클라우드·애플리케이션 시대, 보안 접근방식 변화…‘앱 중심 보안’ 확장
디지털화가 가속화되면서 이른바 ‘애플리케이션 중심’ 비즈니스 환경이 펼쳐지고 있다. 기업에서 사용되는 애플리케이션 수는 크게 증가하고 있고 다양한 클라우드 환경에서 점점 더 많은 서비스가 제공되고 있다.
전세계 기업을 막론하고 애플리케이션 의존도가 증가하면서 더욱 빠르고 안전하게 서비스를 제공하는 것이 더욱 중요한 문제로 부각됐다. 특히 클라우드 기반 애플리케이션 서비스가 확산될수록 보안 접근방식에 두드러진 변화가 나타나고 있다.
‘보안’ 문제는 이제 디지털화나 클라우드 채택, 신규 서비스 출시에 발목을 잡는 걸림돌이 아니라 오히려 가속화하는 동력으로 작용할 것이란 관측도 나왔다.
애플리케이션 수 계속 증가…절반 이상은 클라우드에서 구동
F5네트웍스가 전세계 기업 IT 임원 등 전문가 2197명을 대상으로 조사해 최근 발간한 ‘2017년 애플리케이션 딜리버리 현황(SOAD)’ 보고서에 따르면, 기업에서 사용하는 가용성, 이동성, 성능, 보안 등과 관련된 애플리케이션 서비스 수가 지난해 11개에서 올해 14개로 증가했다.
26가지 주요 애플리케이션 서비스 가운데 10개 이상 사용하는 기업은 2017년 74%로 작년 대비 14% 증가했다. 기업 절반(49%)은 11개에서 20개 애플리케이션 서비스를 제공하고 있다.
클라우드 서비스가 대세로 자리하면서 기업들은 점점 더 많은 애플리케이션을 클라우드로 이전하고 있다. 전세계 응답자 5명 가운데 1명은 연내 클라우드에서 서비스하는 애플리케이션이 절반 이상을 차지할 것이라고 지목했다.
여전히 퍼블릭 클라우드 보다는 온프레미스(구축형) 프라이빗 클라우드상에서 애플리케이션을 서비스할 계획을 갖고 있다.
프라이빗 클라우드와 서비스형 소프트웨어(SaaS), 서비스형 인프라(IaaS), 서비스형 플랫폼(PaaS) 등 다양한 인프라 유형 가운데 재무(44%), 인사(40%), 빌링(38%) 애플리케이션 구동 방식으로 온프레미스(On-Premise) 프라이빗 클라우드 선호도가 가장 높게 나타났다.
고객 모바일(36%), 산업용 사물인터넷(IoT)(26%), 소비자용 IoT(23%), 디지털마케팅(22%) 애플리케이션도 마찬가지다. 오프프레미스(Off-Premise) 프라이빗 클라우드 방식을 합치면 수치는 더욱 커진다.
프라이빗 클라우드 선호도 가장 높아, 하이브리드·멀티클라우드 전략 추진
응답자의 46%는 올해 프라이빗 클라우드에 가장 많은 투자를 진행할 것이라고 답했다. 미주, 유럽·중동·아프리카(EMEA), 아시아지역과 일본 등에서 모두 비슷한 추세를 나타냈다.
프라이빗 클라우드 선호도가 높긴 하지만 IaaS 등 퍼블릭 클라우드 성장률도 함께 커질 것으로 예상된다. 조직에서 전략적으로 중요하게 채택할 클라우드 유형으로 기업들은 프라이빗 클라우드 39%, 퍼블릭 클라우드 38%, 서비스형 소프트웨어(SaaS) 37%로 비슷한 비중을 나타냈다.
실제로 응답자 5명 중 4명은 하이브리드 클라우드를 채택하고 있다고 답했다.
현재 전세계 많은 조직들이 ‘클라우드 퍼스트(Cloud-First)’ 전략을 추진하고 있다. ‘클라우드 퍼스트’ 조직 수는 2016년 33%에서 47%로 급증했다. 아시아태평양지역이 54%로 가장 많다.
보안 대책이 클라우드 채택 ‘자신감’ 높인다
‘클라우드 퍼스트’ 전략을 채택한 조직은 그렇지 않은 기업에 비해 애플리케이션 계층 공격을 감당할 수 있는 역량이 10% 이상 뛰어나다고 인식하는 것으로 조사됐다. 그동안 보안이 클라우드 도입에 걸림돌이 되는 위험요소로 지목됐던 것과는 상당히 다른 결과다.
F5는 이같은 차이가 웹 애플리케이션 방화벽(WAF)과 같은 보안 솔루션 사용에서 비롯된 것으로 추정된다는 분석을 내놨다. 실제로 ‘클라우드 퍼스트’ 조직의 절반 이상(52%)은 WAF를 사용하고 있는 것으로 나타났다. WAF는 클라우드 애플리케이션 보안을 위해 현재 가장 많이 채택하는 보안 솔루션으로 알려져 있다.
또한 WAF와 디도스 보호 솔루션을 사용하는 응답자의 45%는 웹 애플리케이션 공격에 대응할 준비가 돼 있다고 인식하고 있는 상황이다. WAF를 사용하지 않는 조직(32%)보다는 사용하는 조직(53%)에서 보안 효과를 인정하고 있다는 점을 알 수 있는 결과다.
‘앱 중심 보안’ 대책 강화…DNSSEC·디도스방지·WAF 수요 커져
보안위협이 보다 정교해지고 애플리케이션 서비스와 클라우드 사용이 확산되면서 최근 기업의 보안 접근방식은 다양한 측면에서 변화되는 추세가 나타나고 있다.
단순 경계보안 위주였던 것에서 애플리케이션 계층 보호를 위한 이른바 ‘애플리케이션(앱) 중심 보안’ 대책을 강화하려는 움직임이 감지된다.
현재 구축돼 있는 기업의 상위 5개 애플리케이션 서비스를 조사한 결과, 네트워크 방화벽(83%), 안티바이러스(83%), 원격 보안접속(SSL VPN, 78%), 로드밸런싱(72%), 스팸 방지(72%) 순으로 나타났다.
반면에 내년에 도입을 계획하고 있는 애플리케이션 서비스를 묻는 질문에 응답자들은 DNSEC(Domain Name System Security Extensions) 보호(25%), 디도스 방지(21%), WAF(20%)를 가장 많이 지목했다. 모두 보안 분야다.
작년과 재작년 조사에서는 기업들이 가용성 서비스를 가장 우선적으로 도입하겠다는 결과가 나왔다는 것이 F5의 설명이다. 보안이 가용성을 제치고 최우선순위에 올랐다.
조원균 F5네트웍스코리아 대표는 “최근 수년간 많은 기업들이 애플리케이션에 대한 침해사례를 경험함에 따라, 이제 보안은 기업에 있어 가용성보다도 더욱 중요한 애플리케이션 서비스로 인식되고 있다”라며 “사이버공격이 더욱 정교해지고 규모도 커지면서 보안 위험성이 기업 평판과 브랜드 인지도, 수익에 미치는 영향이 그만큼 높아졌다는 것을 보여준다”고 강조했다.
서비스 방식 보안 기술 채택 증가 예상
보안 솔루션 도입 방식 측면에서도 변화의 조짐이 보인다. 클라우드상에서 애플리케이션을 서비스하는 기업들이 늘어나면서 사내 구축형 보안 솔루션 도입이 감소할 것으로 전망된다. 매니지드 서비스나 클라우드 서비스 방식의 보안 기술 채택 선호도가 증가하고 있기 때문이다.
조사 결과, 응답자의 25%는 DDoS 보호, DNSSEC, 스팸 방지 솔루션을 서비스 모델로 제공받길 원하고 있다. 20%는 서비스 방식으로 구축되길 가장 많이 바라는(most wanted to deploy as a service) 분야로 GSLB(Global Server Load Balancing), 사기방지(Anti-Fraud) 서비스, 계정 연합(ID Federation)을 지목했다.
WAF와 사기방지 서비스 역시 퍼블릭 클라우드 구축 방식에 대한 선호도가 소폭(5%) 향상됐다.
F5는 보안위협 증가와 클라우드 확산 등으로 인한 환경 변화가 가속화되고 있는 상황에서 전문성이 부족하다고 느끼는 조직들이 ‘기술 격차’를 해소하기 위한 방편으로 이같은 서비스 방식의 보안 솔루션 채택 움직임이 나타나고 있다고 해석했다.
한편, 이번 보고서에서 기업 담당자들은 올해 해결해야 할 주요 보안 과제로 ▲사이버공격 정교화(50%) ▲보안 중요성에 대한 직원들의 인식 향상(44%) ▲보안 전문성 문제((34%) ▲모바일 애플리케이션 보안(32%) ▲솔루션의 복잡성(30%)을 꼽았다.
신기욱 F5네트웍스코리아 기술 총괄 상무는 “애플리케이션 서비스가 증가하고 클라우드 채택이 늘어나는 환경에서 기업들은 방화벽 등 단순한 경계보안 위주의 접근방식에서, 확장된 애플리케이션 보안 문제를 해결하기 위한 접근방식으로 전략을 지속적으로 발전시키고 있다”고 설명했다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
