이렇듯 퍼블릭 및 프라이빗 클라우드 인프라 사용의 확대와 클라우드 네이티브 컨테이너 플랫폼 기반의 데브옵스(DevOps) 확산으로 클라우드 네이티브 환경에 대한 보안 및 이를 위한 보호 플랫폼(Cloud Native Application Protection Platform, 이하 CNAPP)의 필요성이 대두되고 있다.
클라우드 환경에서 보안을 고려할 때, 클라우드 워크로드 보호 플랫폼(CWPP)과 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)을 고려할 수 있다. 특히 컨테이너는 클라우드 환경에서 핵심적인 구성 요소로 발전하고 있으며, 보안 측면에서도 반드시 고려하여야 할 여러 요소들이 있다. 컨테이너는 클라우드 네이티브 환경에서 실행할 수 있는 기본 단위로, 보안 요소가 필수적이다.
이러한 보안 요소들은 데브섹옵스(DevSecOps) 관점에서 개발 프로세스의 모든 단계에서 고려되어야 한다. 주요 보안 위협 포인트로는 소스코드를 컨테이너 이미지로 생성하는 단계에서 멀웨어 감염, 근원적인 잠재적 취약점, 구성상의 오류, 민감한 데이터 처리 등에 대해서 안전하게 처리할 방안들이 요구된다. 또한 컨테이너 이미지를 레지스트리에 저장하는 단계에서는 취약성을 내포하고 있는 컨테이너 이미지에 대한 위협을 처리하는 방안도 추가로 요구된다.
궁극적으로는 오케스트레이터 환경에서와 같이 컨테이너 이미지를 배포하고 실행하는 단계에서 검증되지 않은 이미지 배포와 그에 따른 워크로드의 보안 위협이 함께 대두될 수 있다. 이와 더불어 호스트에 대한 위협이 동시에 존재해 호스트 운영체제 위에서 동작하고 있는 컨테이너와 컨테이너 플랫폼에 대한 런타임 위협이 총체적으로 야기될 수 있다.
컨테이너는 기본적으로 호스트 OS 상에 논리적인 구획(컨테이너)을 만들고 애플리케이션을 작동시키기 위해 필요한 라이브러리, 애플리케이션 등을 하나로 모아 별도의 서버인 것처럼 사용할 수 있게 만든 것이다. 컨테이너는 가볍다는 장점 때문에 수많은 기업이 채택하고 있지만 기업 애플리케이션을 컨테이너 기반으로 개발(Build), 저장(Ship), 배포/운영(Run)하는 과정에서 컨테이너 이미지에 대한 보안이 필요하다.
컨테이너의 리스크로는 컨테이너 손상, 손상된 컨테이너로 악성 프로세스 실행, Pod 간 무단 연결 및 데이터 유출, 컨테이너 파일 시스템 손상, 호스트 시스템 손상 등이 있다.
 |
컨테이너 생명주기 기반 보안관리 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
SGA솔루션즈는 클라우드 보안 솔루션인 'Aegis 시리즈'는 급변한 기업 보안 변화에 적극적으로 대응한다. 기업의 IT 환경은 레거시 환경에서 클라우드 기반으로 옮겨가고 있으며 이에 대응하기 위해 SGA솔루션즈는 CWPP 뿐만 아니라 클라우드 네이티브 컨테이너 플랫폼 환경을 지원하는 통합 클라우드 보안 솔루션을 제공한다. 최근 하이퍼바이저(Hypervisor) 기반 VM(Virtual Machine) 가상화 환경의 CWPP(Cloud Workload Protection Platform) 제품 'vAegis(브이이지스)'에 이어 클라우드 네이티브 환경의 보안 신제품인 'cAegis(씨이지스)'를 출시했다. 이를 통해 하이브리드 클라우드 플랫폼에서 VM 및 컨테이너 환경에 대한 보안 체계를 동시에 제공한다.
'cAegis'는 클라우드 네이티브 컨테이너 플랫폼 환경, 특히 데브섹옵스 측면에서의 보안 위협에 적극적으로 대응할 수 있는 솔루션으로 △컨테이너 이미지 보증 △컨테이너 플랫폼 접근제어 △컨테이너 런타임 보호 등 다양한 보호 기능을 제공한다. 특히 컨테이너 플랫폼 접근제어, 컨테이너 런타임 보호 측면에서 SGA솔루션즈의 'Secure OS 보안 커널' 기술 기반으로 더욱 강력하고 안전하게 컨테이너 환경 보안 위협을 해결한다.
또한 보증된 이미지만 배포·허용해 컨테이너 이미지 보안 위협에 대응할 수 있으며 사용자, 리소스별 세부 보안정책 적용으로 컨테이너 플랫폼 보안을 강화하고 보안 커널 기반 컨테이너 런타임 보안 위협(호스트 침해 등)에 대응하여 궁극적으로 클라우드 네이티브 환경에서의 애플리케이션 통합 보호 플랫폼을 제공한다.
국내 환경에서는 클라우드 네이티브 환경에서의 플랫폼 수준의 근원적인 보안 수준 보다는 이를 활용하는 측면의 컨테이너 중심의 범용적인 클라우드 네이티브 보안을 최우선 고려하고 구현 및 적용하는 것이 더 효과적인 접근 방법이다.
SGA솔루션즈는 클라우드 보안에서 대표적으로 대두되는 CWPP와 컨테이너가 근간이 되는 클라우드 네이티브 애플리케이션 플랫폼 보안을 통합 제공할 수 있다. 이와 함께 차세대 보안 기술로 떠오르는 제로 트러스트 보안 관점에서 핵심 보안 강화 요소인 엔터프라이즈 리소스 시스템 영역으로 보안을 확장할 수 있는 기반도 함께 제공한다.
 |
cAegis 제품의 개요 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
CNAPP과 CWPP는 SGA솔루션즈의 제로 트러스트 통합 보안 솔루션인 SGA ZTA의 엔터프라이즈 리소스 영역의 보안 강화 요소의 한 축을 담당하는 중요 보안 요소이며, 단위 보안 솔루션 또는 SGA ZTA의 제로 트러스트 보안 강화 확장 요소로 활용할 수 있다.
 |
제로 트러스트 엔터프라이즈 리소스 보안강화 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
제로 트러스트 관점에서 보면 엔터프라이즈 리소스를 보호하기 위한 확장 전략으로서 CNAPP, CWPP를 함께 제공할 수 있으며 이를 통해서 서버 간의 횡적이동 및 측면이동 차단, 보호하고자 하는 엔터프라이즈 리소스에 대한 마이크로세그멘테이션 기반의 세부적인 보호 조치를 통해서 안전하고 효율적으로 보안을 강화하고 확장할 수 있다.
최근 보안 패러다임 전환의 주자로 제로 트러스트가 꼽히고 있다. 때문에 보안에 있어서 제로 트러스트는 1순위 고려사항이며, 여기에는 엔드포인트부터 서버까지 아우르는 보안 기능 요소와 구현 방안 등을 제시하고 있다. 그리고 고객들은 이제 독립적, 단독 제품 보다는 제로 트러스트 보안 영역에 재배치하여 재 활용할 수 있는 방안을 요구하고 있다. 그리고 제로 트러스트 가이드라인을 준용할 수 있도록 커스터마이징의 과정도 필요하다.
이러한 요구에 따라 CNAPP, CWPP 제품들도 제로 트러스트 보안 강화 확장 요소로 일부분을 담당할 수 있으며 강력한 제로 트러스트 통합 보안을 구현하는데 필수 보안 요소로 자리잡을 것으로 기대된다.
기업의 입장에서 보면 CNAPP, CWPP 클라우드 보안 솔루션을 도입한 후 중장기적으로 제로 트러스트 도입을 위한 단계별 절차에 포함하여 보안 강화 및 계획을 체계적으로 수립할 수 있는 토대를 제공할 수 있으며 궁극적으로는 제로 트러스트 도입을 통한 차세대 보안을 완성할 수 있을 것으로 기대할 수 있다.
이제 고객은 일시적이고 중복 투자의 가능성이 있는 단편적인 기능 위주의 보안을 고려해서는 안된다. 미래의 기업 가치 보호를 위하여 새로운 관점의 기술 우위의 시장 선도업체를 통해서 점진적인 기업 보안 환경의 체질 개선에 나서야 할 때이다.
SGA솔루션즈는 클라우드 보안 및 제로 트러스트 보안의 원천 기술 보유, 관련 기술의 축적, 제품 구현에 대한 경험 등을 토대로 고객의 클라우드 비즈니스 환경의 엔드투 엔드 보안 해결사로서 지속적으로 노력할 방침이다.
[알림] GTT KOREA와 전자신문인터넷이 오는 5월 23일 인터컨티넨탈 서울 코엑스에서 공동으로 주최하는 'SECaaS Summit 2024'에서는 “AI와 클라우드를 위한 보안 혁신”을 주제로 글로벌 보안 산업을 이끌고 있는 리더들이 AI와 클라우드 인프라 환경과 데이터 및 애플리케이션 보안을 위한 신기술을 조망하고 기업 맞춤형의 혁신적인 보안 전략을 제시한다.
유은정 기자 judy6956@etnews.com
[Copyright © 전자신문. 무단전재-재배포금지]
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
