“클라우드로 이전하는 것은 개발 및 서비스 패러다임이 완전히 바뀌는 것을 의미한다. 보안도 이에 맞춰 변해야 한다”
베스핀글로벌의 정현석 섹옵스 본부장과 조현익 PM은 클라우드 환경에 맞춘 보안 서비스 전환의 중요성에 대해 강조했다.
베스핀글로벌은 클라우드 전문 보안 서비스인 '섹옵스’를 지난 22일 공개했다. 클라우드로 전환하며 달라진 개발 및 서비스 환경에 최적화된 보안은 구축할 수 있도록 돕기 위함이다.
정현석 본부장은 “많은 기업이 클라우드로 이전하고 있지만 정작 클라우드의 장점을 활용하지 못하고 있다”며 “특히 보안은 오히려 기존 방식보다 더욱 더많은 취약점이 노출될 가능성이 크다”며 우려를 표시했다.
클라우드 환경에서는 신속성을 갖추기 위해 외부에서 제공하는 다양한 오픈소스와 서비스를 활용해 제품을 만드는 경우가 많다. 하지만 이러한 외부 소스는 악성코드에 감염되거나 취약점이 노출돼 있을 수 있어 해커 등의 공격에 더 쉽게 무력화될 수 있는 우려가 있다.
또한 기존 개발 방식에선 지원하지 않던 다양한 서비스와 기능이 추가되면서 이를 관리 감독할 수 있는 새로운 보안 서비스가 요구되고 있다.
정현석 본부장은 “바뀐 패러다임에 맞춰 보안도 바뀌어야 한다”며 “베스핀글로벌은 클라우드 환경에 맞춰 전문 인력을 확보하고 다양한 시스템과 도구로 사용자를 지원하려 한다”고 강조했다.
Q. 클라우드 서비스는 아직 보안을 신뢰하기 어렵다는 의견이 있다.
정현석 본부장 해외 사례를 보면 미 국방성, 중앙정보국(CIA) 등 보안이 더 중요한 단체에서 클라우드를 사용하고 있다. 오히려 클라우드를 통해 더 튼튼한 보안을 구축할 수 있을 것으로 판단하고 있기 때문이다.
문제는 기업에서 클라우드를 기존 레거시 방식을 그대로 적용해 클라우드 서비스의 장점을 활용하지 못하거나 오히려 취약점을 노출하는 사례가 발생하고 있다는 점이다.
보안도 서버와 클라우드는 구동 방식이 완전히 다르고 기존에 없던 새로운 기능과 개념이 계속 등장하고 있기 때문에 기존 방식으론 보안에 공백이 생길 수밖에 없다는 것이다.
특히 일부 기업은 취약점이 있다는 것을 알고 있지만 이를 해결하지 못해 그냥 배포하는 경우도 있다. 우리는 취약점을 해결할 수 있도록 데브섹옵스 등 자동화된 파이프라인과 보안 솔루션을 제공하고자 하는 것이다.
Q, 클라우드 서비스 기업에선 보안 서비스를 제공함에도 추가 보안 환경을 구축해야 하는 이유는 무엇인가?
조현익 PM 물론 AWS 등 클라우드 기업은 강력한 보안서비스를 구축하고 있다. 하지만 이와 별개로 사용자가 만드는 애플리케이션이나 내부 시스템 네트워크는 직접 보안을 담당하거나 운영해야 한다.
또한 금융, 공공 등은 지켜야하는 보안 정책도 기업에서 직접 구축해야 하는데 이 정도 높은 수준의 이해도를 가진 전문가가 많지 않다. 그래서 베스핀글로벌의 전문가가 이런 보안정잭 구축 관련 조언도 제공하고 있다.
Q. 클라우드와 기존 개발 환경은 어떻게 다른 것인가?
정현석 본부장 클라우드 전환으로 개발에서 배포까지 모든 과정의 패러다임이 달라졌다.
기존에는 스토리지를 구축하고 제품 개발을 비롯해 개발에 필요한 도구제작 모두 내부 영역이었다. 클라우드로 전환 중인 지금은 스토리지는 임대하고 개발도구 역시 제공되는 서비스를 활용하거나 오픈소스를 도입하는 경우가 대부분이다. 즉 외부와의 연계가 중요해진 것이다.
기존에는 개발된 서비스가 모두 하나의 네트워크를 통해 이어졌기 때문에 네트워크를 통한 예상치 못한 접근을 차단하고 포트를 컨트롤하는 것이 가장 중요했다. 그래서 보안 담당자는 네트워크, 데이터베이스(DB) 등으로의 접근을 차단하는 것에 관심이 있고 취약점을 어떻게 찾아낼 것인지에 대해 집중한다.
하지만 클라우드는 그렇지 않다. 기본적으로 특정 서버에 저장되는 것이 아니기 때문에 포트로 제어가 불가능하다. 또한 컨테이너화된 애플리케이션은 각자 네트워킹하고 적용한 오픈소스도 별도로 외부와 소통하기 때문에 어느 한 곳의 경로를 지키기만 해선 해결할 수 없다.
그래서 클라우드 내에서 도메인을 중심으로 한 보안체계를 구축하고 컨테이너, 서버리스, 빅데이터, 인공지능(AI) 등 새롭게 등장하는 시스템 관련 보안서비스도 별도로 마련해야한다.
Q. 안전한 클라우드 환경을 구축하려면 어떻게 해야 하나.
정현석 본부장 클라우드 환경을 이해하고 이에 적합한 보안서비스를 구축해야 한다. 클라우드는 어느 하나의 서비스나 솔루션 만으로 충분한 보안 수준을 유지하는 것은 어렵다.
그래서 섹옵스의 경우도 다양한 보안 및 검사 도구와 서비스를 결합해 보다 촘촘하고 견고한 클라우드 환경에 최적화된 보안서비스를 제공하려 한다.
또한 개발, 클라우드 운영, 보안 담당자가 함께 보안을 담당해야 한다. 컨테이너, 서버리스, 데브섹옵스 등 없던 기능과 개념이 생기고 누구의 분야하고 구분하기 어려운 영역이 늘어나고 있기 때문이다.
그래서 베스핀글로벌은 컨테이너, 보안, 클라우드 전문가가 모두 포함된 클라우드 보안 전문팀을 섹옵스에서 운영하고 있다.
Q. 클라우드 환경에서 가장 주의해야 할 보안 취약점이 있다면?
조현익 PM 배포나 공유를 통한 소스코드 및 애플리케이션 오염이 가장 문제가 크다.
지난해 IBM 보안 연구소에서 발표한 사례를 보면 인프라를 통한 해킹 사례는 거의 없었다. 반면 애플리케이션 취약점으로 인한 사례가 46%를 차지했다. 세계적으로 IT서비스의 클라우드 전환률은 10% 수준인데 해킹 사례의 46%가 클라우드에서 발생했다는 의미다.
신속성이나 민첩성이 중요해지면서 보안에 대한 소홀해진 면도 있다. 그보다 개발자 커뮤니티 등을 통해 공개된 오픈소스를 사용하거나 배포하는 과정에서 소스코드가 오염에 노출되거나 취약점이 드러날 가능성이 급격하게 커졌기 때문이다.
전 세계 컨테이너 개발자가 소스코드를 공유하는 도커허브의 경우도 2018년 조사해본 결과 백도어가 존재하는 오픈소스가 17개가 확인됐다. 게다가 해당 소스는 500만 회 이상 다운된 것으로 나타났다.
이렇게 다운받은 이미지를 활용해 개발자들이 자신의 시스템이나 클라우드를 구축하고 배포했을 것을 가정하면 피해 범위는 훨씬 커질 수 있다. 그래서 클라우드 업계에서는 배포가 된 후에 오류를 수정하려면 100배 이상의 작업이 필요하다는 말이 있다.
그래서 베스핀글로벌은 이런 소스의 취약점을 배포 전에 찾아내고 가시화할 뿐 아니라 관리할 수 있도록 보안 형상관리(CSPM)를 제공한다. 컨테이너간 안전한 네트워크를 지원하기 위해 어플리케이션 방화벽과 컨테이너 방화벽도 마련했다.
Q, 클라우드 보안 사고 사례는 어떤 것이 있는가?
정현석 본부장 대표적으로 미국 대형은행 캐피털원의 사례가 있다. 오픈소스 AWF의 설정오류를 이용한 취약점 공격으로 인해 미국 고객 14만 개의 사회보장정보, 8만 개의 은행 계좌번호 등이 유출된 바 있다.
또한 2016년 미국 선거시즌에는 유권자의 데이터를 암호화하지 않고 클라우드 기반 스토리지에 저장하는 바람에 1억9천만 명의 개인정보가 유출되는 사고도 있었다.
Q. 베스핀글로벌의 섹옵스는 어떤 특징을 가지고 있는가?
정현석 본부장 섹옵스는 보안, 개발, 클라우드 운영 등 전문가 그룹이 고객사의 클라우드 보안 환경 구축을 지원한다. 장기간 클라우드 운영 경험을 바탕으로 140개 항목 정리한 보안 정책을 보유하고 있어 각 분야에서 필요한 보안 정책기준도 제공한다.
또한 멀티 클라우드 환경을 위한 옵스나우, 데브옵스 솔루션 밸브를 비롯해 팔로알토 네트웍스에서 개발한 프리즈마 등 국내외 주요 클라우드 보안 서비스 조합해 클라우드 보안을 자동으로 운영 관리할 수 있도록 제공하고 있다.
많은 고객이 클라우드를 사용하고 있지만 정작 이해도가 부족해 제대로 활용하지 못하는 경우가 많다. 클라우드 서비스에 취약점이 있는지 없는지 모르고 사용하는 사례도 자주 있기 때문에 우선은 고객사와 만났을 때 클라우드 환경의 특징에 대해 집중적으로 알리는 편이다.
Q, 클라우드 환경에 맞춰 기업문화도 바뀌어야 한다는 것 같다.
조현익 PM 현재 클라우드를 사용하는 기업은 대부분 기존에 IT서비스를 이용해욘 경우가 많다. 하지만 기존의 경험이 클라우드와는 맞지 않는 상황이 온 것이다.
관련기사
- 베스핀글로벌, 'AWS 데브옵스 컴피턴시' 취득2020.07.28
- 베스핀글로벌, '브랜드엑스'와 클라우드 전환 MOU 체결2020.07.15
- 베스핀글로벌, 커피빈코리아 '퍼플오더' 클라우드에 구축2020.07.08
- 베스핀글로벌, 비대면 고객경험 구축 솔루션 출시2020.06.09
비용처리만 해도 예전엔 서버를 구입하는 등 지원부서에서 한 번에 처리할 수 있었다. 지금은 사용량 별에 따라 지불하는 방식이라 비용관리에 개발자가 참여해야 하고 결제 방식도 달라졌다.
보안 역시 단순히 접근을 막는다라는 인식은 한계에 도달했다고 생각한다. 앞으로 클라우드를 도입하는 분야가 더욱 늘어나면서 시장 점유율이 커지고 있는 만큼 각 기업도 클라우드에 맞는 거버넌스를 갖추길 바란다.