하시코프 CTO “클라우드 운영방식 달라, 보안도 ‘제로트러스트’ 모델로 바뀌어야”
“데이터센터와 클라우드 운영방식은 서로 다르다. 클라우드상에서는 보안 모델 자체가 바뀌어야 한다.”
아몬 데드가(Armon Dadgar) 하시코프 공동 창업자 겸 최고기술책임자(CTO)는 13일 방한해 기자들과 만나 전통적인 보안 개념과 모델을 클라우드에 적용하면 “보안 경계가 뚫릴 수밖에 없다”며 이같이 강조하고, 클라우드 환경에 맞는 보안 접근방법으로 ‘제로트러스트’ 보안 모델을 채택할 것을 제안했다.
데드가 CTO에 따르면, 클라우드 환경으로의 전환은 민첩성, 안정성, 보안을 극대화하고 우수한 비즈니스 성과를 제공하기 위해 인프라와 애플리케이션에 대한 새로운 접근방식과 운영모델을 요구하고 있다. 클라우드 인프라, 네트워킹, 애플리케이션 환경이 정적(Static)인 서버에서 동적인 코드형 인프라(Infrastructure as Code)로, 네트워킹도 서비스 기반으로 변화하고 있다. 보안도 정적인 호스트 기반 IP 환경에서 ‘아이덴티티(IDentity)’ 기반으로, 본질적으로 아무것도 신뢰하지 않고 모든 것을 검증하는 제로트러스트 보안 환경으로 근본적으로 변화해야 한다는 것이다.
데드가 CTO는 “전통적인 모델은 성이 있고 이 성을 사방에서 둘러싼 상태에서 정문을 통해 100% 보안을 하는 방식이었다. 데이터센터를 방화벽, 웹 애플리케이션 방화벽(WAF), 보안정보이벤트관리(SIEM) 등을 이용해 보호하며, 기본적으로 네트워크 밖에 있는 것은 나쁘고 우리 안쪽에 있는 것은 좋은 것이라는 이분법적 방식을 채택했다”라면서 “클라우드 환경에서는 닫혀있는 외부에 점으로 서로 연결돼 슈퍼 네트워크가 구성된다. 이로 인해 이전까지 네트워크를 100% 보안하려 했다면 클라우드상에서는 80~90% 보호된 상태에서 업무를 보도록 허용해 뚫릴 수 있는 상황이 된다. 공격자가 네트워크 상에 이미 있을 수도 있는 상황”이라고 지적했다.
이어 그는 “과거에는 나의 네트워크를 철저히 보호하고 그 네트워크는 신뢰할 수 있는 것으로 여겼으나, 이제는 네트워크상에 들어와 있는 자가 공격할 수 있기 때문에 신뢰할 수 없다. 이것이 바로 제로트러스트의 핵심”이라고 말했다.
데드가 CTO는 특히 제로트러스트 모델에서 꼭 구현돼야 할 세 가지 요소를 제시했다. 첫 번째는 모든 행위(Action)에 대해 명시적인 승인과 인증을 해야 한다는 것으로, 회사 내부 네트워크를 신뢰할 수 없다는 점에서 그 안에 있더라도 아이디(IDentity)를 확인해 로그인을 해야한다는 것이다.
두 번째는 모든 연결에 대한 ‘기본(Default)’ 설정이 ‘부인(Deny)’으로 돼 있어야 한다는 점이다. 다만 데드가 CTO는 “예를 들어 애플리케이션이 데이터베이스에 접근하는 것을 원치 않을 경우 이전에는 방화벽을 사용해 연결과 접속을 방지하고 차단했지만, 이제는 기본적으로 연결은 해주는 것을 전제로 한다”고 덧붙였다.
세 번째는 기존에는 IP 기반의 제어(Control)를 수행했지만, 클라우드 환경에서는 ID 기반의 제어를 수행해야 한다는 점이다. 이전에는 IP를 기반으로 IP 간 연결과 통신을 구현했으나 역동적인 클라우드 환경은 IP가 수시로 바뀌기 때문에 IP 기반 관리가 불가능하다는 이유에서다.
ID 기반 제어와 보호 지원하는 3가지 제로트러스트 보안 솔루션 제공
아울러 제로트러스트 보안을 위한 ID 기반 제어를 머신(Machine), 머신 간(Machine to Machine), 머신과 사람 간(Machine to Human), 사람과 머신 간(Human to Machine), 사람(Human IDentity)에 모두 적용해야 한다면서, 이를 아우르는 세 가지 제로트러스트 보안 솔루션과 파트너 협력을 통한 기술 방안을 제시했다.
이들 솔루션은 애플리케이션단의 하시코프 볼트(HashiCorp Vault)와 네트워크단의 하시코프 컨설(Consul), 접근권한을 제공하는 하시코프 바운더리(Boundary)로, ID 기반 보안을 통해 모든 동적 인프라에서 제로트러스트 보안을 지원한다. 클라우드, 온프레미스, 저신뢰 네트워크에 걸쳐 각 접속 요청이 최소한의 권한으로 인증, 암호화, 승인되도록 보장해 제로트러스트 보안을 현실화하는 제품들이다.
볼트는 애플리케이션이 데이터에 접속할 때 ID 기반으로 접근할 수 있도록 제공한다. 컨설은 애플리케이션과 서비스 간의 네트워크 트래픽을 보호한다. 적절한 사람들이 필요한 시간 동안만 적절한 시스템과 서비스에 액세스할 수 있도록 보장한다.
하시코프는 사람 ID 기반 제어 영역은 자체 솔루션을 제공하지 않고, 마이크로소프트 애저 액티브디렉토리(AD), 옥타 아이덴티티 관리 솔루션 등 기존에 제공되는 솔루션과 통합하는 방식으로 지원한다.
데드가 CTO는 “하시코프는 너무나 다양해지고 복잡해지는 클라우드 환경에서 표준화된 도구를 클라우드를 구성하는 각각의 레이어에 적용해 서로 다른 환경에서도 이러한 일관되게 사용할 수 있도록 해주는 것”이라며 “클라우드를 채택하는 기업들을 보면, 1단계로 인위적으로 전술적으로 클라우드를 채택하지만 2단계에서는 중앙화돼 있는 플랫폼 팀이 공통의 접근방법을 활용해 구축·관리를 수행한다. 클라우드에 적용한 이 접근방법을 프라이빗 데이터센터에까지 적용을 확장해 모던(modern) 데이터센터에 접근한다. 한국 조직들은 대부분 1단계에서 2단계 초기 단계에 있다는 것을 느꼈다. 하시코프는 자동화로 속도 측면에서 출시 시간을 단축하고 보안 위험을 줄이며 클라우드 채택 비용 효율성을 개선할 수 있도록 지원한다”고 강조했다.
미국 샌프란시스코에 본사를 두고 있는 하시코프(HashiCorp)는 멀티클라우드 환경을 위한 인프라 자동화 솔루션 분야 선두기업이다. 지난 2012년에 설립돼 지난해 연간 50%의 매출 증가와 인력과 조직 규모를 확대하며 크게 성장하고 있는 기업이다. 지난해 매출액은 4억5000만달러, 현재 직원 수는 2500명이다. 한국에는 2018년 진출해 김종덕 대표가 초대 지사장을 맡고 있다. 한국 고객사로는 삼성, SK브로드밴드, LG유플러스가 있으며, 전세계 4000개 넘는 기업 고객을 보유하고 있다.
하시코프는 조직이 비즈니스 환경에 새로운 클라우드 기술과 운영모델을 성공적으로 도입할 수 있도록 워크플로우 표준화, 인프라 통합 관리, 개발, 보안 강화, 자동화, 비용 최적화를 구현하는 솔루션으로 테라폼(Terraform), 볼트(Vault), 컨설(Consul), 노마드(Nomad)를 제공한다. 하시코프는 지난 12개월 동안 4억5000만 이상 다운로드 수를 기록한 오픈소스 제공기업이기도 하다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
