기업 50%, 민감 데이터 저장된 깃 리포지토리로 중요 데이터·소스코드 유출
실수·설정오류에 의한 침해사고 방지하는 CSPM 필수
[데이터넷] 클라우드는 워크로드 단위로 운영되기 때문에 클라우드 보안은 워크로드 보호에서 시작돼야 한다. 그런데 클라우드 기술이 시시각각 변하면서 전통적인 CWPP·CSPM 뿐만 아니라 컨테이너, IaC, CIEM 등의 기술도 워크로드 보호에 포함·연계되고 있으며, 워크로드와 애플리케이션을 보호하는 CNAPP 시장으로 진화하고 있다.<편집자>
클라우드 보안 관리 철저해도 사고 원천 봉쇄 못해
마이크로소프트가 공개 깃허브 리포지토리의 블롭 저장소에 과도하게 허용된 공유 액세스 서명(SAS) 토큰이 포함된 URL을 공유하면서 38TB에 달하는 회사 내부 데이터를 노출시키는 사고가 발생했다. 이 사고는 6월 보안기업 위즈가 해당 사실을 마이크로소프트에 알린 후, 마이크로소프트가 조사한 후 9월에 사고의 내용을 공개하면서 알려졌다.
이 사고는 마이크로소프트와 같이 보안관리에 철저한 글로벌 대기업도 사용자의 단순한 실수로 인해 대규모 사고가 일어날 수 있다는 사실을 보여주는 것이다. 실제로 클라우드에서 발생하는 사고의 대부분이 잘못된 설정과 구성, 사용자의 실수로 인해 발생한다. 베스핀글로벌은 클라우드의 가장 기본적인 리소스 보안 설정부터 잘못되는 경우가 많다는 점을 지적한다.
오르카는 조직의 50%가 민감한 데이터가 저장된 깃 리포지토리를 하나 이상 보유하고 있다고 설명했다. 실수 혹은 관행으로 데이터베이스 비밀번호, API 키, 암호화 키, 해시 솔트, 비밀 등 민감한 정보를 깃 리포지토리에 푸시하고 있다. 이러한 정보가 애플리케이션의 소스코드에 포함되어 있으면 공격자가 추출해 공격에 악용할 수 있다.
클라우드 보안 사고 원인/ 베스핀글로벌
소수 클라우드 사용해도 CSPM 필수
이러한 사고를 막을 수 있는 방법으로 오르카는 CIS 벤치마크의 모범사례를 참고해 클라우드 자산, 권한, 리소스를 생성하고 구성할 때 참고할 수 있는 체크리스트를 만들고, 지속적으로 클라우드를 스캔해 위험을 식별하며, 수정에 대한 우선순위를 지정해 경고피로를 방지해야 한다고 설명했다.
이러한 작업을 자동화하는 CSPM은 클라우드의 구성 현황을 파악하고, 해당 서비스가 제공되는 국가·지역의 규제준수 요건을 파악하며, 발견된 구성오류를 수정했을 때 다른 서비스에 어떤 영향을 미칠지에 대해서도 분석해 알려준다.
CSPM이 멀티 클라우드 운영 환경에서만 필요한 것은 아니다. 단 하나 혹은 소수의 클라우드를 사용한다 해도 잘못된 설정이나 규제준수 위반, 실수에 의한 리스크가 발생할 수 있기 때문에 클라우드 도입 시 CSPM이 우선 검토되어야 한다.
이 시장의 선두주자는 체크포인트가 인수한 돔9이며, 체크포인트는 클라우드 네이티브 보호 플랫폼(CNAPP)을 통해 이 기술을 적용한 ‘클라우드 시큐리티 포스처 매니지먼트’를 제공한다. 국내외 클라우드 규제를 지원할 수 있도록 50개 이상 규정준수 프레임워크와 2400개 이상 보안 규칙 세트를 평가하며, 맞춤형 정책 설정을 지원하고 클라우드 템플릿에 통합해 데브섹옵스 자동화와 효율성을 향상시킨다.
최소권한 원칙의 ID와 자격관리 자동화로 잘못 구성된 ID와 자격관리를 수정하며, 모든 정책에 효과적으로 정책을 적용할 수 있게 한다. 모든 클라우드 계정에 원활하게 온보딩하고 규제준수와 보안태세를 개선할 수 있게 한다.
체크포인트 클라우드가드는 온프레미스부터 클라우드까지 모든 환경에 대한 통합 보안 아키텍처를 제공하며, 자동화된 데브섹옵스 지원을 통해 코드·이미지에 대한 실시간으로 보안 검증된 코드만 적용할 수 있게 한다. 위협 인텔리전스와 위협 헌팅, 클라우드 워크로드 보호, 애플리케이션 보안 등 다양한 기능을 통합해 멀티·하이브리드 클라우드를 보호할 수 있게 한다.
클라우드 실전 경험 기반 CSPM
CSPM은 다양한 클라우드를 운영해 본 현장 경험이 중요하다. 클라우드 사용 조직마다, 환경마다, 국가마다 다른 요구사항이 있기 때문이다. 그래서 클라우드 매니지드 사업자 베스핀글로벌의 ‘옵스나우 시큐리티’가 출시 1년여만에 SK그룹 표준 선정 등의 성과를 올리며 순항하고 있다.
옵스나우 시큐리티는 클라우드 인프라의 구성·설정 현황을 파악하고 지속적으로 모니터링하며 개선조치를 안내한다. ISMS, ISO27001, GDRP 등 국내외 주요 규제 준수 요건을 만족하며, 클라우드 구성 최적화를 위해 참고할 수 있는 벤치마크도 제공한다.
옵스나우 시큐리티는 베스핀글로벌에서 지난 7월 독립한 법인 옵스나우에서 개발, 공급되고 있다. 옵스나우 시큐리티는 조만간 쿠버네티스 보안 형상관리(KSPM), 클라우드 워크로드 보호 플랫폼(CWPP)를 추가 공개할 계획이며, 장기적으로 시장 수요에 맞춰 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)을 위한 기능을 추가하면서 CNAPP 완성도를 높여나갈 계획이다.
클라우드 사업자의 CSPM도 좋은 평가를 받는다. 마이크로소프트 ‘디펜더 포 CSPM’이 ‘CSPM을 위한 기가옴 레이더 v2.0’에서 기능 성숙도 면에서 유일하게 상단에 위치하면서 관심을 끌었다. 이 솔루션은 챌린지 자리에 있지만, 위협 탐지와 대응 솔루션 ‘디펜더’를 기반으로 해 취약점 탐지와 위협 식별, 대응이 탁월하다는 점이 호평을 받았다.
CWPP, EPP·EDR 아니다
CSPM이 클라우드 정책·운영상의 문제를 해결하는 솔루션이라면, 클라우드 워크로드 보호 플랫폼(CWPP)는 클라우드를 타깃으로 발생하는 위협을 막는 솔루션이다. 워크로드란 클라우드 리소스에서 실행되는 애플리케이션, 서비스, 기능, 작업 등을 말한다. 공격자는 워크로드를 장악해 크립토마이너·랜섬웨어 등 악성코드를 설치하거나, 데이터를 유출하고 중요한 클라우드 서비스에 장애를 일으킨다.
CWPP에 대한 흔한 오해가 CWPP를 리눅스 백신의 진화한 기술이라고 이해하는 것이다. CWPP는 네트워크 방화벽, 가시성과 마이크로 세그멘테이션, 시스템 무결성보증, 애플리케이션 컨트롤, 익스플로잇 차단, 메모리 보호 등히 필수 기능이며, 리눅스 백신은 CWPP가 아니라 별도의 솔루션으로 제공된다. 가트너는 EPP·EDR 등 엔드포인트 보안과 클라우드 워크로드 보안을 분리해야 한다고 설명하면서 리눅스 백신과 CWPP가 다르다는 점을 강조했다.
CWP는 꽤 오래 전부터 발전해 온 시장이지만, 클라우드 변화에 따라 시장질서가 크게 변하고 있다. IDC의 연례 시장 점유율 조사를 보면 수년간 1위를 지켜온 트렌드마이크로의 점유율이 점점 줄어들고 있으며, 2위 이하 솔루션 순위가 매년 바뀌고 있다. 특히 가장 높은 점유율은 ‘기타’가 차지하는데, 몇 년 전부터 기타의 비중은 50% 내외를 기록한다.
글로벌 시장에서 CWPP의 시장점유율을 조사하는 것이 큰 의미가 없을지도 모른다. 클라우드 기술이 급격히 변하면서 CWPP는 CSPM, KSPM, SaaS 보안 형상관리(SSPM), 클라우드 인프라 권한 관리(CIEM), IaC 보호 등과 통합되면서 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)으로 진화하고 있기 때문이다.
트렌드마이크로가 이러한 흐름을 잘 보여준다. 트렌드마이크로는 ‘클라우드 원’ 플랫폼에 워크로드 보호, 소스코드 저장소, 컨테이너 이미지, 서버리스 기능, 파일 스토리지 전반의 보호 기능을 통합한 단일 플랫폼으로 클라우드 전반을 보호하고 있다.
또한 클라우드 리소스에서 위협을 탐지해 중앙관리 시스템에 전달하는 ‘클라우드 센트리(Cloud Sentry)’를 추가했으며, XDR 플랫폼 ‘비전 원’과 결합해 보안운영(SecOps)이 이메일, 엔드포인트, 네트워크, 서버, 클라우드 전체에 대한 위협 가시성과 탐지·대응 역량을 높이게 한다.
국내 환경 최적화된 CWPP 제공
국내에서는 안랩이 CWP 시장 확장에 적극 나서고 있다. 안랩 CPP는 ▲애플리케이션 컨트롤 ▲호스트 IPS ▲V3 Net 등 다양한 보안 솔루션을 연계하고 통합관리해 클라우드 서버 워크로드를 보호한다. 또한 도커, 쿠버네티스 환경의 악성코드와 컨테이너 네트워크 공격 탐지·대응을 지원한다.
안랩은 클라우드 가상환경을 위한 차세대 방화벽 ‘브이트러스가드(vTrusGuard)’와 차세대 IPS ‘브이에이아이피에스(vAIPS)’도 제공한다. 브이트러스가드는 차세대 방화벽의 모든 기능을 클라우드에 최적화했으며, 분리된 대역을 보안 정책에 따라 영역 별로 관리할 수 있도록 하고, 외부와 내부, 영역 간 접근 제어도 지원한다. AIPS는 클라우드 상의 네트워크 보안 위협을 선제적으로 차단하며, 국가기관·상위기관에서 배포하는 탐지 규칙을 자동 배포하고 탐지 결과를 상위 기관으로 전송해 공공 클라우드 위협 탐지와 모니터링 서비스도 제공한다.
안랩은 클라우드 통합관리시스템 ‘브이티엠에스(vTMS)’를 브이트러스가드, vAIPS를 비롯한 다른 네트워크 가상화 제품과 유연하게 연동시켜 종합적으로 위협을 분석하고 빠르게 대응할 수 있게 한다. 공공기관 위협 대응 체계를 연동해 기관에서 배포하는 탐지 규칙을 자동으로 배포·관리할 수 있게 한다.
서버와 엔드포인트 보호 솔루션 시장에서 오랫동안 기술력을 다져온 SGA솔루션즈는 가상머신 기반 서버 워크로드를 보호하는‘브이이지스(vAegis)’와 데브섹옵스를 위한 컨테이너 보안 솔루션 ‘씨이지스(cAegis)’를 앞세워 클라우드 워크로드 보호 솔루션 시장을 공략한다.
브이이지스는 온프레미스·가상화·클라우드 전반의 통합 보안을 제공하며, SGA솔루션즈 자체 분석 보안 규칙을 제공해 보안 관리자의 업무를 줄일 수 있게 한다. 씨이지스는 ▲컨테이너 이미지 보증 ▲컨테이너 플랫폼 접근제어 ▲컨테이너 런타임 보호 등의 기능을 제공해 컨테이너 환경의 애플리케이션을 안전하게 개발할 수 있게 했다. 컨테이너 런타임 보호 기술은 시큐어 OS의 보안 커널 기술이 적용돼 보안성을 더했다.
SGA솔루션즈는 브이이지스, 씨이지스, 그리고 ‘아이덴티티 크리덴셜 관리(ICAM)’ 솔루션을 연계해 CNAPP으로 발전시킬 예정이다.