모두가 쓰는 클라우드 네이티브, 보안 문제 없으려면

클라우드 네이티브는 이제 더 이상 기업에 낯선 단어가 아니다. 클라우드 네이티브 컴퓨팅 재단(CNCF)의 조사결과(2021년,  설문대상자 3829명)에 따르면, 응답 기업 중 쿠버네티스 환경을 채택했다고 말한 조직의 비중이 96%에 달하고, 현업부서의 65%가 클라우드 네이티브 환경을 사용한다. 2020년과 비교하면 클라우드 네이티브 관리서비스 사용량은 70%나 늘었다.

최근 <바이라인네트워크>가 서울 강남구 한국과학기술회관에서 연 ‘클라우드 네이티브 시큐리티 & 제로트러스트 컨퍼런스 2023’에 연사로 참여한 박인우 아쿠아시큐리티 솔루션 아키텍트(=사진)는 이미 기업에 보편화한 클라우드 네이티브 환경을 언급하면서 “클라우드 네이티브 앱 개발이 전환점에 와 있다”며 “새로운 환경에 맞는 보안 솔루션의 중요성”을 강조했다.

박 아키텍트는 “클라우드 네이티브와 쿠버네티스는 이제 애플리케이션 개발의 표준플랫폼”이라면서 “CNCF 조사결과는 조직이 애플리케이션을 컨테이너화로 전환해왔고, 레거시 애플리케이션을 클라우드로 바꾸는 등 비즈니스 경쟁력을 위해 전면적으로 아키텍처를 재구축 했음을 알게 하는 것”이라고 설명했다.

클라우드 네이티브가 무엇이길래 이렇게 빠른 속도로 기업에 확산될 수 있었을까? 또, 빠른 전환에 따라 더욱 필요해진 솔루션은 무엇이 있을까? 박 아키텍트의 발언을 정리해본다.

클라우드 네이티브란?

클라우드 환경을 이용해서 개발을 자동화하는 것이라고 볼 수 있다. 개발 파이프라인에서 사람이 손을 대지 않아도 되는 자동화가 많이 일어날수록 장애 지점이 줄어들고 프로세스가 간소화된다는 장점이 있다.

애플리케이션 개발 단계를 자동화하여 애플리케이션을 더욱 짧은 주기로 고객에게 제공하는 방법인 CI/CD(지속적 통합과 배포)를 통해 개발 단계와 반복 속도가 빨라지기 때문에 팀의 효율성을 향상할 수 있다. 따라서 개발자는 다음 단계의 프로젝트에 마음 놓고 돌입할 수 있는 시간적 여유가 생긴다.

인터그레이션 유지 보수와 차별화하지 않은 IT 지출에 소요되는 시간을 줄여 리소스를 다른 곳으로 할당할 수 있기 때문에 혁신에 더 많은 시간을 투자할 수도 있다. 개발 프로스스 전반에 걸친 자동화된 테스트를 통해 버그가 발생할 때마다 이를 잡아 롤백을 하거나, 표준(컴플라이언스)에 맞지 않는 애플리케이션이 배포되는 것을 막는 것에도 유용하다.

클라우드 네이티브를 제대로 활용하려면

그러나 모든 새로운 기술 환경에는 취약점도 따라온다. 역시 보안 문제다. S&P 글로벌이 “조직에서 컨테이너, 쿠버네티스와 같은 클라우드 네이티브 기술을 사용하는데 주요한 장애물은 무엇인가”를 물은 설문조사에서 응답자의 46%가 보안과 컴플라이언스 우려를 꼽았다. 비용(39%)과 복잡성(36%)보다 보안을 더 큰 우려로 본 것이다.

그럴 수밖에 없는 것이 클라우드 환경으로 넘어가면서 지금까지 기업들이 갖추고 있던 전통적인 보안 도구는 클라우드 환경을 보호할 수 없다는 문제에 직면했다. 이로 인해 발생하는 문제를 박 아키텍트는 크게 세 가지로 꼽았다. 첫번째, 가시성의 부족이다. 기존의 레거시 보안 도구는 클라우드를 고려해 만들어진 소프트웨어 애플리케이션 서비스들이 아니다. 즉, 클라우드 네이티브 환경 자산을 제대로 인지할 수 없고, 클라우드 환경에서 배포하기도 어렵다.

두번째는 동적환경 미지원이다. 대표적 사례가 원격환경에 대한 보안 솔루션을 지원하지 않는다는 점이다. 클라우드 환경에서는 실시간으로 내가 필요한 자산이 확장되기도, 감소되기도 한다. 추가나 삭제되는 것은 물론이다. 동적인 워크로드 환경을 추적 관리하는 것은 레거시 보안 솔루션으로는 따라가기 어렵다.

마지막으로 경계가 사라진 보안 역시 중요한 문제다. 기존에는 내부에 인터넷 환경을 구축하고 일괄적으로 보안 솔루션을 통해 통제를 했다면, 클라우드 네이티브로 전환 후에는 이런 경계가 사라져 버렸다. 트래픽 제어가 불가능하다는 뜻이다. 이와 관련해 박 아키텍트는 “레거시 보안 솔루션이 클라우드 네이티브로 바뀐 환경에서 과연 10%라도 제역할을 할 수 있을지를 고민하면 왜 보안과 컴플라이언스가 지금 화두가 됐는지 알 수 있을 것”이라고 말했다.

어떻게 보호해야 하나?

국내외 많은 보안 사고가 클라우드 환경에서 계속 발생하고 있다. 예를 들어, 지난 2월 취약한 레디스 데이터 베이스 서비스에서 암호화폐 채굴이 이뤄지고 있는 정황을 아쿠아시큐리티의 리서치 팀 노틸러스에서 포착, 레디스에 제보한 사례가 있다. 당시 공격에 사용된 멀웨어는 ‘헤드크랩’으로 기존의 보안 솔루션으로는 탐지가 어렵도록 파일이 없는 공격을 단행해온 경우였다. 1200개의 인스턴스가 감염이 확인됐고, 각 인스턴스 당 연간 4만5000달러의 금액의 피해액이 추정되는 사건이었다.

이런 사건은 국내외를 막론하고 계속해 일어나고 있다. 어떤 부분이 잘못되서 일어나는 문제일까? 일단 클라우드 네이티브에서 문제가 일어나는 세 가지 요소로 ▴클라우드 인프라에 대한 잘못된 설정 ▴쿠버네티스에 대한 잘못된 설정 ▴CI/CD에 대한 잘못된 설정을 꼽을 수 있다. 여기에 잘못 설계된 공급만 코드나 안전하지 않은 타사 오픈 소스의 사용, 취약한 워크로드의 수행 등이 결합되면서 문제가 생겨난다고 박 아키텍트는 지적했다.

이를 해결하기 위해서는 애플리케이션 현대화에 따른 보안 전략을 수립해야 한다. 박 아키텍트는 지난해 아쿠아시큐리티가 국내에서 소개한 ‘아쿠아 CNAPP(Cloud Native Application Protection Platform)’를 클라우드 보안 문제를 해결하기 위한 열쇠로 제시했다. 아쿠아 CNAPP는 클라우드 네이티브 애플리케이션을 보호하고, 클라우드 환경을 향한 사이버 위협을 차단하도록 설계한 보안 툴이다. CNAPP는 가트너가 주창한 개념으로, 개발 단계의 보안과 클라우드 환경 보안 툴을 한 곳에 담았다.

박 아키텍트에  따르면 CNAPP는 앱 스캐닝부터 클라우드 인프라 보안, 포렌식 등 클라우드 보안의 전 단계를 아우른다는 것이 강점이다. 아쿠아 CNAPP는 ‘클라우드 보안 형상관리(CSPM)’ ‘ 공급망 스캔’ ‘클라우드 워크로드 보호 플랫폼(CWPP)’등 크게 3가지 요소로 구성한다. 이 안에는 공급망과 이미지, 레지스트리, 클라우드 인프라와 워크로드 보호가 모두 포함이 된다.

박 아키텍트는 “애플리케이션 전 구간에서 위험요소를 식별하고 자동화된 보안 프로세스를 적용을 지원하는 데브옵스(DevSecOps) 체계가 수립되어야 한다”고 조언하면서 “아쿠아 CNAPP은 한국을 포함한 27개국의 컴플라이언스를 지원하고 있다”고 덧붙였다.

글. 바이라인네트워크
<남혜현 기자> smilla@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다