클라우드가 기업 IT 환경의 대세로 자리잡고 있는 가운데, 안랩(대표 강석균)이 클라우드상에서 운영되는 워크로드 보안 솔루션인 ‘안랩 CPP(Cloud Protection Platform)’를 최근 선보였다.

‘안랩 CPP’는 국내 보안기업이 처음 출시한 클라우드 워크로드 보호 플랫폼(CWPP)이다.

가트너가 처음 사용한 클라우드 기술 용어로 알려진 CWPP는 하이브리드·멀티 클라우드상에서 운영되는 워크로드를 사이버위협으로부터 안전하게 보호하는 솔루션을 말한다.

CWPP는 클라우드 보안의 기본으로 적용되는 추세가 나타나고 있다. 더욱이 클라우드 보안 형상 관리(CSPM)·클라우드 접근보안 중개(CASB) 솔루션과 더불어 대표적인 클라우드 보안 기술로 지목되고 있다. 온프레미스 환경과 클라우드 서버에서 운영되는 운영체제(OS)·가상머신(VM)·컨테이너 등을 포함한 자원와 프로세스에 대한 보안·가시성을 지원하는 보안 솔루션이다.

‘안랩 CPP’는 클라우드 도입에서 가장 기본이 되는 인프라서비스(IaaS) 환경에서 운영되는 클라우드 워크로드 보안을 제공하는 플랫폼이다. 온프레미스 물리 서버 환경의 보안까지 함께 제공하는 하이브리드 클라우드 인프라 보안 솔루션이다.

이번 출시로 전통적인 인프라를 환경을 운영해온 기업들이 퍼블릭 클라우드를 채택해 다양한 환경으로 확장하는 경우, 하이브리드·멀티 클라우드에 걸쳐 일관된 보안을 운영하고 통합관리하면서도 클라우드 환경에 적합한 보안 기능을 적용할 수 있게 됐다.

안랩은 25년 넘게 보안 사업을 해오면서 축적한 엔드포인트 보안 역량에 최신 클라우드 환경에서 필요한 요구를 담아내 ‘안랩 CPP’를 개발했다. VM뿐 아니라 컨테이너·쿠버네티스로 대변되는 클라우드 네이티브 애플리케이션 환경까지 보호한다.

이에 따라 기존 안랩 보안 솔루션을 사용하고 있거나 익숙한 많은 기업들이 손쉽게 채택할만한 클라우드 인프라 보안 솔루션이 생겼다.

앱 제어, 네트워크 침입 탐지·방지, 악성코드 위협 탐지·대응 기능 제공

‘안랩 CPP’는 애플리케이션 제어, 호스트 침입방지시스템(HIPS) 3가지 기능을 제공한다. ▲안전한 애플리케이션만 동작하도록 설정 가능한 화이트리스트 기반 애플리케이션 제어 ▲안랩의 축적된 보안위협 분석·대응 노하우를 반영한 시그니처 기반 네트워크 침입 공격 탐지·방지 기능을 제공하는 호스트 침입방지시스템(HIPS)과 IP·포트 기반 통신을 제어하는 호스트 방화벽 ▲서버 전용 보안 솔루션 ’V3 넷(Net)’ 기반 악성코드 탐지·대응 기능으로 다양한 위협으로부터 워크로드를 보호한다.


애플리케이션 제어 기능은 기본적으로 허용된 애플리케이션만 실행할 수 있게 해 사전방역이 이뤄진 상태로 서버가 안정적으로 운영할 수 있게 하는 기능이다. 중요 파일로 지정된 프로세스만 접근을 허용해 부적절한 변경으로 서비스가 중지되지 않도록 지원한다.

처음 적용시 호스트에서 실행되는 애플리케이션과 파일을 자동으로 화이트리스트에 등록시키고 나머지는 차단한다. 다만 특정 서명자나 공급자 등은 신뢰자로 간주해 실행 허용할 수 있는 기능을 제공하거나 관리자에 의한 선별적 파일 등록 허용 기능 등도 지원하고 있다. 관리자들의 화이트리스트 등록·변경 업무 부담을 줄이기 위해서다. 아울러 잘못된 화이트리스트 등록으로 인한 장애 등 예상치 못한 문제를 방지할 수 있도록 완전히 차단하거나 차단하지 않고 로그만 남기거나 소프트웨어 설치·업데이트시를 고려해 다양한 운영 모드(록다운·시뮬레이션·메인티넌스)를 지원한다.

시그니처 기반 침입 탐지·방지(HIPS) 기능은 서버로 드나드는 트래픽을 시그니처 기반 검사로 위협을 탐지·차단한다. 안랩은 수천개의 검증된 시그니처를 제공하고, 주기적으로 시그니처 데이터베이스(DB) 업데이트를 수행한다. 기업 관리자가 사용자정의 시그니처를 직접 설정할 수 있도록 지원한다. 안랩은 운영되는 서버 환경을 주기적으로 분석해 필요한 시그니처를 자동 추천·할당할 수 있도록 제공한다. 방화벽 보안정책 설정에 따라 트래픽을 차단하기도 한다.

안랩은 인라인 기반의 정책 탐지·차단과 더불어 서비스 가용성을 고려해 성능에 영향을 최소화하길 원하는 경우를 위해 트래픽을 복사하는 방식으로 감시하는 탭(TAP) 모드와 네트워크 서비스 장애시 트래픽 검사와 통제를 수행하지 않는 바이패스(Bypass) 모드를 지원한다.

‘안랩 CPP’는 시각화 대시보드를 제공해 전체 서버 워크로드에 대한 보안 상태를 직관적으로 보여준다. 보안 관리자는 ‘안랩 CPP’의 단일 관리 콘솔에서 호스트 IPS와 방화벽, 악성코드 검사 등의 기능을 편리하게 통합 관리할 수 있다. 이에 따라 하이브리드 클라우드 환경 서버에 대한 보안 가시성과 관리 편의성을 제공한다.

조태희 안랩 EP사업부 제품기획 담당 부장은 ‘안랩 CPP’의 차별점으로 “하이브리드 클라우드 워크로드 보호를 위해 기존 외산 솔루션이 통합 에이전트 기반의 라이선스로 필요한 기능을 온·오프해 사용할 수 있도록 한 반면에, 안랩 CPP는 기업에서 필요한 기능만 선별해 설치·적용할 수 있도록 제공한다”며 “고객들이 필요하다고 여기는 필수 제품 기능으로 이뤄져 있으며, 지난 25년간 제공해온 V3 기반 인프라와 외산 솔루션보다 나은 기술 지원이 강점”이라고 강조했다.

컨테이너·쿠버네티스 등 클라우드 네이티브 앱 운영환경 지원 강화

현재 ‘안랩 CPP’는 현재 온프레미스 환경의 윈도우와 리눅스 서버를 포함해 아마존웹서비스(AWS), 마이크로소프트 애저(Azure) 클라우드 윈도우·리눅스 서버에 대한 가시성과 보안, 통합관리를 지원한다.

AWS, 애저 클라우드 계정과 연동해 오토스케일링되는 단말에서 자동 식별해 손쉽게 적용할 수 있도록 제공하고 있다.

국내 클라우드 서비스도 지원한다. NHN 토스트(TOAST) 클라우드와 네이버 클라우드 플랫폼에서의 구동에 대한 검증이 완료된 상태다.


안랩은 최근 클라우드 네이티브 애플리케이션 운영이 확산됨에 따라 요구가 커지고 있는 CICD 서비스 운영(Run) 단계 보안 지원을 강화하고 있다.

현재 ‘안랩 CPP’는 IaaS 인스턴스상에서 외부로부터 들어온 침입을 HIPS가 탐지·차단하며, 애플리케이션 제어 기능으로 확인되지 않은 코드 실행 여부를 실시간 감시·제어한다.

아울러 애플리케이션과 컨테이너별 모니터링을 수행해 각 컨테이너가 호출할 수 있는 커널 애플리케이션프로그래밍인터페이스(API)를 제한, 악성 행위 가능성을 탐지·차단할 계획이다. 컨테이너간 통신에 대한 검사와 탐지로 불필요한 포트가 공개돼 있는지에 대한 모니터링도 수행할 수 있다.

안랩은 컨테이너 보안 가시성 기능을 더 강화할 방침이다.

또한 무결성 검증 기능과 CSPM의 일부 기능으로 제공해온 애플리케이션 하드닝(Hardening) 가이드라인 기반 검사 등 취약점 관리 기능도 지원할 예정이다.

노영진 안랩 연구개발(R&D) 상무는 최근 개최한 ‘ISF2020 버추얼 컨퍼런스’에서 “‘안랩 CPP’는 25년간 축적된 보안 기술을 기반으로 클라우드에 가장 적합하고 효율적인 구조로 제품 개발하고 있다”며 “출시된 CPP를 기반으로 클라우드 네이티브 보안, 서버리스 보안 등 빠르게 변화하는 클라우드에 적합한 보안 제품을 고객의 입맛에 맞게 적용할 계획”이라고 강조했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network