클라우드 보안의 시작 '테너블 클라우드 시큐리티' CNAPP 솔루션
클라우드 보안 통합 및 자동화로 데브옵스·데브섹옵스 효율 높여
클라우드 보안 팀이 가장 어려워하는 부분은 쿠버네티스 인프라에서 실행되는 웹 애플리케이션, IaaS 및 컨테이너 리소스, ID 등 모니터링할 대상이 너무 많다는 점이다. 보안팀은 각 리소스의 서비스 ID를 관리하고 취약점과 잘못된 구성오류가 있는지 스캔해야 한다.
이런 광범위한 모니터링 대상을 관리하기 위해 기업들은 지난 몇 년간 다양한 포인트 솔루션 제품들을 도입했지만, 이 제품들의 통합에 소모되는 비용과 자원이 매우 크다는 사실을 간과해 왔다. 각 제품은 각기 다른 평가 기준을 통해 결과를 생성하므로, 기술적으로 뛰어난 제품을 사용하더라도 보안팀은 이 결과를 해석하기 위해 엑셀을 실행해야 하는 모순적 상황을 종종 마주하게 된다.
클라우드 보안의 시작은 ID 보안
보안팀이 취할 수 있는 가장 효과적인 클라우드 보안 전략은 클라우드 공격의 패턴을 확인하면 그에 맞게 수립할 수 있다. 지난 몇 년간 클라우드 침해 사례를 살펴보면 공격자 대부분이 잘못 설정된 ID와 권한을 이용하고 있었다.
IDSA의 '2022년 디지털 ID 보안 동향'에 따르면 12개월 동안 연구 대상 기업의 84%가 ID 관련 침해를 겪었다. 클라우드에서 운영, 구축하는 모든 인프라는 ID와 연결되어 있고 수많은 변수가 작용하여 문제를 이해하고 해결하는 것이 어렵기 때문이다.
알려진 취약점이 발견된 Amazon EC2 인스턴스나 IaC나 수동으로 인프라 구성 시 구성 오류가 있으면 공격자들은 클라우드 노출 표면을 악용하여 즉시 ID부터 노린다. 측면 이동을 하거나 권한을 승격시켜 민감한 데이터나 리소스에 접근을 시도하기 위해 권한을 테스트한다. 클라우드에서는 ID가 곧 전통적 보안에서 “경계”이며, 클라우드 보안은 ID 보안에서 시작하고 접근해야 한다.
최소 권한 원칙에 따른 서비스 ID와 사용자 ID의 차이
ID 보안의 가장 기본적 원칙은 필요한 리소스에 대해서만 권한을 허용하는 '최소 권한 원칙'이다. 이때 서비스 ID와 사용자 ID의 차이점과 다른 접근 방법을 이해해야 한다.
서비스 ID는 워크로드를 일관된 방식으로 작동하기 위해 만들어졌다. 따라서 서비스 ID에 '최소 권한 원칙'을 적용하려면 할당된 권한과 실제 사용 중인 권한을 평가하여 효과적인 권한을 찾아야 한다. 서비스 ID는 목적에 맞게 프로그래밍 되어 변경 사항이 거의 없기 때문에 활동 이력에 따라 최소 권한 원칙을 부여하는 것이 가능하다.
반면 사용자 ID는 실제 사람이 사용하기 위해 만들어졌다. 따라서 예측하기 어렵고, 작업이 발생했을 때 특정 리소스나 작업에 대한 권한을 유연하게 조정해야 한다. 제로 트러스트의 핵심은 필요할 때만 접근을 허용할 수 있는 JIT (Just-in-time) 접근 제어 방식을 도입하는 것이다. 이를 통해 사용자 ID, 즉 사람으로부터 발생하는 위험을 크게 줄일 수 있다. 예를 들면 데브옵스(DevOps)팀에게 개발자가 특정 작업을 위해 중요 DB에 접근해야 할 때 프로그램 방식으로 임시 접근 권한을 요청할 수 있는 능력을 제공하는 것이다. 이때 이런 요청은 슬랙이나 팀즈같은 기존 통신 도구에 통합되지 않도록 유의해야 한다.
서비스 ID와 사용자 ID의 차이점을 고려하지 않은 보안 프로그램은 데브섹옵스(DevOps)와 IT팀 간의 비효율과 마찰만을 초래한다. 때문에 데브섹옵스가 제대로 운영되려면 확장이 쉽고 워크플로에 내장될 수 있는 보안프로그램을 사용하는 것이 중요하다.
통합 ID 보안 중심의 CNAPP 솔루션 ‘테너블 클라우드 시큐리티’
테너블(Tenable)의 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)인 테너블 클라우드 시큐리티(Tenable Cloud Security)는 클라우드 보안 도구를 통합하여 클라우드 인프라, 쿠버네티스, 컨테이너, 인프라 코드(IaC), ID, 워크로드를 모두 확인하고 제어할 수 있는 보안 프로그램이다.
테너블 클라우드 시큐리티의 장점은 우선 권한 가시성이 확보된다. 멀티 클라우드 리소스 및 권한, 활동에 대한 정확한 확인은 클라우드 보안의 시작점이다. 또한 네트워크 노출, 구성 오류, 위험한 권한, 노출된 ID 위협, 알려진 취약점 등 위험 요소를 지속해서 모니터링 할 수 있다. 최소 권한 정책 적용을 자동화할 수 있고 보안 위협이 발견되면 쉽게 개선할 수 있도록 구체적 방법을 지원하고 자동화한다. 이와 함께 데브옵스(DevOps) 팀에게 워크플로에 내장할 수 있는 보안 도구를 제공한다.
테너블 클라우드 시큐리티는 보안 팀에게 끊임없이 변화하는 클라우드 환경에 대한 정확한 맥락을 제공하여 빠르게 해결해야 할 사항이 무엇인지 확인할 수 있도록 도와준다. 실제 환경에서 발생하는 위험 점수를 동적으로 조정하여 인력과 시간이 부족한 보안팀의 효율을 높이고, 새로운 위협에 빠르게 업데이트할 수 있는 유연성을 제공한다.
[알림] GTT KOREA와 전자신문인터넷이 오는 5월 23일 인터컨티넨탈 서울 코엑스에서 공동으로 주최하는 'SECaaS Summit 2024'에서는 “AI와 클라우드를 위한 보안 혁신”을 주제로 글로벌 보안 산업을 이끌고 있는 리더들이 AI와 클라우드 인프라 환경과 데이터 및 애플리케이션 보안을 위한 신기술을 조망하고 기업 맞춤형의 혁신적인 보안 전략을 제시한다.
유은정 기자 judy6956@etnews.com
Copyright © 전자신문. 무단전재 및 재배포 금지.
- 삼성디스플레이, 슬라이더블 시대 연다
- 더존비즈온, AWS와 긴밀 협력 지속
- 한강에 세계 최초 '교량 호텔' 탄생…서울시, 1호 숙박체험자 뽑는다
- [르포]“제주 바다를 한눈에”…호텔신라 첫 레저형 호텔 '신라스테이 플러스 이호테우' 가보니
- 이란 대통령, 헬기 추락으로 실종… “생사 확인 안 돼”
- 엔코아, '청년 AI인재 키운다'…'SK네트웍스 Family AI캠프' 교육생 모집
- [미리보는 배터리데이]〈5〉배터리 파운드리·희토류 공급망…주목할 신기술은
- 더존비즈온, 'AWS 서밋 서울' 참가…AX 방향성 제시
- 좁아지는 스마트폰 선택지…구글 '픽셀8a' 출시국서 韓 제외
- 잇단 성장률 상향 조정…6월 발표 정부 전망치에 '관심'