‘보안에 진심’인 네이버클라우드…“가장 안전한 클라우드 플랫폼 지향”

By이유지

국내 클라우드 서비스 시장에서 네이버클라우드(대표 박원기)의 성장세가 최근 크게 두드러지고 있다. 지난 2017년 처음 클라우드 시장에 뛰어들었을 당시엔 늦었다고 평가됐지만, 4년이 지난 지금은 국내 퍼블릭 클라우드 플랫폼 가운데 가장 시장에 잘 안착했다는 평가가 나온다.

강점을 가진 인터넷 업계와 공공 시장을 비롯해 금융, 유통·물류, 교육 등 다양한 산업 분야에서 네이버 클라우드 플랫폼(NCP)을 이용하는 곳들이 크게 늘었다. 현재 고객사 수는 2만5000여곳에 달한다.

국내 클라우드서비스제공업체로 기업 환경에 특화된 밀착 지원을 강화하며 차별화해 성과를 거둔 결과다. 네이버클라우드는 공공, 금융, 의료 등 규제가 강한 산업 관련 정부·감독당국의 규정과 요구사항을 충족할 뿐 아니라 변경사항이 있더라도 빠르게 대응하는데 강점을 발휘하고 있다. 클라우드 도입에 있어 우려가 커 걸림돌로 작용할 수 있는 보안에도 적극적인 투자를 벌여왔다.

그 근거는 네이버클라우드가 보유한 정보보호와 클라우드 보안 관련 국내외 인증 현황만 봐도 알 수 있다.

국내외 정보보호·클라우드 보안 인증 15개 보유…신뢰성 강화

네이버클라우드는 글로벌 클라우드 사업자들이 확보하지 못한 국내 클라우드 서비스 보안 인증(CSAP)을 인프라서비스(IaaS)에 이어 소프트웨어서비스(SaaS) 부문까지 발빠르게 받았다. 과학기술정보통신부와 한국인터넷진흥원이 시행하는 클라우드 보안인증제인 CSAP는 공공 클라우드 사업을 벌이기 위해서는 반드시 받아야 한다.

클라우드보안협회(CSA)의 글로벌 클라우드 통제수준 표준 인증인 STAR(Security, Trust & Assurance Registry) 인증 최고 등급인 골드(Gold) 획득을 비롯해 ISO/IEC 27017 클라우드 서비스 정보보호관리체계 인증, ISO/IEC 27799 개인의료정보보호 인증, ISO27018 클라우드 서비스 개인정보보호 인증 등과 같은 국제 표준 인증도 다수 획득했다. 가장 최근에는 싱가포르 클라우드 보안 인증인 MTCS(Multi-Tier Cloud Security) 최고 등급(티어3) 인증도 추가했다. 지금까지 획득한 국제 보안 인증 수만 11개로, 이를 포함해 전체 15개 인증을 보유하고 있다.

엄격한 심사체계를 바탕으로 한 인증을 갱신, 신규 인증을 추가하면서 지속적으로 IT플랫폼은 물론 클라우드 서비스에 대한 정보보호 관리체계를 유지·강화하고 있다는 게 회사측 설명이다.

그 이유는 클라우드 환경 보안은 신뢰할만한 기술과 노하우가 검증된 클라우드서비스를 사용하는 것에서부터 출발한다고 볼 수 있기 때문이다. 클라우드 환경에서 보안은 클라우드서비스제공사와 이용기업(이용자)가 보안 책임을 함께 지는 책임공유 모델이 기본이란 점에서 이 부분은 매우 중요하다.

김동운 네이버클라우드 보안 수석 아키텍트는 클라우드사업자가 책임지는 영역이 안전하다고 보장할 수 있는 방법으로 “공인된 인증기관에서 획득한 다수의 국내외 보안 인증”을 지목하면서, “NCP는 국내외 다양한 보안 인증을 획득해 규제와 표준 모범사례를 준수하고 있다. 다양한 인증을 바탕으로 스타트업, 대기업뿐 아니라 공공 금융 의료 등 다양한 기업들이 사용할 수 있도록 안전한 환경을 제공하고 있다”고 강조했다.

책임공유 모델에 따라 클라우드 서비스를 제공하는 물리적 환경과 대부분의 인프라 보안은 서비스제공업체가 책임진다. 따라서 클라우드 사용자들의 물리적 환경 보안 운영관리 부담이 상당부분 사라진다. 인프라단 위에서 동작하는 운영체제, 애플리케이션, 데이터 영역은 이용기업이 책임을 지고 스스로 보호해야 한다.

사용자 위한 클라우드 보안 가이드·사용사례 백서, 다양한 보안서비스 제공

최근 클라우드 사용이 대세가 될만큼 기업의 클라우드 도입이나 이전이 크게 확산되고 있지만, 여전히 보안 문제에 대한 우려가 많이 있는 것이 사실이다. 클라우드 환경 보안을 강화하기 위해서는 기존 구축형(온프레미스) 환경 수준의 보안을 그대로 유지해야 하지만, IT 인프라 구축·운영관리 방식이 바뀌는 클라우드 환경에서 보안체계를 구축하거나 적용하는데 어려움이 있을 수밖에 없는 상황이다.

이에 따라 네이버클라우드는 사용자들이 안전하게 서비스를 이용하는데 필요한 클라우드 보안 기본 항목과 보안 설정과 점검 방법 등을 안내하는 보안 가이드와 NCP에서 제공되는 보안서비스 모범 사용사례를 담은 백서를 제공하고 있다. 보안 가이드는 지난해 4월, 보안 백서는 올해 5월 발간해 배포하고 그 내용을 적극 소개하고 있다.

김동운 수석 아키텍트는 “클라우드라는 생소함과 변화, 인프라나 데이터 관리주체의 혼란이 있을 수 있다. 클라우드 운영 또는 보안 담당자들은 과연 클라우드 환경에서 서비스를 안전하게 구축하고 운영할 수 있을지, 온프레미스에서 적용해온 보안관리체계를 그대로 적용하면 되는지 등 여러 의문점을 가지면서 결과적으로 보안이 클라우드 전환에 있어 허들이 되고 있다”며 “네이버클라우드는 더 이상 보안이 유의미한 허들이 되지 않도록 보안 가이드와 함께 NCP 안에서 담당자들이 준수할 수 있는 사례를 담은 백서를 제공하고 있다”고 제시했다.

NCP 보안 가이드는 계정관리부터 네트워크 보안, 서버 보안, 스토리지 보안, DB보안, 클라우드 환경 보안감사, 서비스 연속성 확보까지 총 7개 카테고리로 주요 항목에 대한 보안 설정 및 점검 방법을 설명한다. NCP 보안 백서는 클라우드 보안 개요부터 기본 항목이라고 할 수 있는 클라우드 계정관리부터 인프라 보호, 리소스 보호, 보안 감사 등을 NCP가 제공하는 보안 서비스를 활용해 적용하고 준수하는 구체적인 방법을 담고 있다.

현재 네이버클라우드는 네이버 IT 플랫폼 보안 운영 경험과 인증받은 기술을 토대로 다양한 클라우드 보안 인프라와 서비스를 제공하고 있다. 이와 관련해 김 수석 아키텍트는 “책임공유 모델에 따라 고객사가 책임지고 관리해야 하는 영역이 있기 때문에, NCP 고객들이 보안을 구성하는데 도움이 될 수 있도록 지원하는 다양한 보안 상품을 제공하고 있는 것”이라고 설명했다.

‘클라우드 계정관리, 인프라 보안, 추적 감사’는 기본 중의 기본

네이버 클라우드 플랫폼 보안 지도(Security Map)

현재 제공하는 보안 서비스는 크게 위협 탐지·대응, 사용자 인증, 접근 통제, 데이터 보호, 감사 추적, 취약점 관리, 컴플라이언스, 전송 구간 암호화로 구성된다. 그 중에서도 김 수석 아키텍트는 ‘클라우드 계정관리’와 ‘인프라(서버) 보안’, ‘클라우드 감사’를 우선 적용해야 한다고 권고했다.

김 수석 아키텍트는 “클라우드 서비스는 계정관리에서 시작해서 리소스를 만들면서 시작되기 때문에 계정 탈취 등의 위협을 방지하기 위한 계정관리가 가장 중요하다. 내부에서 의심스러운 활동을 찾아내기 위해 각 영역에 대한 주기적인 감사도 필수”라며 “네이버클라우드는 고객들이 이같은 기본 기능들을 수행할 수 있도록 무료로 제공하고 있다”고 말했다.

네이버클라우드는 서버·DB 등 리소스 생성과 변경, 삭제 등 클라우드 환경을 관리하기 위한 클라우드 콘솔 계정에 대한 접근제어와 권한관리 등을 수행하는 ‘서브 어카운트’를 무료로 제공한다. 물론 이용자가 생성한 리소스 접속 계정 보안은 사용자들이 접근제어 솔루션 제품들을 이용할 수 있도록 NCP 마켓플레이스에서 제공하고 있다. NCP 마켓플레이스에 입점해 제공되는 보안 서비스는 현재 37가지다.

김 수석 아키텍트는 “안전한 계정관리를 위해서는 비밀번호는 영문과 숫자, 특수문자를 조합하도록 설정하고, 5회 이상 계정 정보를 잘못 입력했을 경우 계정이 잠기고 그 잠긴 계정은 관리자를 통해 해지할 수 있도록 제공하고 있다. 계정 유출을 최소화하기 위해 다중요소인증(MFA)과 서브 어카운트, 콘솔 접근시 특정 IP 대역에서만 접근할 수 있도록 IP 제어를 제공하고 있다”고 부각했다.

이어 “콘솔과 API를 통해 수행하는 계정 활동에 대해 주기적으로 모니터링과 감사를 수행해 클라우드 계정을 안전하게 보호해야 한다. 또 리소스가 언제 삭제되고 생성·변경·삭제되는 모든 행위를 검토해야 한다. 클라우드 환경에서 대부분의 보안 사고가 잘못된 설정에 의해 발생하기 때문이다. 비인가된 접속이나 외부와의 통신 감사도 주기적으로 수행해야 한다”며 “NCP에서는 사용자 계정 활동 행위를 모두 추적할 수 있는 ‘클라우드 액티비티 트레이서’와 리소스 변경을 감사하는 ‘리소스 매니저’, 네트워크 접근 로그과 트래픽 모니터링 기능을 제공하는 ‘플로우 로그’ 기능을 제공한다. 이같은 감사 추적 상품은 모두 무료로 지원하고 있다”고 덧붙였다.

인프라(리소스) 보호 방법으로 네이버클라우드는 버추얼 프라이빗 클라우드(VPC)를 지원한다. VPC는 논리적으로 완전하게 분리된 고객 전용 사설 네트워크 서비스로, 서브넷과 네트워크 접근통제리스트(ACL), 접근통제게이트웨이(ACG), NAT 게이트웨이 등을 사용해 네트워크를 목적에 따라 세분화해 분리·접근을 통제하며 외부로의 IP노출도 최소화한다.

솔루션 구축부터 운영, 전문가 보안관제까지 토털 보안서비스 제공

네이버클라우드는 클라우드 환경의 리소스를 안전하게 보호할 수 있도록 지원하는 보안관제서비스인 ‘시큐리티 모니터링’ 서비스도 제공한다. 보안전문인력이 인프라 구성과 서비스를 분석해 보안 솔루션 구축에서 운영, 실시간 보안관제 서비스까지 제공하는 매니지드 보안 서비스이다.

최신 공격 기법을 정확히 탐지하고 모니터링할 수 있는 고도화된 고객 맞춤형 보안 정책을 운영하며, 웹 콘솔에서 보안위협 현황을 확인할 수 있도록 대시보드로 제공한다. 탐지된 보안위협에 대한 분석 리포트와 대응가이드도 제공하고 있다.

김 수석 아키텍트는 “보안 문제 발생시 어떻게 탐지, 대응, 복구하고 재발 방지를 위한 후속조치를 체계적으로 수행해야 하는데, 시큐리티 모니터링같은 매니지드 보안 서비스를 이용하면 최고수준의 보안 전문가를 통해 고도화된 서비스를 손쉽게 지원받을 수 있다”면서 “네이버클라우드는 24시간 365일 전문 보안관제요원들이 상주하며, 침해사고대응조직(CERT)도 운영하고 있다”고 강조했다.

네이버클라우드는 클라우드 리소스의 취약점을 사전 점검해 위협을 예방할 수 있는 다양한 ‘시큐리티 체커’ 서비스도 제공하고 있다. NCP 클라우드상에 구축된 웹서비스 취약점을 점검할 수 있는 ‘웹시큐리티 체커’, 서버 운영체제와 보안 설정을 점검할 수 있는 ‘시스템 시큐리티 체커’ 등이 있다.

김 수석 아키텍트는 “NCP는 지금도 앞으로도 가장 안전한 클라우드 플랫폼이 되고자 한다. 클라우드 서비스와 보안 측면에서 고객의 목소리에 귀기울이고 요구를 빠르게 포착해 제공할 수 있도록 노력하고 있다”면서 “앞으로도 안전한 NCP 인프라와 보안 서비스를 제공하는데 매진하는 동시에 보안 가이드와 보안백서, 보안 레퍼런스 아키텍처와 보안 교육 등 고객의 보안 수준을 높이는 데 필요한 보안 콘텐츠도 지속적으로 제작하고 제공하겠다”고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

이유지

씩씩하고 당당하게, 그리고 신나게!

이유지 기자 yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다