[PASCON 2022-영상] 클라우드로의 전환과 보안 대응 방안

엔시큐어 박정만 이사

 

2022년 하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2022가 9월 28일 수요일 오전 9시부터 서울 양재동 더케이호텔서울 2층 가야금홀에서 공공, 금융, 기업 정보보안책임자, 실무자, 개인정보보호 책임자 및 실무자 등 1,200여 명이 대거 참석하는 가운데 성황리에 개최됐다.

 

이 자리에서 엔시큐어 박정만 이사는 ‘클라우드로의 전환과 보안 대응 방안’을 주제로 강연을 진행했다.

 

엔시큐어 박정만 이사의 ‘클라우드로의 전환과 보안 대응 방안’ 강연 내용을 요약하면 다음과 같다.

 

최근 새롭게 등장하고 있는 IT 기업들은 대부분 클라우드에 기반을 둔 비즈니스 환경에서 성장하고 있습니다. 정확히는 클라우드 네이티브 환경이라고 해야 하는데 기존의 클라우드 용어와 혼용되고 있다. 미국의 국립표준기술연구소(NIST)의 정의에 따르면 클라우드 컴퓨팅이란 네트워크, 서버, 스토리지, 애플리케이션, 서비스 등의 컴퓨팅 리소스에 언제든지 편하게 접근할 수 있는 기술이다. 비효율적인 개별 서버 환경 구성을 하나로 통합하여 필요한 만큼 리소스를 할당하고 사용량을 측정하여 비용으로 청구하는 소유에서 사용으로의 패러다임 전환이다.

 

클라우드는 서비스 사용 형태에 따라 퍼블릭과 프라이빗으로 나누고 이를 혼용하는 하이브리드 형태로도 구분할 수 있으며 서비스 제공 범위에 따라 IaaS > PaaS > SaaS로 구분하고 있다. IaaS는 우리에게 익숙한 가상화 환경이며 PaaS는 제공되는 서버 인프라 위에 App을 개발하고 배포하는 환경이다. SaaS는 office365와 같이 완성된 서비스를 이용하는 형태가 되겠다.

 

클라우드 컴퓨팅의 개념이 나오기 이전부터 데이터센터를 운영해온 기업들은 대부분 가상화의 단계를 넘어 PaaS 형태의 운영방식을 실험하고 있지만 전통적인 서버 운영 방식과 병행하는 형태로 천천히 발전하고 있다. 앞서 말했던 클라우드 네이티브 환경은 처음 시작부터 클라우드였기 때문에 인원과 조직의 구성부터 운영 방식까지 단어의 의미처럼 태생이 클라우드인 기업이 클라우드 네이티브 방식으로 비즈니스를 성장시키고 있는 것이다.

 

클라우드 네이티브에 대해 간단하게 정리해 보면 “클라우드 네이티브란 Devops 조직이 CI/CD, Container 기술을 사용하여 개발자 생산성, 비즈니스 민첩성, 확장성, 가용성 및 비용 절감 효과를 높이는 컴퓨팅 환경의 마이크로 서비스 아키텍처를 구현하는 것이다”로 정의될 것이다. 클라우드 네이티브는 중요 비즈니스 애플리케이션을 서비스하기 위한 표준이 되고 있다.

 

가트너에서는 현재 개발부서의 51%가 클라우드 네이티브에서 비즈니스 서비스는 운영되고, 2025년까지는 이런 새로운 디지털 워크로드의 95%가 클라우드 네이티브 플랫폼을 통해 배포될 것이라고 한다. 이것은 컨테이너 사용률이 현재도 많이 늘어나고 있지만 앞으로 급속도로 늘어날 것이라고 예측하고 있는 것이다.

 

문제는 개발환경이 Time-to-Market을 단축하는 목표를 위해 빠르게 변화하고 있지만 기존 보안 도구와 체계는 이러한 새로운 환경에서 효과적이지 않다는 것이다.

 

개발 테스트 운영의 단계를 거치는 과정에서 OS와 DB에 접근하여 명령어를 실행하던 개발자와 운영자들을 모니터링하고 통제하며 서버 내 취약점을 찾아내던 보안 관리자들이 클라우드 네이티브 환경에선 기존의 보안 도구와 체계를 쓸 수 없게 된다. 예를 들어, 기존 서버보안 또는 방화벽은 서버 또는 VM을 볼 수 있지만 컨테이너, Kubernetes 및 애플리케이션 서비스에 대한 가시성을 확보할 수 없기 때문에 보호해야 하는 자산의 위험을 식별조차 하기 어렵다.

 

반면 공격자들은 인프라 환경의 변화에 빠르게 적응하며 클라우드 네이티브 환경을 목표로 삼고 있고 실제 조사결과에 의하면 클라우드 서비스의 공격 빈도는 49% 인 절반에 가깝다. 아쿠아의 노틸러스 클라우드 네이티브 연구팀은 최근 화두 가 되었던 log4j 취약 시스템이 클라우드 서비스를 20분 이내에 손상시키는 것을 보고했다.

 

이러한 여러 가지 변화를 볼 때 클라우드로 전환을 계획하고 실행 중인 기업들이 보안 영역을 클라우드 및 클라우드 네이티브 환경까지 통합 확장시키는 것을 비지니스의 최고 과제로 삼고 있다는 것은 어떻게 보면 당연한 일이다. 하지만 여기서 클라우드 공급자는 서비스 보안에 도움이 되지 않는다. 클라우드 공급자인 CSP는 인프라에 대한 보안은 제공해 주지만, 잘못된 설정이나 컴플라이언스에 대한 이행 여부는 고려하지 않는다. 책임 공유 모델에 따라 기업이 서비스하는 어플리케이션은 기업이 자체적으로 보호하도록 책임범위를 나누고 있다. 이것은 이번 세션에 들어와 계신 여러분들과 저희가 함께 풀어야 할 과제다.

 

클라우드 네이티브의 프로세스는 빌드(build), 쉽(ship) 그리고 런(run)으로 구성되어 있다.

 

빌드는 코드나 CI/CD로 이미지를 생성하는 단계이고, 그 이미지를 레지스트리로 이동하는 것을 쉽, 마지막으로 오케스트레이터로 운영환경에 배포하고 컨테이너로 실행하는 것이 런이다. 이런 프로세스 전 과정에서 사용되는 모든 것이 기업이 보호해야 할 자산이다. 위험 관리를 수행해야 한다. 그렇다면 클라우드 네이티브 애플리케이션을 표적으로 하는 공격을 예방하기 위해 어떻게 자산을 관리해야 할까.

 

가장 먼저 해야 할 것은 Cloud Native Business의 생성, 저장, 배포, 운영의 전 과정의 가시성을 확보하는 것이다. 워크로드를 실행하는 것부터 K8s 클러스터 및 레지스트리에 이르기까지 서비스 자산의 전체 생명 주기에 걸쳐 가시성을 확보해야 하고, 그사이에 숨어있는 위험을 이해하고 보안 이슈를 해결하기 위해 소요되는 시간을 단축 시키는 방안을 찾을 수 있어야 한다.

 

2단계는 발견한 위험을 줄이려는 조치를 하는 것이다. 조치 후, 프로덕션에 들어가는 모든 이미지의 보안 상태가 안전하다는 확신이 있어야 되고 합의된 보안정책에 따라 보안 검사는 각각의 구간에서 파이프라인 안에 포함되어 자동화되어야 한다.

 

3단계에서는 런타임 워크로드의 예방과 대응을 위해 서비스가 안전하게 실행될 수 있도록 정보에 입각한 판단 근거를 제공해야 한다. 이런 판단 근거로 런타임 워크로드에 적용되는 보안 정책 사용으로 인한 전체 영향도를 이해하고 어떤 위협을 교정하고 예방했는지 알 수 있어야 한다.

 

4단계는 위험이 식별된 워크로드에 대해 진행 중인 공격을 막는 자동 대응 기능을 활성화해서 위협에 대응 할 수 있어야 한다. 이러한 단계를 통해 클라우드 네이티브 전체 생명 주기에 걸쳐 자동화된 예방, 탐지 및 대응을 제공하고 파이프라인에 통합되어서 비즈니스 Time-to-Market을 개선하고 경쟁력 있게 지원할 수 있어야 한다.

 

글로벌 시장조사기관 가트너는 클라우드 네이티브 애플리케이션 보안 문제에 대해 “기업은 개발과 런타임을 별도의 도구 모음으로 보호하고 스캔하는 별개의 문제로 취급해서는 안 된다. 그보다는 개발 및 운영 전반에 걸쳐 보안과 컴플라이언스를 연속체로 인식하고, 가능한 경우 도구를 통합해야 한다”고 조언하고 있으며 개발 및 프로덕션 전반에 걸쳐 클라우드 네이티브 애플리케이션을 보호하고, 보안을 강화하도록 설계된 보안 및 컴플라이언스의 통합 세트인 CNAPP의 사용을 권고하고 있다.

 

이제 국내 비즈니스도 클라우드 네이티브 환경이 서서히 표준으로 자리를 잡아가고 있다. 빠른 변화에서의 보안은 방해 요소가 아니라 통합된 파이프라인 프로세스로 적용되어야 한다.

 

(중략)

 

 

 

2022.10.13 17:19 데일리시큐 길민권 기자

https://www.dailysecu.com/news/articleView.html?idxno=140358