22일 <디지털데일리> SaaS 고도화 전략 콘퍼런스서 발표 중인 클루커스 김재홍 컨설턴트
클라우드 운영·관리 서비스 기업(MSP) 클루커스의 김재홍 컨설턴트는 <디지털데일리>가 22일 개최한 ‘SaaS 고도화 전략 콘퍼런스: 애플리케이션 리빌딩, SaaS로의 여정’에 참여해 ‘애플리케이션 현대화를 위한 클라우드 네이티브 보안 전략’을 주제로 발표했다.
김 컨설턴트의 발표는 보안에 특히 초점을 맞췄다. 전통적인 네트워크 경계 중심의 보안이 아닌, 시프트 레프트(Shift Left) 보안이 필요한 이유와 최신 동향, 그리고 이를 지원하는 마이크로소프트(MS)의 ‘디펜더 포 클라우드(Defender for Cloud)’ 등을 소개했다.
그는 과학기술정보통신부(이하 과기정통부)가 제시한 2023년 사이버보안 위협 전망 보고 중 ‘디지털 시대 클라우드 전환에 따른 위협 증가’와 ‘갈수록 복잡해지는 기업의 소프트웨어(SW) 공급망과 위협 증가’를 특히 주목했다. 2개 전망과 관련 “온프레미스 환경에서 클라우드 환경으로 전환하면서 고려할 수 있는 위협들”이라며 “서비스형 소프트웨어(SaaS)를 공급하는 SW 공급사라면 지속적으로 고민할 내용”이라고 말했다.
언급한 2개 전망은 SaaS보다는, 개발 및 서비스 과정에서의 문제에 가깝다는 것이 그의 설명이다. SW 개발 및 운영을 위해 사용하는 오픈소스나 서드파티 코드에서 취약점이 발생하고, 이것이 계기가 돼 업데이트 서버나 소스코드 변조, 인증서 탈취 등 공급망 공격으로 이어진다고 부연했다.
대표적인 사례가 2020년 12월 발생한 솔라윈즈(SolarWinds) 사태다. 솔라윈즈의 정보기술 서비스 관리(ITSM) 플랫폼 ‘오리온’의 업데이트 서버를 트로이 목마화해 악성코드를 유포하는 백도어로 활용한 건이다. 총 1만8000개의 솔라윈즈 고객이 영향을 받았다. 임기 전이었던 조 바이든 대통령은 해당 건을 계기로 SW 공급망 보안 강화를 골자로 하는 행정명령을 발표하기도 했다.
미국의 선제적인 조치 이후 공급망 보안, 제로 트러스트(Zero Trust)는 전 세계 사이버보안의 기본값으로 자리했다. 소프트웨어 자재명세서(SBOM)도 그 일부로, 국내에서도 제로 트러스트·공급망 보안 포럼이 발족해 활동 중이다.
김 컨설턴트는 현재 보안업계에서 당연시 되는 문구로 시프트 레프트를 꼽았다. 개발 프로세스의 마지막 단계에서 보안이 자리했던 전통적인 방식(IDE-레포지토리-레지스트리-워크로드-프로덕션(보안))에서 벗어나 더 왼쪽으로, 초기 단계에서부터 보안을 적용하자는 것이 골자다.
그는 “아무리 잘 만들어진 경계보안이라고 할지라도 취약점은 있는 법이다. 취약점을 고치기 전에 뚫릴 확률은 항상 있다. 워크플로우 요소요소마다 공격의 단초가 되는 실마리를 잡아내고 통제하는 것이 중요하다”고 피력했다.
이와 같은 클라우드 환경을 위한 보안 제품으로 등장한 것이 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)이다. CNAPP는 클라우드 보안 형상 관리(CSPM), 클라우드 워크로드 보호 플랫폼(CWPP), 클라우드 인프라 권한 관리(CIEM) 등을 묶은, 정보기술(IT) 시장조사기관 가트너가 제시한 용어다.
시장에 숱한 CNAPP 솔루션이 경쟁하고 있는 가운데 MS는 디펜더 포 클라우드라는 이름으로 CNAPP를 서비스하고 있다. MS는 코드 IDE인 비주얼 스튜디오, 2018년 인수한 깃허브, 클라우드인 애저(Azure) 등 개발에 필요한 라이프사이클 전반을 제공하는 만큼 전반에 대한 포괄적인 보안을 제공할 수 있는 여건을 갖췄다.
김 컨설턴트는 “클라우드 환경에서의 보안 중 굉장이 중요한 것이 책임 공유 모델이다. CSP가 책임지는 영역, 고객이 책임질 영역 등이 구분돼 있지만 일부 책임 영역이 혼재돼 있는 부분이 있다. 그리고 이 부분은 서드파티 솔루션이 똑부러지게 해결하기 어렵다. 유명한 CNAPP 솔루션도 아마존웹서비스(AWS)의 RDS, 애저 SQL과 같은 매니지드 서비스형 플랫폼(PaaS) RDB에 대한 가시성을 제공하지 못하기 때문”이라고 말했다.
그는 애저를 사용하는 고객에게는 디펜드 포 클라우드의 사용은 선택이 아닌 필수라고 생각한다고 강조했다. 서드파티 솔루션으로 전문성, 통제력, 실시간성을 하드닝하기 전에 퍼스트파티 솔루션을 갖춰야 한다는 설명이다.
이어서 “클루커스는 고객의 클라우드 환경을 분석하고, 현재 사용 중인 클라우드 보안 취약점을 진단한 뒤 그에 따른 보안 강화나 개선 방안을 제안한다. 디펜드 포 클라우드와 같은 퍼스트파티 솔루션 외에 아쿠아시큐리티와 같은 서드파티 솔루션도 컨설팅해드릴 수 있도록 준비돼 있다”며 “퍼블릭 클라우드 환경에서 클라우드 네이티브한 보안 전략을 수립하는 것에 도움이 필요하다면 저희가 함께해 드리겠다”고 밝혔다.
기사 보기 : [SaaS2023] 클루커스 “클라우드 네이티브 보안, ‘시프트 레프트’가 핵심” (디지털데일리)
