[데이터넷] 클라우드는 사업자와 사용자가 보안에 대한 책임을 나눠갖는 ‘책임공유모델’을 적용한다. 클라우드 사용 기업도 클라우드 보안에 책임을 져야한다는 뜻이다. ‘남의 컴퓨터를 빌려 쓰는’ 클라우드 환경은 기존과는 다른 보안 요구사항이 있다. 클라우드 워크로드 보호, 도커·쿠버네티스 등 클라우드 개발·운영환경을 위한 보안 프로세스가 필요하다. 클라우드를 보호하는데 필요한 보안 요구사항을 알아본다. <편집자>
국내 클라우드 시장은 글로벌 서비스 기업이 진출하면서 본격 시작됐다. 이후 국내 클라우드 서비스 사업자들이 공격적인 시장 공략을 펼치면서 클라우드 시장의 치열한 경쟁이 시작됐다. 금융·공공 등 클라우드 사용이 제한됐던 산업군도 규제완화로 클라우드를 도입할 수 있게 되면서 클라우드 시장을 빠르게 성장하고 있다.
온프레미스 데이터센터, 프라이빗 클라우드, 퍼블릭 클라우드가 함께 사용되는 하이브리드 클라우드가 주를 이루고 있으며, 최근 클라우드 사업자들이 자사만의 특화된 클라우드 서비스를 출시하면서 경쟁력을 집중 강조하고 있다. 이에 따라 국내 기업의 클라우드 선택의 폭이 넓어졌으며, 자사 환경에 최적화된 서비스를 선택해 구현할 수 있게 됐다. 더불어 멀티 클라우드로 확장 운영하면서 클라우드 도입 효과를 크게 높이고 있다.
클라우드 도입 기업도 보안 책임 있어
클라우드 도입의 폭발적인 증가와 함께 필수 고려 사항은 클라우드 서비스 프로바이더의 성장세와 함께 클라우드 환경에서 기업의 안전한 데이터 보호와 운영을 보장할 수 있는 클라우드 보안 방안을 수립하는 것이다.
이는 <네트워크타임즈>와 <데이터넷>이 실시한 ‘2020 보안 담당자 대상 설문 조사’에서도 잘 나타나 있다. 설문에 참여한 44.7%의 기업·기관이 다양한 클라우드 환경을 사용하고 있는 반면, 클라우드 사용 기업의 67.5%는 클라우드 환경에 별도의 보안솔루션을 사용하고 있지 않다고 답했다.
클라우드 도입 속도에 비해서 클라우드 보안에 대해서 고려하지 않고 있다는 조사 결과에서 놀라지 않을 수 없다. 레거시 환경과 프라이빗 클라우드 환경과 다르게 현재 모든 기업이 잘 인식하고 있듯 책임공유모델(Shared Responsibility Model)을 따르고 있는 퍼블릭 클라우드 서비스 환경하에서는 더욱 심각한 상황이다. 심각해지고 있는 클라우드 보안 위협에 대응하기 위한 필수 보안 요구사항은 다음과 같다.
- 멀티 클라우드 환경에 대한 ‘보안 가시성’ 확보
- 멀티 클라우드 환경에서 새로운 워크로드(도커, 컨테이너)에 대한 보안
- 클라우드 네이티브 애플리케이션에 대한 보안
- 멀티 클라우드 설정 감사와 실시간 위협 관리
멀티 클라우드 보안 가시성 확보
멀티 클라우드 환경에 대한 ‘보안 가시성’ 확보는 무엇보다 가장 시급히 해결해야 할 과제다. 기업의 서버 환경이 멀티 클라우드 환경으로 변화하면 서버의 물리적 위치를 전 세계 어느 곳에나 클라우드 서비스 리전에 구성할 수 있다.
각각의 클라우드 서버 환경은 네트워크, OS 플랫폼 그리고 애플리케이션 구성 방법이 클라우드 서비스 프로바이더 별로 상이하게 구성된다. 따라서 클라우드 서비스를 이용하고 있는 기업은 멀티 클라우드 환경에 위치한 서버에 대한 보안 가시성을 확보하는 것이 우선적으로 해결해야 할 과제다.
보안 가시성은 기존 데이터센터 내 보안 수준과 정책, 그리고 기업 내의 보안 컴플라이언스가 멀티 클라우드 환경에 동일한 수준으로 적용할 수 있어야 하며, 그에 대한 실시간 모니터링과 위협 탐지, 대응을 하나의 관리 시점에서 실행할 수 있어야 한다는 사실을 의미한다.
기업 데이터센터에서 사용 중인 보안 솔루션을 멀티 클라우드 환경에 동일하게 적용할 수 있어야 하며 그 반대의 경우도 보안 적용에 문제가 없어야 한다. 멀티 클라우드 환경을 보호하기 위해서는 클라우드 네이티브 보안이 필요한 이유다. 클라우드 환경에 기존 보안 구현 방법을 그대로 적용할 수 없다면 클라우드 네이티브 보안이라 할 수 없으며 클라우드 위협 에 대응할 수 없게 된다.
멀티 클라우드 환경에서는 클라우드 네이티브 보안이 더욱더 중요해진다. 기업이 멀티 클라우드 환경을 구성하는 가장 큰 이유는 각 클라우드 서비스 프로바이더가 제공하는 특화된 클라우드 서비스(AI, IoT, 빅 데이터, 특정 애플리케이션 서비스 플랫폼, 데이터베이스 등)를 손쉽게 이용할 수 있기 때문이다. 클라우드 환경에 최적화된 애플리케이션 사용을 쉽게 확장, 축소(Scale in/out)할 수 있을 것이고 이때 유연한 자동화된 보안 구현이 필요하다. 이것이 클라우드 네이티브 보안이 중요한 이유다. 클라우드 환경에서 보안 적용이 자동화되고 모든 클라우드 환경에서 동일한 보안 수준을 적용할 수 있어야 하기 때문이다.
멀티 클라우드 워크로드 보호
클라우드 보안에서 가장 많이 접하고 있는 용어가 클라우드 워크로드 보호 플랫폼(CWPP)일 것이다. 클라우드 워크로드 보안은 쉽게 클라우드 환경 내의 서버, 호스트에 대한 보안이라고 볼 수 있다. 그러나 멀티 클라우드 환경에서 워크로드에 대한 보안은 새로운 보안 요구사항을 고려해야 한다.
기업의 애플리케이션, 소프트웨어 개발에 대해 고객의 요구사항을 빨리 적용해 타임 투 마켓(Time-to-Market)을 빠르게 대응하기 위한 방법론을 채택하는 기업들이 증가하면서 새로운 애플리케이션 개발 프로세스를 채택하고 있다. 애플리케이션의 빠른 개발과 배포를 위한 데브옵스(DevOps) 프로세스와 도커(Docker), 컨테이너(Container) 기반의 애플리케이션은 함께 공존하며 최근 기업의 애플리케이션 개발을 주도하고 있다.
기업의 이러한 애플리케이션 개발 환경의 변화와 함께 클라우드 서비스 프로바이더들도 데브옵스, 도커, 컨테이너 서비스를 고객의 선택할 수 있도록 서비스를 제공해 최적화된 개발, 배포 운영 환경을 제공한다.
도커, 컨테이너 기반의 애플리케이션 개발과 배포는 멀티 클라우드 기업의 환경을 더욱 더 가속화한다. 애플리케이션 배포에 대해서 클라우드 서비스 프로바이더, OS 플랫폼에 종속되지 않고, 독립적으로 자원에 여유가 있는 어느 도커 환경에도 배포가 가능하며 워크로드를 구성하고 서비스를 실행할 수 있다. 빠른 배포와 어느 환경에서나 실행 가능한(Fast ship and Run anywhere) 애플리케이션 배포를 제공해 기업은 고객의 요구를 빠르게 대응할 수 있는 애플리케이션 개발을 가능하도록 한다.
이러한 기업의 개발 환경의 변화와 새로운 클라우드 워크로드 환경에 맞춰 보안도 변화해야 한다. 물론 새로운 워크로드 보안에 가장 먼저 고려할 사항은 앞에서 살펴본 클라우드 네이티브 보안 선택의 선제조건이다.
새로운 클라우드 워크로드에 대한 보안은 기본적으로 두가지 영역을 고려해야 한다. 먼저 데브옵스의 파이프라인(DevOps Pipeline), CI/CD(Continuous Integration/Continuous Deployment) 파이프라인에서 배포 전 컨테이너 이미지에 대한 안전성에 대한 검증 방법이 필요하다.
빠른 개발과 배포에 대한 요구가 커지는 만큼 그에 대한 위험도 증가된다. 개발자가 사용하는 새로운 오픈소스 기반의 애플리케이션 라이브러리, 오픈소스 도구에 대한 취약점이 배포 이미지에 그래도 포함될 수 있으며, 알려진 또는 알려지지 않은 악성코드와 악성 행위를 야기하는 악의적인 URL도 포함될 수 있다. 또한 기업의 중요 정보가 배포 이미지에 아무런 제약 없이 노출될 수도 있다.
따라서 배포 속도가 가장 중요한 데브옵스 파이프라인에서 배포 이미지에 대한 사전 검사는 중요하다. 기업의 전체 소프트웨어 라이프사이클 관리 측면에서도 안전한 배포 이미지만을 배포되도록 사전 검증을 수행하는 것이 배포 후에 발생할 수 있는 공격으로 인해 애플리케이션의 수정과 서비스 중단/재개에 필요한 시간보다 더 빠르고, 효율적으로 안전한 소프트웨어 라이프사이클을 유지할 수 있도록 해주기 때문이다.
런타임 보호 방안 마련해야
다음으로 고려해야 할 새로운 클라우드 워크로드를 위한 보안 요구 사항은 런타임 보호(Runtime Protection) 방안이 수립돼야 한다. 새로운 클라우드 워크로드는 런타임 환경의 변화를 가져왔다. 물리 서버의 환경으로부터 가상 환경을 넘어 도커 환경은 커널 공유 기법을 이용한 서버 자원을 효율적으로 운영해 전체적인 서버의 성능 향상을 가져왔다.
이러한 도커 환경에서 런타임 보호 영역은 기존 클라우드 환경에 최적화된 호스트 기반의 런타임 보호 방법에 새로운 보안 요구 사항을 필요로한다. 도커, 컨테이너를 실행하기 위한 새로운 운영 환경과 도커, 컨테이너 환경의 효율적인 운영을 위해서 사용되는 새로운 도구들에 대한 보호가 필요하다.
현재 표준처럼 사용되고 있는 도커 오케스트레이션(Orchestration) 도구, 쿠버네티스(Kubernetes)에 대한 런타임 보호도 고려돼야 한다. 클라우드 환경에 최적화된 호스트 기반의 워크로드 보안의 영역이 그 내부에서 컨테이너까지 내부로 확장되는 보호가 필요하다. 위 <그림>은 새로운 클라우드 워크로드 구성과 필요한 보안 요소를 나타내고 있다.
제일 먼저 호스트 OS 보호를 고민해야 한다. 이는 기존 호스트 기반의 워크로드 보호와 동일한 보안 영역을 제공한다. 도커 오케스트레이션을 위한 쿠버네티스의 보호, 도커 엔진 보호 그리고 컨테이너의 애플리케이션까지 보호 영역의 내부로의 확장돼 도커 호스트에 대한 풀 스택 보호가 필요하다.
클라우드 워크로드 보안에 대해 배포 전 컨테이너 이미지에 대한 사전 검증을 통한 데브옵스 파이프라인에서 보안의 구현 방법과 워크로드의 런타임 보호에 대해 각각 살펴봤다.
추가적으로 클라우드 운영환경에서 두 가지 보호 방법의 연계가 더 효과적으로 워크로드 보안을 구현할 수 있다. 배포 전 이미지 스캔 결과를 이용해 배포 후, 런타임 환경의 컨테이너 애플리케이션에 대한 보다 세밀한 제어를 수행할 수 있도록 이미지 스캔에 대한 결과를 런타임 환경까지 연계하는 것이다.
