를 충족하지 못하는데, 그 이유는 웹 트래픽 검사만으로는 애플리케이션 관련 이벤트를 분석하지 못하기 때문이라고 설명했다. WAF와 WAAP는 애플리케이션 수준 취약점 악용 공격을 탐지·차단할 수 있지만, 애플리케이션 내에서 발생하는 악의적이고 의심스러운 동작을 식별하고 대응하지는 못한다.

그 대안으로 런타임 애플리케이션 자가 방어(RASP)가 제안되며, 이를 데브옵스 환경으로 통합시킨다면 보안 기능을 갖춘 애플리케이션 성능 관리(APM) 제품도 클라우드 네이티브 애플리케이션 보호 기술로 제안될 수 있다. RSAP와 보안 통합 APM은 애플리케이션 내에 구현돼 정확한 위협 및 이상행위 탐지가 가능하지만, 애플리케이션 성능에 영향을 미칠 수 있으며, 애플리케이션 수정도 필요하다.

컨테이너, IaC와 PaaS, ID 관리와 역할·권한관리(CIEM) 등 워크로드 보안 기능을 개발보안과 통합하면 애플리케이션부터 워크로드까지 이르는 보안 대응이 가능하다. 이 관점에서 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)이 제안되는데, 현재 제공되는 CNAPP은 컨테이너보안과 IaC 보안 스캐닝에 사용돼 아직은 이상적인 사용사례를 지원하지 못한다.

개발·런타임 보안 통합으로 위협 대응 용이

보고서는 개발보안과 런타임 보안을 연결했을 때 다양한 이점이 있다는 사실을 강조한다. 가상패치 수행이 수월해지며, 런타임 조건에서 보안 테스트 과정에서 식별된 취약점을 검증할 수 있어 오탐을 줄일 수 있다. 실제 위협 중요도에 따라 수정 우선순위를 정할 수 있으며, 런타임 내에서 식별된 잘못된 구성을 수정할 수 있는 방법을 개발자에게 제공할 수 있다. 배포 전 뿐만 아니라 런타임 중에도 컨테이너와 IaC 구성 검색을 수행할 수 있다.

보고서는 애플리케이션 보안 상태관리(ASPM) 기능을 제안하며, 개발보안과 런타임 보안 통합에 중요한 역할을 하는 도구라고 설명했다. 독립형 ASPM, 애플리케이션 보안 테스트(AST) 도구 혹은 데브옵스 플랫폼에서 제공하 ASPM이 필요하다고 설명했다.

김선애 기자 다른기사 보기