기업의 클라우드 보안, 세 가지 필수사항은?
보안의 중요성은 백번 말해도 모자라다. 개인도 피해가 큰데, 기업이 털린다면? 따라서 기업은 보안 기술에 관심을 갖고 투자하게 마련이다. 기업이 기밀 정보를 저장하고, 서비스를 배포하는 공간이 ‘클라우드’라는 가상환경으로 바뀌면서, 보안 기술의 추세 역시 바뀌고 있다. 바이라인네트워크에서는 최근 ‘클라우드 네이티브 보안과 SASE(Secure Access Service Edge)’ 웹세미나를 열고, 클라우드 환경에서의 최신 보안트렌드를 들어봤다.
장성민 한국트렌드마이크로 기술지원 총괄은 세미나에서 ‘기업의 클라우드 애플리케이션 보안을 위한 3가지 필수 고려사항’을 주제로 발표했다. 그는 이 자리에서 “클라우드 네이티브 애플리케이션 형태로 개발하고 클라우드 환경에서 실행될 수 있도록 하는 것이 최근의 추세”라면서 “기술의 변화에 적합한 보안 고려사항을 살펴보아야 한다”고 강조했다.
그렇다면 바뀐 환경은 무엇일까? 우선 강조된 것은 클라우드 환경을 사용하는 애플리케이이션 런타임 환경의 변화다. 런타임 환경이란 프로세스나 애플리케이션을 위한 서비스를 제공하는 가상머신의 상태를 말한다. 애플리케이션을 생성하고 실행하는 작업환경이 클라우드로 이전하면서 완전히 달라졌다는 이야기다.
예컨대 최근에는 컨테이너나 도커 같은 환경 외에도 최근에는 서버를 아예 두지 않는 ‘서버리스’ 환경으로 되고 있고, 아예 배포 환경 자체가 서비스의 형태로 바뀌고 있다. 애플리케이션을 개발, 배포하고 빠르게 서비스할 수 있는 환경이 진화한 것이다.
이러한 클라우드 애플리케이션은 보통 ‘데브옵스(개발+운영으로 이뤄진 하나의 워크플로우) 파이프라인’을 사용하게 되며, 아예 클라우드 인프라 환경 자체를 코드로 배포해 버리는 ‘IaC(Infrastructure as Code)’도 상당히 큰 추세가 됐다.
장성민 총괄은 이와 관련한 보안고려사항을 지적했다. 우선, IaC 환경에서 인프라 자체가 코드 형태로 배포되기 때문에 잘못된 오류 설정으로 인한 문제가 있다. 취약한 소스코드, 악성코드, 기밀정보, 키 정보 유출, 규정 위반 등이 여기에 해당할 수 있는 문제다.
장 총괄은 “클라우드 서비스 환경에서는 아무래도 잘못된 설정이 포함됐을 수 있고, 그걸 통해 애플리케이션이 실행이 되면 런타임 화경을 노리는 취약점이 발생할 수 있다”며 “애플리케이션에서 상당히 많이 사용하는 파일스토리지 서비스에 대한 악성코드의 정보를 충분히 고려해야 한다는 것은 상당히 중요한 부분”이라고 강조했다.
아울러 쉽고 빠른 애플리케이션 배포를 위해 오픈소스를 기반으로 도커 컨테이너를 많이 사용하는 환경도 취약점 발생에 영향을 미치기도 한다. 퍼블릭 도메인에 있는 애플리케이션을 가져다가 개발하는 경우기 때문이다. 이 외에 클라우드 스토리지에 업로드되는 악성코드 역시 늘 보안을 위협하는 요소이다.
그렇다면 이같은 환경에서 기업은 어떤 해결책을 찾아야 할까?
장 총괄은 그 첫번째로 ‘워크로드 보안부터 시작해야 한다”라고 설명했다. 기존의 호스트 기반의 애플리케이션이 아직까지도 워크로드의 큰 부분을 차지하기 때문이다. 여기서는 가트너의 클라우드 워크로드 보호(CWPP)가 강조됐다. 회사가 클라우드로 마이그레이션(통합)을 할 때 고려해야할 사항인데 여기에는 ▲안티 멀웨어(백신) ▲방화벽 ▲침입 방어(취약점 방어) ▲로그 검사 ▲무결성 모니터링 ▲애플리케이션 제어 등이 포함된다.
아울러 클라우드 환경에서 효율적으로 자원이 자동으로 확장되고, 사용하지 않을 때는 축소되는 것이 비용적으로 매우 중요한 환경(오토 스케일링)이라는 것도 유의해야 한다. 자동으로 자원이 확장될 때 기존의 보안을 어떻게 적용할 것인가, 즉 가트너의 CWPP에 포함된 사항을 기존의 데이터센터에 어떻게 동일하게 적용할 것인지가 클라우드 애플리케이션 보안을 위한 첫번째 요구사항이라는 것이 장 총괄의 설명이다.
장 총괄은 “기존의 네트워크 기반의 VPC(Virtual Private Cloud) 보안을 한다면 워크로드가 확장될 때 문제가 될 수 있다”면서 “이외에 기본적으로 워크로드 내에서 공격이 내부전파를 할 때도 막을 방법이 없으므로 호스트 기반의 보안을 통해 가트너의 CWPP를 만족시켜주는 것이 좋다”고 말했다.
두번째는 애플리케이션을 배포하기 전에 보안성을 검증하는 데브옵스 파이프라인에서 보안 적용이다. 컨테이너나 서버리스 기반 애플리케이션 사용 이유 중 하나는 고객의 요구사항을 반영해서 빠르게 애플리케이션을 배포하기 위한 것이다. 그렇다보니 데브옵스 파이프라인을 많이 사용하게 되는데, 이때 문제는 애플리케이션 배포 전에 있을 수 있는 잠재적인 문제(퍼블릭 도메인에 있는 다양한 오픈소스 활용, 코드 재사용 등)가 항시 존재한다는 것이다.
이는 통상 데브섹옵스(DevSecOps)라고 부른다. 개발과 운영 안에 보안(Security)을 추가한 개념이다. 코드화된 인프라를 체크하고, 애플리케이션을 빌드하고 레지스트리에 넣고, 배포하는 단계에서 일차적으로 검증한 후, 그를 통과한 애플리케이션만 서비스가 되도록 하는 것을 뜻한다.
마지막으로 새로운 워크로드 타입들, 서버리스 환경에서의 애플리케이션 런타임 보안을 강조했다. 전통적으로 애플리케이션 보호는 호스트 기반으로 이뤄졌으나, 컨테이너 플랫폼이나 서버리스 애플리케이션 플랫폼은 아예 호스트가 없으므로 여러 다른 방법을 사용해야 하는 것을 고려하라는 이야기다.
컨테이너 환경에서는 기본적으로 배포 자체가 ‘코드’ 단위로 이뤄지므로 이 코드가 이룬 크러스트에 보안 컨테이너를 같이 할당해줘야 한다. 그것이 아니라면, 컨테이너 이미지 내에 보안 레이어를 추가하거나 혹은 서버리스의 경우 애플리케이션 자체에 보안 코드를 내재시켜서 보안을 지키는 것도 방법이라고 장 총괄은 덧붙였다.
이와 관련해 장 총괄은 “트렌드마이크로는 컨테이너 시큐리티, 애플리케이션 시큐리티 등을 포함, 일곱가지 기능을 갖춘 ‘클라우드원’ 제품을 통해 기본적으로 모든 환경을 지원하는 지능형 데이터 보호 솔루션(딥시큐리티)를 제공한다”며 “클라우드 워크로드 환경으로 이전할 때 가트너의 CWPP의 코어 콘트롤을 만족시킬 수 있는 솔루션”이라고 말했다.
글. 바이라인네트워크
<남혜현 기자> smilla@byline.network