단일 플랫폼서 하이브리드 클라우드 데이터 보호 기술 제공
[데이터넷] 디지털 주권이 사이버 전략의 키워드 중 하나로 부상했다. 본격적인 클라우드 시대에 접어들면서 데이터가 여러 클라우드에 산재되면서, 데이터 주체가 데이터를 통제하기 어렵게 됐기 때문이다. 탈레스 조사에서는 전 세계 응답자의 96%, 국내 응답자의 97%가 데이터 저장 위치와 관할권을 지정·변경하거나 전체 데이터를 암호화함으로써 디지털 주권을 지킬 수 있다고 답했다.
이 응답에서 데이터 저장 위치를 지정하는 것은 암호화에 비해 불완전하다. 클라우드 서비스 중에서는 이를 지원하지 않는 경우도 있으며, 클라우드 서비스 사업자가 자체적으로 운영하는 백업 인프라에 저장되는 백업 데이터는 데이터 주체의 주권 밖에 있을 수밖에 없다.
암호화가 디지털 주권을 위한 가장 확실한 방법이지만, 암호화 키관리의 복잡성이 문제다. 탈레스 조사에서 글로벌 응답자의 62%, 국내 응답자의 59%가 최소 5개의 엔터프라이즈 키관리 시스템을 보유하고 있어 데이터 복잡성이 매우 높다고 응답했다.
구병춘 탈레스코리아 이사는 “기업이 사용하는 클라우드의 종류가 많아지고 SaaS 앱이 늘어나며, 클라우드 스토리지도 크게 증가하면서 데이터 보호의 복잡성이 더 높아지고 있다. 이 문제를 해결하기 위해서는 모든 데이터를 암호화하고, 암호화 데이터에 대한 중앙집중적인 키관리가 필수”라고 주장했다.
키관리 복잡성 제거하는 통합 플랫폼 제공
구병춘 이사는 ‘제23회 차세대 보안 비전 2023’에서 데이터 주권 확보를 위한 키관리 시스템 구현 방법을 자세히 설명하면서 외부 키관리 솔루션의 중요성을 강조했다.
클라우드 서비스 사업자(CSP)가 암호화 데이터의 키관리 시스템을 제공하지만, CSP의 키관리는 해당 환경에 종속되기 때문에 멀티 클라우드 전반의 데이터 보호가 어렵다. 가트너는 데이터 주권과 개인정보 보호를 위해 클라우드 네이티브 CSP 키보다 외부 키관리를 사용하는 경우가 4배 많을 것으로 예측했다.
그런데 기업의 데이터 보호 정책을 수립하다보면 다양한 데이터 보호 플랫폼을 사용하게 되고, 그에 따라 여러 키관리 시스템을 사용해야 해 또다시 복잡성이 높아진다. 그래서 데이터 보호를 위한 모든 기술이 통합된 독립된 보안 플랫폼이 필요하다.
탈레스의 ‘사이퍼트러스트 데이터 시큐리티 플랫폼(CDSP)’는 데이터 식별과 분류, 정책 적용, 암호화·토큰화와 키관리 등 데이터 보호를 위한 모든 기술을 통합했다. 단일 관리창에서 데이터 보호 정책을 운영해 보호받지 못한 섀도우 데이터를 제거하고, 모든 데이터를 정책기반으로 보호할 수 있게 한다.
시크릿 관리 솔루션으로 인간·비인간 접근 보호
멀티 클라우드 환경에서는 다양한 시크릿(Secret) 관리 솔루션도 필요하다. 시크릿은 암호화 키, 비밀번호, 자격증명 등 인증을 위한 다양한 비밀을 말한다. 최근에는 임직원과 파트너, 가상머신, 마이크로서비스, 애플리케이션, 데브옵스, 컨테이너, 스크립트, SSH 키, API 키, 토큰 등 시크릿의 종류가 다양해졌다. 탈레스는 사이퍼트러스트 시크릿 매니지먼트(CSM)에 애키리스 볼트의 기술을 적용해 인간·비인간 시크릿 관리까지 수행할 수 있게 한다.
구병춘 이사는 “제로 트러스트 액세스, 데브옵스와 자동화, 컨테이너 도입, 프라이빗·하이브리드·멀티 클라우드 등으로 시크릿 사용이 대규모로 증가했다. 특히 조직의 62%가 얼마나 많은 키와 인증서를 보유하고 있는지 파악하지 못하고 있어 시크릿 관리의 문제가 심각해지고 있다”고 설명했다.
탈레스 CSM은 모든 종류의 시크릿을 중앙에서 관리하며, 데브섹옵스를 위한 쉽고 자동화된 기능도 제공한다. 침해 예방을 위한 업무 분리와 하이브리드·멀티 클라우드를 위한 엔터프라이즈 확장성을 제공한다.
시스템 IO 행위 분석으로 랜섬웨어 선제 차단
구 이사는 사이퍼트러스트에 포함된 랜섬웨어 방어 기능 ‘사이퍼트러스트 트랜스페어런트 인크립션- 랜섬웨어 프로텍션(CTE-RWP)’에 대해서도 설명했다. CTE-RWP는 시스템 IO에서 발생하는 행위를 모니터링해 악성행위를 탐지하고 랜섬웨어를 차단해 보안태세를 강화한다.
CTE-RWP는 모든 파일 시스템 입출력을 분석해 악의적인 활동을 경고하거나 차단하고, 활성 프로세스를 모니터링해 알려진 랜섬웨어 파일 시그니처 뿐만 아니라 알려지지 않은 랜섬웨어 행위도 대응한다. CTE-RWP 설치 이전에 감뎜된 랜섬웨어도 찾아내며, CDSP와 콘솔을 공유해 통합 데이터 보안 관리를 간소화한다.
구병춘 이사는 “탈레스는 데이터 보호를 위한 모든 기능을 단일 플랫폼에 통합시켜 복잡한 멀티 클라우드 데이터 보호 요건을 단순하게 충족시킨다. 보안성과 효율성을 높이는 사이퍼트러스트 플랫폼을 통해 데이터 주권을 보장할 수 있다”고 말했다.
