광범위한 클라우드 보안!

줄임말이 자꾸 생기는 이유 = 미래가 밝기 때문에

오늘은 간단한 퀴즈로 시작해 보겠습니다. CASB, CWPP, CSPM, CIEM, KSPM, CNAPP, SSE, SSG, ZTNA, SSPM… 이 수많은 줄임말의 공통점은 무엇일까요? 바로 ‘클라우드 보안’과 관련 있다는 점입니다. 그런데 이 수많은 줄임말 중에 몇 개나 들어보셨나요? 또 몇 개의 뜻을 알고 계신가요?

최근 열린 ‘BESPIN CNSC 2023(BESPIN Cloud Native Security Conference)’의 키노트 스피치를 했던 가트너(Gartner)의 수석 애널리스트 패트릭 헤베시(Patrick Hevesi)는 “클라우드의 미래는 여전히 밝고 앞으로 더 많은 줄임말이 생겨날 것”이라고 했는데요.

쏟아져 나오는 이 줄임말들은 클라우드, 특히 클라우드 보안의 영역이 커져가는 것을 상징하고 있습니다. 클라우드 산업이 빠르게 변하면 변할수록 새로운 기술과 서비스가 계속 등장하고 이를 정의하고 설명하기 위해선 새로운 줄임말이 필요하기 때문이죠. 계속해서 생기는 이 줄임말들이 클라우드 보안의 영역이 하루가 다르게 넓어지고 보안 위협도 매우 다각적으로 변하고 있는, 클라우드 보안이 완전히 달라졌음을 보여주는 ‘증거’인 것입니다.

클라우드 보안이 기존과 완전히 달라진 만큼, 새로운 보안에 대한 관심 역시 뜨거울 수밖에 없겠죠. ‘클라우드 보안을 넘어, 클라우드 네이티브 보안으로’를 주제로 개최한 이번 BESPIN CNSC 2023에는 무려 500여 명!의 참관객이 몰렸습니다. 더불어 국내 다양한 산업을 대표하는 엔터프라이즈 기업과 스타트업의 CISO(정보보호최고책임자) 40여 분도 함께하셨는데요. 이 숫자를 보면 현재 클라우드 보안이 얼마나 핫한지, 기존 보안에 대해 위기의식을 느끼고 있는 보안업계 담당자분들이 얼마나 많은지에 대해 체감할 수 있으실 겁니다.

넓고도 깊은 클라우드 보안의 세계, 빠짐없이 대비하려면?

특히 이번 컨퍼런스는 베스핀글로벌과 함께, 클라우드 보안 NO.1 9개 기업이 모여 더 뜻깊었는데요. 가만, 뭔가 이상하다고요? NO.1은 1위라는 뜻인데 9개 기업이 어떻게 다 NO.1일 수가 있냐고요? 지난주 말씀드린 것처럼 클라우드 보안 영역은 이제 너무나 방대해졌고 다채로워져서 더 이상 하나의 솔루션만으로는 클라우드 보안을 모두 커버할 수 없기 때문입니다. 저번 RSAC 2023 참관기 1편에서 설명해 드린 것처럼 비즈니스의 중심은 이미 IT로 옮겨갔고, 그 기업들의 역량이 모두 디지털화된 만큼 보안의 영역은 너무나 커졌습니다. ‘영역별 대표 보안 솔루션을 바탕으로 한 통합 보안’이 필수적인 상황이 된 것입니다.

 보안 컨퍼런스 RSAC 2023 후기 1탄!

이날 컨퍼런스의 첫 세션이었던 가트너의 ‘클라우드 보안의 글로벌 트렌드 및 전망’ 기조 연설에서도 “대부분의 클라우드 사용자는 클라우드 내에 있는 것이 더 안전하다”고 말하며, 특히 멀티 클라우드 이용자의 경우, “클라우드 보안을 위해 여러 정책과 다양한 도구를 고려해야 한다”고 강조했는데요. 또 IaaS와 PaaS, SaaS까지 모두를 보호해야 하기 때문에, 이를 포괄할 수 있는 보안 전략 구축이 중요합니다. 이를 위해선 가시성 확대, 실시간 탐지 및 대응, 데이터 보호, 신뢰할 수 있는 신원 관리와 같은 다양한 영역별 보안 솔루션을 통합, 보안 전반을 모두 아우르는 전략을 구축하는 것이 우선되어야 한다고 말할 수 있겠습니다.

더불어, 가트너는 클라우드 보안에서 꼭 극복해야 할 과제로 ▲가시성 부족 ▲거버넌스 부족 ▲정책 오류 ▲기술 격차 ▲책임 공유에 대한 오해 ▲안전장치(Guardrail) 부족 ▲컴플라이언스 격차 ▲보안 설정 오류를 이야기했는데요. 이 과제들을 해결하기 위한 여러 방안을 논의한 이날 BESPIN CNSC 2023에서는 다양한 솔루션과 보안 전략들이 소개되었습니다.

보여야 찾아낸다, 가시성이 가장 중요

특히 클라우드 전환에 있어 가장 큰 과제 중 하나로 손꼽힌 가시성은 꼭 눈여겨보셔야 합니다. 베스핀글로벌은 이번 컨퍼런스에서 클라우드 보안을 위한 가장 중요한 전략 중 한 가지로 ‘보안 정책을 기반으로 한 가시화 환경’을 갖출 것을 강조했습니다. 클라우드 보안 정책과 가시화만 제대로 갖춰도 클라우드 보안 문제의 80%는 해결이 가능하다네요. 베스핀글로벌은 클라우드에 완벽히 적용 가능한 보안 정책 ‘OpsNow Security Benchmark’를 제공하고 있으며 다년간의 클라우드 운영 관리 노하우를 집약시킨 것은 물론이고, 이를 실시간으로 업데이트하고 있습니다.

SK쉴더스 역시 가시성 확보를 위한 거버넌스 체계 우선 수립과 보안 체계 현황을 관리할 수 있는 클라우드 보안 거버넌스 표준 모델의 필요성을 주문했는데요. 거버넌스를 기반으로 CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리), CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼) 등을 이용한 DevSecOps 자동화 보안을 구현할 것을 적극적으로 제안했고, 보안 조직이 현재 당면한 문제로 클라우드 역량 강화를 꼽기도 했습니다.

CSPM은 이날 현장에서 ‘클라우드 보안에 대해 바른 자세를 유지할 수 있도록 돕는 도구’라고 설명되었는데요. 바른 자세가 건강에 좋다는 것은 모두 알지만, 내 자세가 바른 자세인지 어떻게 바른 자세를 계속 유지해야 할지 난감하기 마련입니다. 하지만 어깨를 펴고, 등과 허리를 곧게 세우고, 엉덩이를 뒤로 붙이고 양발을 11자 형태로 바닥에 완전히 닿게 하라는 가이드를 준다면 단계별로 점점 더 바른 자세에 가까워지겠죠? CSPM도 마찬가지입니다. CSPM은 지속적인 모니터링을 통해, 컴플라이언스와 베스트 프랙티스를 기반으로 누락 없이 보안 설정 오류를 탐지하기 때문이죠.

클라우드 보안을 이야기할 때, 제로트러스트를 빼놓을 수 없겠죠. 이날 컨퍼런스에서는 제로트러스트에 대한 다양한 인사이트가 쏟아졌습니다. 조사에 따르면, 2021년에 제로트러스트를 구현한 기업은 25%에 불과했는데, 1년 만에 55%의 기업들이 제로트러스트를 구현했고 18개월 내에 구현할 거라고 응답한 기업은 무려 42%! 지난해 기준으로 97%의 기업이 이미 제로트러스트 보안을 구현했거나 곧 구현할 예정이라는 거죠.

제로트러스트 보안의 핵심은 Identity, 바로 신원인데요. 제로트러스트 보안 아키텍처를 구현하기 위해선 Identity가 가장 효율적이고 효과적이기 때문입니다. 실제로 IDSA(Identity Defined Security Alliance)의 조사 결과에 따르면, 데이터 유출의 96%은 Identity에서 시작된다고 하는데요. Identity 중심으로 제로트러스트 보안을 구현하는 것이 무엇보다 중요합니다.

• Protection(보호)​​​​
• Detection(탐지 및 분석)
• Response(대응)

IT 자원의 아이덴티티에 대한 인식도 미미한 것이 현실인데요. 자원들도 ID가 있고 정체성이 있습니다. CIEM 선도 기업 에르메틱(Ermetic)에 따르면, 요즘 CIEM(Cloud Infrastructure Entitlement Management, 클라우드 인프라 권한 관리)에 대한 필요성이 높아지고 있다고 합니다. CIEM은 특정한 서비스 자원이 탈취 및 해킹되었을 때, 이를 감지하여 그에 대한 권한을 제어하는 등 자원의 아이덴티티를 관리할 수 있게 해주거든요.

그럼 제로트러스트 아키텍처는 어떻게 구성해야 할까요? 지스케일러(Zscaler)는 ‘네트워크와 보안을 결합한 아키텍처의 베스트 프랙티스가 바로 SASE(Secure Asccess Service Edge, 보안 액세스 서비스 엣지)’라고 말하며 이를 레퍼런스로 참고하면서 각 기업만의 기준을 가져야 한다고 덧붙였습니다. SASE가 많은 기업 고객들 사이에서 각광을 받고 있지만 실질적으로 우리 기업에 어느 정도 적용할 수 있을지, 적용하고 어떤 효과를 볼 수 있는지에 대한 고민이 필요한 시점이라고 조언한 것이죠. 클라우드플레어도 제약 없이 전 세계 동일한 보안 서비스 및 다양한 IT 인프라 환경 변화에 가장 적합한 SASE 환경을 제공한다는 점을 장점으로 내세웠습니다.

챙겨야 할 보안 또 뭐가 있어요?

이 밖에도 치명적인 보안 위협을 막아낼 수 있는 여러 솔루션들이 소개되었는데요. 보안의 중요성을 깨달은 기업 다수가 요즘 SOC(Security Operations Center, 보안 운영 센터)를 운영하고 있고, XDR(Extended Detection and Response, 확장된 탐지 및 대응)로의 전환도 요즘 보안 업계의 큰 관심을 이끌어내고 있습니다.

이에 센티넬원(SentinelOne)은 SOC의 가시성을 향상하기 위해 많은 기업들이 EDR 솔루션을 사용하고 있다고 말했는데요. 고객 데이터(71%)가 보안 위협의 주 목표가 되면서 ‘엔드포인트의 악성 코드를 탐지하고 차단은 물론, 원격 조치까지 이루어지는 EPDR(Endpoint Protection Detection & Response, 엔드포인트 위협탐지 및 대응)가 주목받고 있는 상황’임을 설명하기도 했습니다.

보안은 결국 데이터, 로그입니다. 무언가가 일어나는데 내가 볼 수 없고 통제할 수 없는 것이 가장 문제죠. 즉, 로그의 가시성을 우선 확보해야 합니다. 수모 로직(Sumo Logic)은 “생성되는 모든 데이터 중에 보안이 확보된 데이터는 절반에도 미치지 못할 것”이라고 말하며 데이터 폭증으로 인한 보안 모니터링의 어려움은 보안 분석 로그 플랫폼으로 해결할 수 있다고 주장했습니다.

마지막으로, 보안 사고 중 기업들이 가장 큰 보안 위협으로 손꼽은 것은 무엇일까요? 바로 촘촘히 연결된 인터넷 세상의 시작점인 ‘웹 환경’의 안전을 위협하는 공격입니다. 모든 것이 인터넷으로 연결된 지금, ‘웹 보안(Web Security)’의 중요성은 누구도 부정하지 않습니다. 펜타시큐리티는 API 이용이 확산되며, 웹 공격 유형도 나날이 늘어가고 실질적 위협도 급증하고 있기 때문에 기존의 일반적인 웹 공격에 대응하는 WAF를 넘어 WAAP(Web Application & API Protection, 웹 어플리케이션 & API 보안)로 진화해야 한다고 역설했습니다.

보안 문제는 절대 한 곳에서만 발생하지 않기 때문에, 클라우드 보안은 다각도로 접근해야 한다는 점을 참고하시기 바랍니다.

클라우드나 SaaS와 관련하여 다른 궁금한 점이 있으시면 언제든지 저희에게 문의해 주세요.

 OpsNow에 문의하기

본 내용은 베스픽 뉴스레터를 통해서 제공되는 내용입니다.

클라우드에 대한 최신 트렌드 정보가 필요하시면 뉴스레터를 구독해 주세요.