네트워크 보안의 미래는 클라우드에 있다.

클라우드로 보안 지키기

몇 해전까지만 해도 클라우드 도입을 망설이는 기업의 가장 큰 이유는 보안과 비가시성 때문이었습니다. 과연 뜬 구름 같은, 다른 IT 기업에 의해 운영되는 클라우드에 나의 시스템과 데이터를 맡기고 운영해도 보안에 문제는 없을지에 대한 우려였죠. 

2016년 IDG가 IT 의사결정권자 1000명을 대상으로 시행한 설문조사 결과를 보면, IT 환경의 60%가량을 클라우드에서 운영할 계획이라고 했지만 퍼블릭 클라우드 도입 관련해서 가장 큰 우려는 데이터가 저장되는 위치와 보안 때문이라는 대답이었습니다.

그러나 디지털 트랜스포메이션이 IT 기업을 비롯한 모든 기업의 숙명적인 과제가 되면서 클라우드 전환은 추진되었습니다. 가트너는 2019년 시장분석 보고서를 통해 ‘네트워크 보안의 미래는 클라우드에 있다’고 선언했습니다. 데이터센터 대부분의 기능은 클라우드로 이전되고 클라우드를 통해 더 간편한 통합과 보안, 안전하고 효율적인 원격 접속이 가능할 것이라는 설명입니다. 시간이 더 흘러 이제는 보안을 위해 클라우드를 도입하는 시대가 되었으니 실로 격세지감이 아닐 수 없습니다.

클라우드 보안 기술은 크게 4개의 유형으로 나눌 수 있습니다.

클라우드 특화 보안 기술

클라우드 환경에서만 사용하는 보안기술로서 CASB, SASE 등이 포함됩니다. 클라우드 인프라의 확장 및 애플리케이션의 배포가 안전한 보안 기술 하에 확보가 되기 때문에 기업은 DevSecOps까지도 구현이 가능합니다.

<가트너가 강조한 클라우드 기반 보안 기술>

대표적인 기술을 몇 개 추려보면 다음과 같습니다.

SASE(Secure Access Service Edge): 기업에서 필요한 네트워크와 네트워크 보안 기술을 클라우드를 활용하여 기업의 IT 자산에 편하고 안전하게 접근할 수 있는 보안 프레임워크입니다. 글로벌한 분산 환경에서 SD-WAN을 포함한 네트워크와 보안 기술을 클라우드 엣지에서 관리하는 방식을 사용합니다.

CASB(Cloud Access Security Broker): 클라우드 접근 보안 중개 서비스를 의미하며 클라우드와 사용자 중간에 위치하여 데이터 보안, 인증, 접근 통제, 정보 유출 방지 등의 역할을 수행합니다. CASB는 API 혹은 에이전트 형태로 제공됩니다.
 

CSPM(Cloud Security Posture Management): 클라우드 보안 형상 관리를 의미하며 기업의 보안 정책에 따라 클라우드 상의 위험 요소를 사전에 탐지, 예방, 대응하는 기술입니다.

CWPP(Cloud Workload Security Platform): 클라우드 가상 머신, 서버리스, 컨테이너 등의 워크로드에 대한 가시성과 보안성을 제공합니다.

클라우드 네이티브 보안 기술

클라우드 서비스 제공자(CSP: Cloud Service Provider)가 제공하는 클라우드 서비스 내의 보안 기능을 활용하는 기술입니다. 예를 들면 사용자와 사용자 그룹, 권한 등을 설정하는 IAM이나 보안 그룹, NACL(Network Access Control List) 등이 대표적입니다.

<클라우드의 기본적인 네트워크 보안 컴포넌트>

클라우드 서비스 제공자가 제공하는 보안 기술은 정보보호의 일반적인 목표와 유사합니다.

<클라우드 서비스 제공자가 제공하는 보안 기술>

클라우드 책임 공유 모델(Shared Responsibility)이란 IT 시스템을 임대 형태의 서비스 형태로 제공하는 클라우드의 특성상 , 정보보호에 대한 역할과 책임이 클라우드 서비스 제공자와 이를 구매하여 사용하는 사용자 간 보안의 역할을 나눈 모델입니다. 명확하게 영역별로 나눠져 있기도 하지만 서로 중첩되어 있는 형태도 있습니다. 클라우드 서비스 유형 (IaaS, PaaS, SaaS)에 따라 책임 공유 모델은 다르게 정의됩니다.

<(ISC)²에서 정의한 클라우드 책임 공유 모델>

SECaaS(Security as a Service)

클라우드상에서 구현된 보안 서비스를 통해 기업의 보안성을 유지하는 방식의 보안 기술입니다. 클라우드 서비스 제공자의 클라우드 인프라를 통해 방어를 하는 방식이며 보안 정책을 설정하고 어떤 보안 위협을 막고 있는지를 모니터링할 수 있는 관리적인 요소도 모두 포함되어 있습니다.

기업은 전통적인 온프레미스 기반의 보안 솔루션 대신, 클라우드에서 운영되는 보안 서비스를 이용합니다. 완전 관리형 SECaaS를 도입한다면 온프레미스 방식에 비해 좀 더 방어 용량이나 보안 솔루션 성능의 확장에 대해 유연함을 가져갈 수 있고 반대로 관리 인력은 줄일 수 있는 장점이 있습니다. 

최신 보안 위협 기술을 방어하기 위한 새로운 보안 룰셋(rule set)의 추가, 솔루션 프로비저닝 및 업데이트, 유지보수, 모니터링에 대한 시간과 작업량을 줄일 수 있고 반대로 오탐(false positive)은 낮출 수 있는 장점이 있습니다.

미국의 클라우드 보안 연합(CSA: Cloud Security Alliance)은 SECaaS를 12개의 영역으로 분류하였습니다.

<Cloud Security Alliance의 SECaaS 분류>

범용 보안 기술

클라우드 환경뿐만 아니라 일반적인 온프레미스 기반의 IT 환경에서도 꼭 필요한 보안 기술, 서버 접근 제어, DB 접근 제어, 방화벽, 바이러스 혹은 멀웨어 예방 프로그램 등이 포함됩니다.

범용 보안 기술은 온프레미스 환경에서 설치되어 운영되던 보안 솔루션들을 그대로 클라우드로 이식하여 활용하는 것입니다. 예를 들어 웹 서버가 운영 중인 가상 머신에  다른 업체의 웹방화벽(WAF) 애플리케이션을 설치하고 운영하는 방식이죠. 

이미 많은 클라우드 서비스 제공사들은 자신들의 Market Place에서 서드 파티 보안 프로그램의 구매와 설치를 지원하고 있습니다. 별도로 클라우드 업체들도 이미 웹방화벽을 비롯한 디도스 방어 솔루션, 제로 트러스트 , VPN 등 다양한 관리형 보안 솔루션을 제공하고 있기 때문에 이런 형태의 관리형 솔루션을 사용할지, 보안 솔루션을 구매하여 설치형으로 사용할지 비용과 관리 편의성 등의 장단점을 잘 따져보아야 합니다.

---