제로 트러스트 적용해 클라우드 접근 시도 검증해 안전하게 보호
[데이터넷] 클라우드 네이티브 환경은 클라우드의 장점을 극대화할 수 있지만, 보안에 취약하다는 단점이 있다.
컨테이너를 이용한 데브옵스 과정을 예로 들어, 빌드 단계에서 컨테이너 이미지를 생성할 때 멀웨어, 취약점, 구성오류, 오픈소스 라이선싱, 보호되지 않은 채 노출된 민감한 데이터 등의 문제가 있는 것을 모르고, 레지스트리에 저장(Ship, Store)하고, 컨테이너 플랫폼에 배포하면 클라우드 워크로드 전체가 취약점의 영향을 받게 된다.
데브옵스 과정에서 컨테이너 이미지 취약성을 스캐닝 한 후 무결성이 검증된 이미지만 적용하도록 권고하고 있는데, 빠르게 진행되는 클라우드 개발 과정에서 취약성 스캐닝을 건너뛰는 경우가 많다. 또 오픈소스는 복잡한 의존성 문제가 있기 때문에 스캐닝으로는 종속된 구성요소의 취약점을 발견하지 못하는 경우가 많다.
김세윤 SGA솔루션즈 이사는 “취약한 컨테이너 이미지로 인해 운영중인 호스트 OS까지 위험해질 수 있다. 또 잘못 구성된 컨테이너로 인해 공격표면이 증가하고, 데이터가 유출되며, 손상된 컨테이너에서 악성 프로세스가 손상되는 한편, 민감한 파일이 임의로 변경되는 등의 피해를 입을 수 있다”며 “안전한 컨테이너 이미지 사용이 클라우드 네이티브 보호의 시작”이라고 강조했다.
안전한 컨테이너 이미지만 배포
김세윤 이사는 ‘제23회 차세대 보안 비전 2024’의 ‘클라우드 보안의 이해와 발전방향’ 세션에서 최근 대세로 떠오른 클라우드 네이티브 환경의 장점과 함께 보안 문제를 짚었다. 클라우드 네이티브는 매우 쉽고 빠르게 서비스를 개발할 수 있으며, 높은 확장성과 비용 효율적인 운영으로 클라우드 효율을 극대화할 수 있다.
그만큼 보안 문제도 심각한데, 자동화된 CI/CD 파이프라인에서 보안 점검없이 실시간으로 개발, 배포되는 클라우드 네이티브 서비스에 취약성이나 잘못된 구성, 보호되지 않은 데이터가 포함될 수 있다.
이 문제를 해결하는 첫번째 단계는 안전한 컨테이너 이미지 배포로, SGA솔루션즈는 ‘씨이지스(cAegis)’ 솔루션을 대안으로 제시한다. 씨이지스는 컨테이너 이미지 보증, 승인제어, 런타임 보호 등의 기능을 제공하며, 세분화된 컨테이너 접근제어 정책 적용과 관리, 보안 커널 기술 기반 보호를 지원한다.
제로 트러스트 보안 적용해 전체 클라우드 보호
씨이지스는 SGA솔루션즈의 여러 기술과 결합해 다양한 솔루션으로 확장될 수 있다. 우선 CWPP 솔루션 ‘브이이지스(vAegis)’와 결합해 이미지 스캐닝부터 런타임 보호까지 지원할 수 있다. 온프레미스, 재택근무, 다양한 사용자 기기와 시스템 등의 로그 정보를 수집, 분석해 클라우드 워크로드 인사이트를 제공하는 솔루션으로 확장 가능하다.
김세윤 이사는 “씨이지스와 브이이지스 결합을 통해 클라우드 개발·구축부터 런타임까지 보호하며, 컴플라이언스 지원 기능까지 완성할 수 있다. 또한 할 수 있다. 이를 통해 클라우드 전반의 위협을 가시화하고 대응할 수 있게 한다”고 설명했다.
엔터프라이즈 리소스 시스템 보안 솔루션으로도 활용된다. SGA솔루션즈의 커널 기반 시스템 보안 솔루션(시큐어OS)와 함께 사용해 엔터프라이즈 리소스에 대한 최소권한원칙의 접근 통제, 파일과 디렉토리, 명령어 및 프로세스를 통제하면서 원활한 개발과 운영 보안을 지원한다.
제로 트러스트 보안 솔루션 ‘SGA ZTA’로도 확장 가능하다. 클라우드와 컨테이너로 접근하는 사용자와 디바이스에 대한 인증과 접근관리, 리소스 접근제어를 제공, 컨테이너 플랫폼 위협에 대응할 수 있다. SGA ZTA는 제로 트러스트를 위한 풀스택 기술을 갖춘 솔루션으로, PAM, CWPP, CNAPP을 결합해 엔터프라이즈 리소스 전반을 보호할 수 있는 플랫폼으로 확장될 수 있다.
김세윤 이사는 “SGA ZTA의 엔터프라이즈 리소스 보호 전략은, 온프레미스와 프라이빗·퍼블릭 클라우드 전반에서 보호해야 할 리소스에 대한 엄격한 접근통제를 적용하는 것을 핵심 내용으로 한다. 이를 위해 풀스택 제로 트러스트 아키텍처와 씨이지스, 브이이지스 및 CNAPP 확장을 추진하고 있다”며 “SGA솔루션즈는 클라우드 네이티브 환경에서도 제로 트러스트 원칙을 기반으로 한 보안이 완성될 수 있도록 노력하고 있다”고 덧붙였다.
