제로트러스트 도입을 위한 기업망 핵심요소 6종 중 응용 및 워크로드 보안 분석
앱 관리부터 온프라미스와 클라우드 환경까지 청정지역 만들기
국내외 대표 제로트러스트-응용 및 워크로드 보안 솔루션 기업 : 시만텍, 테이텀 시큐리티
[보안뉴스 원병철 기자] 과기정통부가 발표한 제로트러스트 가이드라인 1.0에 따르면 제로트러스트의 원활한 구현을 위한 3가지 핵심원칙과 국내 환경에 적합한 6종의 핵심요소가 있는데, 이 6종은 △식별자·신원(Identity & User) △기기 및 엔드포인트(Device & Endpoint) △네트워크(Network) △시스템(System) △응용 및 워크로드(Application & Workload) △데이터(Data)다. 이번 ‘2024 제로트러스트-응용 및 워크로드 보안 솔루션 리포트’에서는 6종의 핵심요소 중 응용 및 워크로드 보안 솔루션 분야를 정리함으로써 제로트러스트를 보안 솔루션에 접목하고자 하는 보안기업과 아울러 제로트러스트 보안 솔루션을 도입하려는 사용자에게 도움이 될 정보를 제공하고자 한다.
[이미지=gettyimagesbank]
응용 및 워크로드, 펜데믹과 디지털 전환 거치며 급속 성장
제로트러스트(Zero-Trust)가 2023년에 이어 2024년에도 보안산업에 매우 중요한 키워드로 떠오르고 있다. 미국 NSA(국가안전보장국)는 지난 3월 5일 사이버보안 정보 시트(Cybersecurity Information Sheet, CIS)의 최신판을 발표하면서 제로트러스트 프레임워크를 집중적으로 강조했다. 네트워크를 기능에 따라 분리한 상태에서 제로트러스트 개념을 적용하면 외부의 공격이 있더라도 피해를 줄일 수 있기 때문에 강력하게 권고한다는 내용이다. 이 CIS는 국방과 관련된 정부기관과 관련 업체들이 주요 타깃이긴 하지만, 관련 업계에서는 다른 단체나 기업에서도 충분히 도입해볼 만한 내용이라고 보고 있다.
과기정통부도 공공 및 민간기업의 제로트러스트 보안체계 도입과 확산을 위해 두 번째 시범사업을 추진하고 있다. 이는 2023년 첫 번째 시범사업과 ‘제로트러스트 가이드라인 1.0’ 발표 이후 진행된 사업으로, 제로트러스트 보안모델 공급기업의 제로트러스트 구현 계획의 구체성뿐만 아니라 수요기업의 제로트러스트 운영 관리 인력과 연차별 예산 투자 계획 등을 평가해 수요기관이 제로트러스트 보안체계를 도입·운영할 수 있도록 지원한다는 내용을 담고 있다. 특히 이번 사업에는 과기정통부는 물론 국가정보원과 디지털플랫폼정부위원회가 협력해, 사업 결과를 기반으로 정부와 공공분야의 보안체계를 더욱 고도화하겠다는 방침이다.
이처럼 미국은 물론 한국도 각 정부기관이 나서 제로트러스트 활성화를 위한 방안을 연이어 내놓고 있다. 이는 펜데믹으로 인한 재택 및 원격근무의 활성화, 그리고 기관 및 기업의 디지털 전환과 그에 따른 클라우드 도입 증가, 로그4j 등 전 세계를 뒤흔든 취약점 이슈 등 여러 이슈가 종합적으로 작용하면서 제로트러스트가 보안산업 전반에 대두됐기 때문이다.
응용 및 워크로드 보안, 앱 보안부터 온프라미스와 클라우드의 컴퓨팅 환경 보호
그렇다면 과기정통부가 제로트러스트 가이드라인 1.0(이하 가이드라인 1.0)에서 밝힌 제로트러스트 도입을 위한 핵심요소 6종과 그중 응용 및 워크로드에 대해 알아보자. 우선 제로트러스트는 ‘절대 믿지 말고, 항상 확인해라(Never Trust, Always Verify)’를 기조로, 네트워크가 이미 침해됐다고 가정하고 이로부터 보호해야 할 데이터와 서비스에 접근하려는 사용자를 다시 확인하고 최소한의 권한만 부여하는 것(NIST)을 말한다.
가이드라인 1.0에 따르면, 제로트러스트 아키텍처를 구현하기 위해서는 3가지 핵심원칙(△인증 체계 강화 △마이크로 세그멘테이션 △소프트웨어 정의 경계)을 모두 포함할 때 완성도가 높으며, 금융망 및 국가 기반시설 보안 정책, 공공 클라우드 보안 인증 기준 등을 고려해 국내 환경에 적합한 핵심요소 6종을 도출했다.
이중 응용 및 워크로드(Application & Workload)는 기업망 관리 시스템, 프로그램, 온프레미스 및 클라우드 환경에서 실행되는 서비스를 말한다. 가이드라인 1.0에서는 응용 및 워크로드에 대해 “응용 및 워크로드, 이에 연관된 API는 기업망 관리 시스템, 프로그램, 온프레미스 및 클라우드 환경에서실행되는 서비스를 포함하며, 데이터를 주고받기 위한 인터페이스를 제공한다”고 설명했다. 아울러 “기업 혹은 기관에서 응용 계층과 컨테이너, 가상머신 등을 보호 및 관리하고, 데이터의 안전한 전달을 보장할 수 있어야 한다”고 덧붙였다.
보안 기업들은 응용 및 워크로드가 ‘IT 환경에서 애플리케이션과 워크로드를 보호하기 위한 일련의 보안조치’를 말하며, 코드 개발 생명주기 전반과 온프레미스/클라우드의 컴퓨팅 환경 및 컨테이너에서 취약점을 찾아내고 수정해, 향후 발생할 수 있는 침해사고를 방지하는 것이라고 정의했다. 또 다른 기업들은 ‘기업이 애플리케이션을 운영함에 따라 작업 부하를 효율적으로 관리 및 보호하는 것’이라고 해석하기도 한다. 때문에 애플리케이션 보안, 클라우드 보안, API 보안 등이 이 응용 및 워크로드 보안에 포함된다고 설명했다.
다만 일각에서는 클라우드가 네트워크부터 엔드포인트까지 두루두루 갖추고 있는 영역인데 이렇게 응용 및 워크로드에 국한해서 다루는 것은 한계가 있다는 의견도 있다. 즉, 핵심요소 6종의 영역이 모두 클라우드에 포함될 수 있다는 것이다. 특히 응용 및 워크로드란 명칭 때문에 주로 CWPP/CNAPP, 앱 보안, API 보안 등이 언급되는데, 실제 CISA의 제로트러스트 보고서에는 CWPP나 CNAPP는 쓰지 않으며, CSPM(Cloud Security Posture Management)으로 클라우드 보안을 정의하고 있다고 지적했다. 아울러 미국은 애초에 클라우드가 메이저 인프라라고 생각하지만, 한국은 레거시(Legacy)가 메이저 인프라라고 보기 때문에 차이가 있는 것 같다는 의견도 있었다.
물론, 응용 및 워크로드가 한국에서 만든 용어는 아니다. CISA(미국 사이버보안 및 인프라 보안국, Cybersecurity and Infrastructure Security Agency)가 각 정부기관의 제로트러스트 아키텍처 구현 계획 설계를 지원하기 위해 지난 2021년 6월 발표한 ‘제로트러스트 성숙도 모델(Zero Trust Maturity Model)’에서도 응용 및 워크로드가 담겨 있다. 제로트러스트 구현에 필수적인 5가지 핵심요소(△식별자(Identity) △기기(Device) △네트워크(Network) △응용 및 워크로드(Application/Workload) △데이터(Data))에 이 응용 및 워크로드가 포함된 것이다.
이 보고서는 기업망에서 가장 중요한 보호의 대상은 데이터(Data)로 볼 수 있으며, 식별자(Identity)로 구분되는 사용자(User)는 기기(Device)를 이용해 기업 네트워크(Network)상에서 응용 및 워크로드(Application & Workload)를 통해 데이터에 접근하게 된다고 설명했다. 그리고 이 과정에서 이들은 모두 공격 대상이 될 수 있으며, 따라서 제로트러스트 관점에서 필요한 보안 기능을 요구하게 된다고 덧붙였다.
▲응용 및 워크로드에 대한 성숙도 수준별 특징[자료=과기정통부]
전 세계 응용 및 워크로드 보안 솔루션 시장 규모
현재 응용 및 워크로드 보안 솔루션 시장은 매우 빠르게 성장하고 있다. 포춘비즈니스인사이트(Fortune Business Insights)는 2022년 전 세계 애플리케이션 보안 시장 규모를 88억 6,000만 달러(한화 약 12조 2,409억원)로 평가했다. 2023년부터 2030년까지 연평균 성장률(CAGR) 14.3%로 성장해 2023년 99억 5,000만 달러(한화 약 13조 2,495억원)에서 2030년 253억 달러(한화 약 34조 9,544억원)로 성장할 것으로 예상했다.
시장조사기관 IDC에 따르면, 전 세계 클라우드 워크로드 보안 시장 규모는 2022년 26억 달러(한화 약 3조 5,921억원)였으며, 2026년에는 63억 8,000만 달러(한화 약 8조 8,146억원)에 달할 전망이다. 이는 연평균 성장률(CAGR) 21.9%에 달하는 수치다. IDC는 보고서(Worldwide Application and Workload Security Market Share, 2022: The Evolving Landscape)에서 △사이버 공격의 증가 △데이터 침해 비용의 증가 △규제 준수 요구사항 강화 △클라우드 채택 증가 등의 이슈가 이러한 시장 성장을 촉진하고 있다고 밝혔다.
국내시장 규모에 대해서는 아직 명확한 통계치는 없지만, 2020년 이후 응용 및 워크로드 보안에 대한 수요와 도입사례가 점차 증가하고 있다고 업계에서는 말한다.
한국 응용 및 워크로드 보안 솔루션의 주요 이슈
이처럼 현재 응용 및 워크로드 보안 솔루션 시장은 국내외 가리지 않고 모두 성장세를 보인다. 그렇다면 현재 시장에선 어떤 이슈가 가장 뜨거울까? 이와 관련 메가존클라우드는 ①클라우드 보안 ②컨테이너 및 쿠버네티스 보안 ③데브섹옵스 ④자동화 및 인공지능 활용 등을 꼽았다. 우선 많은 기업이 클라우드로 전환하면서 클라우드 환경에서의 보안 문제를 고민하고 있고, 이에 CNAPP와 같은 솔루션이 주목받고 있다고 설명했다. 또한 컨테이너와 쿠버네티스의 사용이 늘면서 이를 보호할 보안 기술이 필요하며, 개발 프로세스의 보안을 내재화해 애플리케이션이 배포되기 전 취약점을 발견하고 해결해 개발하는 데브섹옵스도 확산되고 있다고 말했다. 아울러 보안위협이 점점 더 정교해짐에 따라 AI와 머신러닝을 활용한 자동화된 보안 솔루션이 화두로 등장했으며, 위협탐지, 이상징후 감지, 자동대응 등을 가능하게 하는 기술에 대한 연구와 개발이 이어지고 있다고 설명했다.
아카마이테크놀로지스코리아(이하 아카마이)는 제로트러스트의 등장을 짚었다. 팬데믹 전후, 특히 제로트러스트 가이드라인 1.0이 나온 이후 고객들의 문의나 테스트 요청이 굉장히 많아졌다는 것. 다만 제로트러스트의 경우 워킹 레벨(Working Level)에서 준비해 전사 적용이 힘들기 때문에 상당히 긴 시간 동안 검토 및 상부의 설득이 이어진다고 지적했다. 이는 마치 여러 펭귄이 찬 바닷물 앞에서 고민하다 물에 뛰어드는 ‘첫 번째 펭귄(First Penguin)’이 나타나면 잇따라 바다에 뛰어드는 습성을 나타내는 ‘펭귄 효과(Penguin Effect)’와 같다고 설명한다. 때문에 제로트러스트가 제대로 정착되려면 C레벨을 중심으로 추진되어야 하며, 단번에 적용하기보다는 점진적인 적용이 필요하다고 덧붙였다.
실제로 아카마이는 수년 전 본사에 제로트러스트를 직접 적용하기 시작했으며, 약 350만개의 내외부 애플리케이션(Application) 연결을 120개로 축소해 획기적으로 공격 표면을 줄였다고 설명했다.
테이텀시큐리티는 국내 응용 및 워크로드 중 워크로드 보안은 초기 단계기 때문에 사실 시장이 막 형성되고 있다고 말했다. 세계 보안시장을 리딩하는 미국에서도 이제 워크로드 보안에 신경 쓰면서 성장하는 기업들이 막 나오고 있는 상황이며, 한국에서도 초기이지만 시장을 형성해가며 관련 기업들이 노력하고 있다는 설명이다. 다만 국내 기업이 적은 편인데, 한국에서는 감사문제로 규정 등이 글로벌 기준과 다르기 때문에 이러한 부분을 잘 파고들면 나름의 성과를 거둘 수 있을 것으로 봤다.
국내 대표 제로트러스트 응용 및 워크로드 보안 솔루션
그렇다면 제로트러스트의 시대를 맞이해 응용 및 워크로드 보안 솔루션 기업들은 어떤 솔루션을 준비했을까? 현재 보안시장에 나온 제로트러스트 응용 및 워크로드 보안 솔루션은 다음과 같다.
메가존클라우드는 팔로알토(Paloalto), 오르카(Orca), 위즈(Wiz), 시스딕(Sysdig), 테너블(Tenable), 레이스워크(Lacework) 등 CI/CD 파이프라인의 코드 단계에서 런타임 실행에 이르기까지 애플리케이션 취약점 분석, API 보안, 클라우드 구성 오류 탐지, 클라우드 계정 및 권한 관리, 워크로드 취약점 관리(CWPP)를 망라하는 다양한 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)을 제공하고 있다. 사용 고객들의 클라우드 전환 수준과 단계가 각각 다르기에 온프레미스 혼합형 하이브리드, 클라우드 네이티브, 멀티 클라우드 등 상이한 사용자의 환경만큼 응용 및 워크로드 보안 솔루션으로 얻고자 하는 도입 목표도 각각 DevSecOps 구현, 임직원과 협력업체 계정 권한 관리, 쿠버네티스 런타임 보호 등으로 다를 수 있다. 메가존클라우드는 각 사용자의 도입 목적에 맞는 기능을 가장 잘 반영한 CNAPP 솔루션을 큐레이팅하여 제공한다.
아카마이 가디코어 플랫폼은 가시성을 높이고 측면 이동을 제한하며 애플리케이션 액세스 권한을 제어해 쉽게 준수할 수 있다. 이 모든 기능은 다운타임 없이 실행할 수 있으며, 플랫폼은 새로운 제로데이 취약점에 효과적으로 대응하고, 눈에 띄지 않는 타사 액세스를 제한해 공격 표면을 크게 줄인다. 또한 운영자를 위한 AI 기반 워크로드 라벨링, 모범사례 기반 정책 권장 사항, MFA를 통한 ID 도용 방지 및 AI 기반 자연어 지원을 통해 빠르고 안전한 제로 트러스트로의 전환을 지원한다.
테이텀시큐리티의 CNAPP는 클라우드 전반에 대한 가시성 확보 및 보호를 제공한다. 클라우드에서 가장 공격 표면이 되는 설정에 대한 관리를 한국 컴플라이언스에 맞게 금융, ISMS에 최적화했다. 뿐만 아니라 계정 및 권한 관리에 특화해 클라우드에 통합되는 권한에 대한 모범사례를 지속적으로 준수할 수 있으며 이상행위도 함께 모니터링한다. 클라우드 환경에서의 제로트러스트는 CNAPP 없이 달성했다고 할 수 없는 것이다.
▲제로트러스트 응용 및 워크로드 보안에 대한 선호도 조사[자료=보안뉴스]
제로트러스트 응용 및 워크로드 보안에 대한 선호도 조사
그렇다면 사용자들은 응용 및 워크로드 보안을 위해 어떤 준비를 했을까? 앞서 설명한 것처럼 아직까지 응용 및 워크로드 보안 솔루션을 도입한 사용자들은 많지 않다. 때문에 업계에서는 이번 제로트러스트의 도입이 응용 및 워크로드 보안 솔루션 시장의 성장에 긍정적인 영향을 미칠 것으로 기대하고 있다. 이에 <보안뉴스>와 <시큐리티월드>는 2024년 6월 12일부터 17일까지 6일간 보안담당자들을 대상으로 ‘제로트러스트-응용 및 워크로드 보안 선호도 조사’를 실시했다. 이번 설문조사에는 공공(33.5%)과 민간(66.5%) 분야 보안담당자 1,719명이 답했다.
첫 번째로 응용 및 워크로드 보안을 위해 보안 솔루션을 도입했는지 물었다. 응답자의 63%는 도입하지 않았다고 답했고, 37%는 도입했다고 답했다. 도입하지 않은 응답자 중 36.5%는 응용 및 워크로드 보안을 알지만 비용 등의 이유로 도입하지 못했다고 답했으며, 26.5%는 아예 몰라서 못 했다고 답했다.
그렇다면 도입한 응답자들은 응용 및 워크로드 보안 중 어떤 보안 솔루션을 도입했을까? 애플리케이션 취약점 분석 솔루션이 31.2%로 가장 많았고, 애플리케이션 보안 솔루션이 29.4%로 뒤를 이었다. API 보안 솔루션은 24.1%였고, CWPP는 15.3%에 불과했다.
사용 중인 솔루션에 대한 만족도는 보통이었다. 응답자의 52.9%는 보통의 만족도를 나타냈으며, 31.2%는 만족한다고 답했다. 또한 매우 만족한다는 응답자도 12.4%나 있었다. 만족하지 않는다는 답변은 3.5%에 불과해 대부분의 응답자들은 사용 중인 솔루션에 보통이나 만족감을 표현했다.
그렇다면 앞으로 추가하고 싶은 응용 및 워크로드 보안 솔루션은 무엇일까? API 보안 솔루션과 애플리케이션 취약점 분석 솔루션이 28.8%로 동률을 보였고, 애플리케이션 보안 솔루션이 24.1%로 뒤를 이었다. CWPP는 18.3%가 선택했다.
한편 응답자들은 응용 및 워크로드 보안 솔루션을 선택할 때 도입 비용(26.5%)을 가장 중요한 선택기준이라고 답했다. 다만 솔루션의 성능과 기술력도 비슷한 수준으로 선택(24.1%)해 비용과 성능 모두 중요하게 보는 것으로 나타났다.
마지막으로 제로트러스트를 접목한 응용 및 워크로드 보안 솔루션이 나온다면 구입할 의사가 있느냐고 묻자 68.8%가 사겠다고 답해 제로트러스트에 대한 기대감이 높은 것으로 확인됐다.
소비자 니즈 확대로 응용 및 워크로드 솔루션 시장 가능성 높아져
응용 및 워크로드에서 응용(Application)은 사용자가 특정한 작업을 할 수 있도록 돕는 소프트웨어를 말한다. 컴퓨터는 물론 스마트폰과 태블릿 등 다양한 기기에서 실행되며, 이제는 직장은 물론 일상생활까지 모든 삶에 영향을 미치고 있다. 워크로드(Workload)는 컴퓨팅 시스템에서 수행하는 작업 또는 프로세스의 집합을 말한다. 쉽게 말하면, 컴퓨터가 처리해야 하는 모든 일이라고 생각하면 된다. 워크로드는 크게 두 가지 유형으로 나눌 수 있는데, 첫 번째 애플리케이션 워크로드는 웹 브라우징, 문서 작성, 게임 플레이, 비디오 편집과 같은 사용자가 직접 실행하는 애플리케이션에 의해 생성되는 워크로드를 말한다. 두 번째 시스템 워크로드는 운영체제, 백엔드 서비스, 네트워킹 작업과 같은 시스템 자체의 운영 및 유지 관리에 의해 생성되는 워크로드를 말한다.
클라우드에서의 워크로드는 클라우드 기반의 리소스에서 실행되는 애플리케이션, 서비스 또는 프로세스를 말한다. 워크로드는 가상머신, 컨테이너, 서버리스 컴퓨팅 등 다양한 클라우드 서비스를 사용해 실행할 수 있다.
즉, 우리가 말하는 응용 및 워크로드 보안은 일반적인 워크로드 상황과 클라우드 기반 워크로드 상황으로 나뉜다. 작업이 수행되는 바탕이 다르기 때문에 보안 역시도 다를 수밖에 없다. 게다가 제로트러스트를 이끌어가는 미국과 우리나라가 클라우드 활용에서 큰 차이가 있으며, 컴플라이언스에서도 차이가 있다는 사실이다.
이 때문에 이번 기획기사를 위해 만나본 여러 보안업체 중 일부 기업은 응용 및 워크로드로의 구분에 대한 의문과 함께 다른 보안 솔루션과 달리 시장 활성화가 이제 막 시작하는 단계라는 고민을 털어놓기도 했다.
그럼에도 불구하고 미국은 물론 한국 정부가 과거와 달리 상당히 빠른 속도로 제로트러스트 활성화에 나서고 있으며, 끊임없이 늘어나는 사이버 위협에 대한 대응수단을 원하는 사용자들의 니즈도 어느 때보다 풍성한 상황이다. 때문에 이번 제로트러스트 이슈를 잘 활용한다면 응용 및 워크로드 보안 시장 역시 한 단계 더 발전할 수 있으며, 클라우드 보안에 있어서도 도움이 될 것으로 기대된다
▲관리되는 장치를 통제하기 위한 시만텍 원 에이전트와 DLP, 웹 및 CASB 기능을 포함하는 시만텍 엔터프라이즈 클라우드[자료=이테크시스템]
[제로트러스트-응용&워크로드 보안 솔루션 집중분석-1]
네트워크 보안의 획기적인 변화
‘제로트러스트-응용 & 워크로드 보안’을 위한 시만텍 SAC, 데이터 중심 SASE의 새로운 패러다임
과거의 네트워크 보안은 주로 내부 네트워크에 중점을 두었고, 기업은 내부 네트워크를 안전하게 유지하면서 외부에서의 침입을 방지하는 데 초점을 두었다. 그러나 현재는 클라우드 기술의 발전과 원격근무 환경 증가로 인해, 이러한 전통적인 접근 방식이 더이상 효과적이지 않다는 것을 알고 있다. 제로트러스트는 이러한 변화에 적응하기 위해 나타났다. 과거의 신뢰 기반 모델과는 달리, 제로트러스트는 모든 사용자와 디바이스에 대해 신뢰하지 않고 항상 검증하는 접근 방식을 채택했다. 이를 통해 네트워크 보안을 현대화하고 더 나은 데이터 보호를 실현할 수 있게 되었다.
제로트러스트(Zero Trust) 원칙은 모든 요소에 대한 믿음을 거부하고 최소 권한 원칙을 적용하는 보안 철학이다. 이러한 새로운 비전을 받아들인 Gartner가 제안한 Secure Access Service Edge(SASE) 아키텍처는 데이터 중심 및 하이브리드 SASE를 제안하며, 기업의 네트워크 보안을 혁신하고 있다.
Zero Trust Network Access(ZTNA)
ZTNA는 네트워크 보안의 중심 요소 중 하나다. 이는 Data Loss Prevention(DLP), Secure Web Gateway(SWG), Cloud Access Security Broker(CASB)와 함께 SASE 아키텍처의 중요한 구성 요소로, 기업의 네트워크 보안 경계를 재정의하며 모든 디지털 기기와 사용자, 응용프로그램 및 서비스를 보호한다.
현대 기업은 기업의 IT 자산과 데이터를 랜섬웨어와 같은 위협에서 보호하고, 기업의 기밀 정보와 법률과 컴플라이언스를 준수해야 한다. 또한 다양한 엔드포인트와 애플리케이션 그리고 빨라진 업데이트 주기로 인한 애플리케이션 간 호환성 문제를 빠르게 해결해야 하는 숙제를 받았다. 조직의 IT 관리자는 이러한 변화에서 기업에 발생할 수 있는 보안 홀에 대해 빠르게 대처하기 위한 솔루션이 필요하다. 이러한 관리 복잡성을 제거하기 위해, 시만텍은 기존 엔드포인트 보안솔루션과 데이터 유출방지 솔루션인 DLP 그리고 웹 보안과 CASB 기능을 하나의 에이전트로 통합할 수 있는 원 에이전트 출시를 준비하고 있다.
BYOD 등 관리되지 않는 장치를 통제하기 위한 시만텍 CloudSOC 미러게이트웨이와 SAC
시만텍 CloudSOC 미러게이트웨이는 시만텍 CASB의 추가 기능이다. 이 기능은 관리되지 않는 장치보안 문제를 해결한다. 관리되는 장치에서 달성할 수 있는 것과 동일한 수준의 보안 제어를, 에이전트 없이 관리되지 않는 장치에 적용한다. 이 모든 기능을 통해 원활한 사용자 경험을 유지하고 클라우드 애플리케이션이 변경될 때마다 ‘URL 재작성’ 규칙을 지속적으로 업데이트할 필요가 없다.
시만텍 SAC는 ZTNA 솔루션 중 하나로 제로트러스트 네트워크 액세스의 핵심이라고 할 수 있다. 외부 사용자와 네트워크 데이터센터 간의 트래픽을 안전하게 보호하고, 사용자의 특정 응용프로그램에 대한 접근을 승인하며, 데이터 중심 하이브리드 SASE를 위한 필수적인 도구로 작용한다. SAC는 사용자 경험을 최적화하고 동일한 보안 수준을 제공하는 데 중점을 두며, 데이터 보호와 네트워크 접근성을 동시에 강화한다.
제로트러스트의 성장과 미래
제로트러스트 보안은 전 세계적으로 성장하고 있으며, 시만텍의 SAC는 이 성장에 주요한 역할을 하고 있다. 이러한 솔루션은 믿을 수 없는 환경에서 기업의 데이터와 자산을 보호하는 데 필수적이다. 미래에는 제로트러스트 보안이 보다 중요해질 것으로 예상되며, SAC는 이러한 트렌드를 이끌어 나갈 것으로 기대된다.
▲테이텀 CNAPP 구성[자료=테이텀시큐리티]
[제로트러스트-응용&워크로드 보안 솔루션 집중분석-2]
보안사고 최소화를 위한 클라우드 보안 관리 방법 제시
테이텀시큐리티, 테이텀 CNAPP 통해 국내 컴플라이언스 최적화된 제로 트러스트 지원
많은 기업이 클라우드 서비스를 통해 자산을 관리하게 되면서 최근 사이버 공격의 50% 이상이 직간접적으로 클라우드와 연관이 되어 있을 정도로 클라우드 보안사고도 증가하고 있다.
클라우드 서비스는 높은 비즈니스 자율성과 편의성을 제공하지만, 가시성 확보가 어렵고 위협 이벤트 발생 시 대응 계획이나 프로세스가 명확하지 않으면 보안사고 발생률이 높아진다. 그래서 ‘보안사고 최소화를 위해 클라우드 보안을 어떻게 관리하느냐’가 기업으로서는 큰 보안 과제이며 기업 경쟁력의 지표가 될 수밖에 없다.
국내 클라우드 보안 환경에 맞춤화된 클라우드 네이티브 애플리케이션 보안 플랫폼
테이텀시큐리티는 직접 개발한 클라우드 네이티브 애플리케이션 보안 플랫폼, ‘테이텀 CNAPP(Cloud Native Application Protection Platform)’을 활용해 모든 클라우드 보안 문제를 해결한다. 테이텀 CNAPP는 컴플라이언스와 설정을 다루는 CSPM(Cloud Security Posture Management), 워크로드에 대한 보호 영역인 CWPP(Cloud Workload Protection Platform), 사용자의 이상 행위를 탐지하는 CIEM(Cloud Infrastructure Entitlement Management) 솔루션을 포괄하고 있다.
일반적으로 클라우드는 지속적으로 자산이 추가되고 수정되기 때문에 모든 변경마다 설정 오류, 컴플라이언스 위반, 접근·권한 정책 점검, 데이터 보호 정책 준수 여부 등을 확인해야 한다. 퍼블릭 클라우드뿐만 아니라 프라이빗 클라우드와 온프레미스까지 연계한 분석도 필요하고 ISMS 및 ISMS-P, CSAP 등 국내 클라우드 규제를 지원하는지도 확인해야 하기 때문에 기업에서는 클라우드 운영이 쉽지 않은 게 현실이다.
테이텀시큐리티는 기업의 이러한 고민에 대한 해결책을 제로 트러스트 관점에서 테이텀 CNAPP에 적용했다. 특히, 이 중에서도 클라우드 보안 규정을 지속 관리하는 보안 자동화 솔루션, 테이텀 CSPM은 클라우드 도입의 시작이라 할 수 있을 정도로 기본적으로 필요한 솔루션이다.
테이텀 CSPM은 운영 중이거나 도입하려는 클라우드 상태를 쉽게 확인할 수 있고, 구성과 설정 점검이 편리하며 컴플라이언스 위배 여부도 빠르게 확인할 수 있어 클라우드 보안 위협의 사전 제어에 효과적이다.
미국 IT 리서치 기업 가트너가 제안한 클라우드 보안 형상관리 솔루션을 국내 보안 메커니즘에 맞게 재구성해 국내에 특화된 클라우드 보안솔루션으로 유일하게 제공함으로써, 외산 솔루션이 해결하지 못하는 국내 고객의 다양한 이슈를 해결했다는 점도 큰 강점이다.
이에 더해 현재 국내외 CSP(Cloud Service Provider) 업체 △AWS △MS Azure △Google Cloud △Oracle △KT Cloud △Naver Cloud △NHN Cloud △Openstack △Kubernetes △Docker △VMWare 등에서 호환할 수 있어 퍼블릭 클라우드, 프라이빗 클라우드, 하이브리드 클라우드 환경 전반을 커버하기 때문에 도입 장벽도 낮아 합리적이다.
고객 니즈에 맞춰 클라우드 보안의 모든 요소 제공함으로써 고객 레퍼런스 확장
테이텀 CNAPP는 국내 환경에 최적화된 CSPM과 데브섹옵스를 제공하기 때문에 보안에 매우 민감한 금융권에서 이미 호평을 받고 있으며, 공공 및 기업 분야로 고객 레퍼런스를 확장 중이다.
고객 도입 사례 – A 금융사 : 신규 애플리케이션 배포 워크플로우 내 보안 취약점 해결
A 금융사는 클라우드 환경에서 신규 애플리케이션 배포 워크플로우를 개선하고자 테이텀 CNAPP를 도입한 사례이다. 기존에 클라우드 관리를 대행해주는 서비스 업체를 통해 클라우드 환경을 관리하고 있었지만, 서비스 업체와 A 금융사가 생각하는 관리 관점의 차이로 신규 애플리케이션 배포 시 클라우드 관리와 보안까지 제대로 수행하기에는 현실적인 어려움이 있었다.
이에 A 금융사는 효율적으로 업무를 수행하고자 테이텀 CSPM 도입을 결정했고 테이텀 CSPM을 통해 신규 애플리케이션 배포를 위한 워크플로우에서 취약점 점검을 통해 보안을 강화할 수 있었다. A 금융사 정보보호팀 담당자는 테이텀 CSPM을 도입한 이유로 △보안 담당자와 개발자 모두에게 친화적인 환경 제공 △사용자 맞춤 컴플라이언스 설정 가능 △국내·글로벌 컴플라이언스 지원 △다양한 퍼블릭·프라이빗 클라우드 지원 등을 꼽으며 국내 환경에 맞는 최적의 클라우드 보안솔루션이라고 평가했다. 또한 그는 “프로젝트 수행 시 애플리케이션 배포 전 단계에서 테이텀 CSPM으로 취약점을 점검해 보안을 강화했다”며, “취약점 발견 시 특정 임계치 이상이면 프로젝트를 재검토하고 CSPM 가이드에 따라 조치 후 애플리케이션을 배포하는 과정을 자동화함으로써 고객에게 안전한 금융 서비스를 제공할 수 있었다”라고 밝혔다.
고객 도입 사례 – B 금융사 : 클라우드 영역의 가시성 확보 통해 보안성 향상
B 금융사는 기존에 사용 중인 외산 클라우드 보안솔루션과 테이텀 CSPM을 통합 구축해 클라우드 영역에 대해 향상된 가시성을 확보하고자 테이텀 CNAPP를 도입한 사례이다. 이 도입 사례의 경우 테이텀 CNAPP의 전체 기술 요소를 모두 도입해 통합 대시보드를 구축함으로써 보안성을 한층 더 강화했다.
B 금융사 정보보호팀 담당자는 테이텀 CSPM을 도입한 이유로 △외산 솔루션이 해결하지 못한 보안 이슈 해결 △사용자 맞춤 컴플라이언스 설정 가능 △국가·지역 및 산업군에 최적화된 규제준수 점검 가능 △다양한 클라우드 서비스 호환 및 환경 지원 △운영 중인 자산의 시각화 등을 꼽으며 국내 실정에 맞춰 클라우드 보안을 관리하기에 효율적인 솔루션이라고 평가했다. 또한 그는 “기존에 사용하던 외산 솔루션과 함께 테이텀시큐리티의 솔루션을 통합해 사용함으로써 클라우드 보안 영역의 가시성이 확보되어 보안 위협에 대한 선제 대응력이 도입 전보다 훨씬 향상되었다”고 밝혔다.
[원병철 기자(boanone@boannews.com)]
앱 관리부터 온프라미스와 클라우드 환경까지 청정지역 만들기
국내외 대표 제로트러스트-응용 및 워크로드 보안 솔루션 기업 : 시만텍, 테이텀 시큐리티
[보안뉴스 원병철 기자] 과기정통부가 발표한 제로트러스트 가이드라인 1.0에 따르면 제로트러스트의 원활한 구현을 위한 3가지 핵심원칙과 국내 환경에 적합한 6종의 핵심요소가 있는데, 이 6종은 △식별자·신원(Identity & User) △기기 및 엔드포인트(Device & Endpoint) △네트워크(Network) △시스템(System) △응용 및 워크로드(Application & Workload) △데이터(Data)다. 이번 ‘2024 제로트러스트-응용 및 워크로드 보안 솔루션 리포트’에서는 6종의 핵심요소 중 응용 및 워크로드 보안 솔루션 분야를 정리함으로써 제로트러스트를 보안 솔루션에 접목하고자 하는 보안기업과 아울러 제로트러스트 보안 솔루션을 도입하려는 사용자에게 도움이 될 정보를 제공하고자 한다.
[이미지=gettyimagesbank]
응용 및 워크로드, 펜데믹과 디지털 전환 거치며 급속 성장
제로트러스트(Zero-Trust)가 2023년에 이어 2024년에도 보안산업에 매우 중요한 키워드로 떠오르고 있다. 미국 NSA(국가안전보장국)는 지난 3월 5일 사이버보안 정보 시트(Cybersecurity Information Sheet, CIS)의 최신판을 발표하면서 제로트러스트 프레임워크를 집중적으로 강조했다. 네트워크를 기능에 따라 분리한 상태에서 제로트러스트 개념을 적용하면 외부의 공격이 있더라도 피해를 줄일 수 있기 때문에 강력하게 권고한다는 내용이다. 이 CIS는 국방과 관련된 정부기관과 관련 업체들이 주요 타깃이긴 하지만, 관련 업계에서는 다른 단체나 기업에서도 충분히 도입해볼 만한 내용이라고 보고 있다.
과기정통부도 공공 및 민간기업의 제로트러스트 보안체계 도입과 확산을 위해 두 번째 시범사업을 추진하고 있다. 이는 2023년 첫 번째 시범사업과 ‘제로트러스트 가이드라인 1.0’ 발표 이후 진행된 사업으로, 제로트러스트 보안모델 공급기업의 제로트러스트 구현 계획의 구체성뿐만 아니라 수요기업의 제로트러스트 운영 관리 인력과 연차별 예산 투자 계획 등을 평가해 수요기관이 제로트러스트 보안체계를 도입·운영할 수 있도록 지원한다는 내용을 담고 있다. 특히 이번 사업에는 과기정통부는 물론 국가정보원과 디지털플랫폼정부위원회가 협력해, 사업 결과를 기반으로 정부와 공공분야의 보안체계를 더욱 고도화하겠다는 방침이다.
이처럼 미국은 물론 한국도 각 정부기관이 나서 제로트러스트 활성화를 위한 방안을 연이어 내놓고 있다. 이는 펜데믹으로 인한 재택 및 원격근무의 활성화, 그리고 기관 및 기업의 디지털 전환과 그에 따른 클라우드 도입 증가, 로그4j 등 전 세계를 뒤흔든 취약점 이슈 등 여러 이슈가 종합적으로 작용하면서 제로트러스트가 보안산업 전반에 대두됐기 때문이다.
응용 및 워크로드 보안, 앱 보안부터 온프라미스와 클라우드의 컴퓨팅 환경 보호
그렇다면 과기정통부가 제로트러스트 가이드라인 1.0(이하 가이드라인 1.0)에서 밝힌 제로트러스트 도입을 위한 핵심요소 6종과 그중 응용 및 워크로드에 대해 알아보자. 우선 제로트러스트는 ‘절대 믿지 말고, 항상 확인해라(Never Trust, Always Verify)’를 기조로, 네트워크가 이미 침해됐다고 가정하고 이로부터 보호해야 할 데이터와 서비스에 접근하려는 사용자를 다시 확인하고 최소한의 권한만 부여하는 것(NIST)을 말한다.
가이드라인 1.0에 따르면, 제로트러스트 아키텍처를 구현하기 위해서는 3가지 핵심원칙(△인증 체계 강화 △마이크로 세그멘테이션 △소프트웨어 정의 경계)을 모두 포함할 때 완성도가 높으며, 금융망 및 국가 기반시설 보안 정책, 공공 클라우드 보안 인증 기준 등을 고려해 국내 환경에 적합한 핵심요소 6종을 도출했다.
이중 응용 및 워크로드(Application & Workload)는 기업망 관리 시스템, 프로그램, 온프레미스 및 클라우드 환경에서 실행되는 서비스를 말한다. 가이드라인 1.0에서는 응용 및 워크로드에 대해 “응용 및 워크로드, 이에 연관된 API는 기업망 관리 시스템, 프로그램, 온프레미스 및 클라우드 환경에서실행되는 서비스를 포함하며, 데이터를 주고받기 위한 인터페이스를 제공한다”고 설명했다. 아울러 “기업 혹은 기관에서 응용 계층과 컨테이너, 가상머신 등을 보호 및 관리하고, 데이터의 안전한 전달을 보장할 수 있어야 한다”고 덧붙였다.
보안 기업들은 응용 및 워크로드가 ‘IT 환경에서 애플리케이션과 워크로드를 보호하기 위한 일련의 보안조치’를 말하며, 코드 개발 생명주기 전반과 온프레미스/클라우드의 컴퓨팅 환경 및 컨테이너에서 취약점을 찾아내고 수정해, 향후 발생할 수 있는 침해사고를 방지하는 것이라고 정의했다. 또 다른 기업들은 ‘기업이 애플리케이션을 운영함에 따라 작업 부하를 효율적으로 관리 및 보호하는 것’이라고 해석하기도 한다. 때문에 애플리케이션 보안, 클라우드 보안, API 보안 등이 이 응용 및 워크로드 보안에 포함된다고 설명했다.
다만 일각에서는 클라우드가 네트워크부터 엔드포인트까지 두루두루 갖추고 있는 영역인데 이렇게 응용 및 워크로드에 국한해서 다루는 것은 한계가 있다는 의견도 있다. 즉, 핵심요소 6종의 영역이 모두 클라우드에 포함될 수 있다는 것이다. 특히 응용 및 워크로드란 명칭 때문에 주로 CWPP/CNAPP, 앱 보안, API 보안 등이 언급되는데, 실제 CISA의 제로트러스트 보고서에는 CWPP나 CNAPP는 쓰지 않으며, CSPM(Cloud Security Posture Management)으로 클라우드 보안을 정의하고 있다고 지적했다. 아울러 미국은 애초에 클라우드가 메이저 인프라라고 생각하지만, 한국은 레거시(Legacy)가 메이저 인프라라고 보기 때문에 차이가 있는 것 같다는 의견도 있었다.
물론, 응용 및 워크로드가 한국에서 만든 용어는 아니다. CISA(미국 사이버보안 및 인프라 보안국, Cybersecurity and Infrastructure Security Agency)가 각 정부기관의 제로트러스트 아키텍처 구현 계획 설계를 지원하기 위해 지난 2021년 6월 발표한 ‘제로트러스트 성숙도 모델(Zero Trust Maturity Model)’에서도 응용 및 워크로드가 담겨 있다. 제로트러스트 구현에 필수적인 5가지 핵심요소(△식별자(Identity) △기기(Device) △네트워크(Network) △응용 및 워크로드(Application/Workload) △데이터(Data))에 이 응용 및 워크로드가 포함된 것이다.
이 보고서는 기업망에서 가장 중요한 보호의 대상은 데이터(Data)로 볼 수 있으며, 식별자(Identity)로 구분되는 사용자(User)는 기기(Device)를 이용해 기업 네트워크(Network)상에서 응용 및 워크로드(Application & Workload)를 통해 데이터에 접근하게 된다고 설명했다. 그리고 이 과정에서 이들은 모두 공격 대상이 될 수 있으며, 따라서 제로트러스트 관점에서 필요한 보안 기능을 요구하게 된다고 덧붙였다.
▲응용 및 워크로드에 대한 성숙도 수준별 특징[자료=과기정통부]
전 세계 응용 및 워크로드 보안 솔루션 시장 규모
현재 응용 및 워크로드 보안 솔루션 시장은 매우 빠르게 성장하고 있다. 포춘비즈니스인사이트(Fortune Business Insights)는 2022년 전 세계 애플리케이션 보안 시장 규모를 88억 6,000만 달러(한화 약 12조 2,409억원)로 평가했다. 2023년부터 2030년까지 연평균 성장률(CAGR) 14.3%로 성장해 2023년 99억 5,000만 달러(한화 약 13조 2,495억원)에서 2030년 253억 달러(한화 약 34조 9,544억원)로 성장할 것으로 예상했다.
시장조사기관 IDC에 따르면, 전 세계 클라우드 워크로드 보안 시장 규모는 2022년 26억 달러(한화 약 3조 5,921억원)였으며, 2026년에는 63억 8,000만 달러(한화 약 8조 8,146억원)에 달할 전망이다. 이는 연평균 성장률(CAGR) 21.9%에 달하는 수치다. IDC는 보고서(Worldwide Application and Workload Security Market Share, 2022: The Evolving Landscape)에서 △사이버 공격의 증가 △데이터 침해 비용의 증가 △규제 준수 요구사항 강화 △클라우드 채택 증가 등의 이슈가 이러한 시장 성장을 촉진하고 있다고 밝혔다.
국내시장 규모에 대해서는 아직 명확한 통계치는 없지만, 2020년 이후 응용 및 워크로드 보안에 대한 수요와 도입사례가 점차 증가하고 있다고 업계에서는 말한다.
한국 응용 및 워크로드 보안 솔루션의 주요 이슈
이처럼 현재 응용 및 워크로드 보안 솔루션 시장은 국내외 가리지 않고 모두 성장세를 보인다. 그렇다면 현재 시장에선 어떤 이슈가 가장 뜨거울까? 이와 관련 메가존클라우드는 ①클라우드 보안 ②컨테이너 및 쿠버네티스 보안 ③데브섹옵스 ④자동화 및 인공지능 활용 등을 꼽았다. 우선 많은 기업이 클라우드로 전환하면서 클라우드 환경에서의 보안 문제를 고민하고 있고, 이에 CNAPP와 같은 솔루션이 주목받고 있다고 설명했다. 또한 컨테이너와 쿠버네티스의 사용이 늘면서 이를 보호할 보안 기술이 필요하며, 개발 프로세스의 보안을 내재화해 애플리케이션이 배포되기 전 취약점을 발견하고 해결해 개발하는 데브섹옵스도 확산되고 있다고 말했다. 아울러 보안위협이 점점 더 정교해짐에 따라 AI와 머신러닝을 활용한 자동화된 보안 솔루션이 화두로 등장했으며, 위협탐지, 이상징후 감지, 자동대응 등을 가능하게 하는 기술에 대한 연구와 개발이 이어지고 있다고 설명했다.
아카마이테크놀로지스코리아(이하 아카마이)는 제로트러스트의 등장을 짚었다. 팬데믹 전후, 특히 제로트러스트 가이드라인 1.0이 나온 이후 고객들의 문의나 테스트 요청이 굉장히 많아졌다는 것. 다만 제로트러스트의 경우 워킹 레벨(Working Level)에서 준비해 전사 적용이 힘들기 때문에 상당히 긴 시간 동안 검토 및 상부의 설득이 이어진다고 지적했다. 이는 마치 여러 펭귄이 찬 바닷물 앞에서 고민하다 물에 뛰어드는 ‘첫 번째 펭귄(First Penguin)’이 나타나면 잇따라 바다에 뛰어드는 습성을 나타내는 ‘펭귄 효과(Penguin Effect)’와 같다고 설명한다. 때문에 제로트러스트가 제대로 정착되려면 C레벨을 중심으로 추진되어야 하며, 단번에 적용하기보다는 점진적인 적용이 필요하다고 덧붙였다.
실제로 아카마이는 수년 전 본사에 제로트러스트를 직접 적용하기 시작했으며, 약 350만개의 내외부 애플리케이션(Application) 연결을 120개로 축소해 획기적으로 공격 표면을 줄였다고 설명했다.
테이텀시큐리티는 국내 응용 및 워크로드 중 워크로드 보안은 초기 단계기 때문에 사실 시장이 막 형성되고 있다고 말했다. 세계 보안시장을 리딩하는 미국에서도 이제 워크로드 보안에 신경 쓰면서 성장하는 기업들이 막 나오고 있는 상황이며, 한국에서도 초기이지만 시장을 형성해가며 관련 기업들이 노력하고 있다는 설명이다. 다만 국내 기업이 적은 편인데, 한국에서는 감사문제로 규정 등이 글로벌 기준과 다르기 때문에 이러한 부분을 잘 파고들면 나름의 성과를 거둘 수 있을 것으로 봤다.
국내 대표 제로트러스트 응용 및 워크로드 보안 솔루션
그렇다면 제로트러스트의 시대를 맞이해 응용 및 워크로드 보안 솔루션 기업들은 어떤 솔루션을 준비했을까? 현재 보안시장에 나온 제로트러스트 응용 및 워크로드 보안 솔루션은 다음과 같다.
메가존클라우드는 팔로알토(Paloalto), 오르카(Orca), 위즈(Wiz), 시스딕(Sysdig), 테너블(Tenable), 레이스워크(Lacework) 등 CI/CD 파이프라인의 코드 단계에서 런타임 실행에 이르기까지 애플리케이션 취약점 분석, API 보안, 클라우드 구성 오류 탐지, 클라우드 계정 및 권한 관리, 워크로드 취약점 관리(CWPP)를 망라하는 다양한 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)을 제공하고 있다. 사용 고객들의 클라우드 전환 수준과 단계가 각각 다르기에 온프레미스 혼합형 하이브리드, 클라우드 네이티브, 멀티 클라우드 등 상이한 사용자의 환경만큼 응용 및 워크로드 보안 솔루션으로 얻고자 하는 도입 목표도 각각 DevSecOps 구현, 임직원과 협력업체 계정 권한 관리, 쿠버네티스 런타임 보호 등으로 다를 수 있다. 메가존클라우드는 각 사용자의 도입 목적에 맞는 기능을 가장 잘 반영한 CNAPP 솔루션을 큐레이팅하여 제공한다.
아카마이 가디코어 플랫폼은 가시성을 높이고 측면 이동을 제한하며 애플리케이션 액세스 권한을 제어해 쉽게 준수할 수 있다. 이 모든 기능은 다운타임 없이 실행할 수 있으며, 플랫폼은 새로운 제로데이 취약점에 효과적으로 대응하고, 눈에 띄지 않는 타사 액세스를 제한해 공격 표면을 크게 줄인다. 또한 운영자를 위한 AI 기반 워크로드 라벨링, 모범사례 기반 정책 권장 사항, MFA를 통한 ID 도용 방지 및 AI 기반 자연어 지원을 통해 빠르고 안전한 제로 트러스트로의 전환을 지원한다.
테이텀시큐리티의 CNAPP는 클라우드 전반에 대한 가시성 확보 및 보호를 제공한다. 클라우드에서 가장 공격 표면이 되는 설정에 대한 관리를 한국 컴플라이언스에 맞게 금융, ISMS에 최적화했다. 뿐만 아니라 계정 및 권한 관리에 특화해 클라우드에 통합되는 권한에 대한 모범사례를 지속적으로 준수할 수 있으며 이상행위도 함께 모니터링한다. 클라우드 환경에서의 제로트러스트는 CNAPP 없이 달성했다고 할 수 없는 것이다.
▲제로트러스트 응용 및 워크로드 보안에 대한 선호도 조사[자료=보안뉴스]
제로트러스트 응용 및 워크로드 보안에 대한 선호도 조사
그렇다면 사용자들은 응용 및 워크로드 보안을 위해 어떤 준비를 했을까? 앞서 설명한 것처럼 아직까지 응용 및 워크로드 보안 솔루션을 도입한 사용자들은 많지 않다. 때문에 업계에서는 이번 제로트러스트의 도입이 응용 및 워크로드 보안 솔루션 시장의 성장에 긍정적인 영향을 미칠 것으로 기대하고 있다. 이에 <보안뉴스>와 <시큐리티월드>는 2024년 6월 12일부터 17일까지 6일간 보안담당자들을 대상으로 ‘제로트러스트-응용 및 워크로드 보안 선호도 조사’를 실시했다. 이번 설문조사에는 공공(33.5%)과 민간(66.5%) 분야 보안담당자 1,719명이 답했다.
첫 번째로 응용 및 워크로드 보안을 위해 보안 솔루션을 도입했는지 물었다. 응답자의 63%는 도입하지 않았다고 답했고, 37%는 도입했다고 답했다. 도입하지 않은 응답자 중 36.5%는 응용 및 워크로드 보안을 알지만 비용 등의 이유로 도입하지 못했다고 답했으며, 26.5%는 아예 몰라서 못 했다고 답했다.
그렇다면 도입한 응답자들은 응용 및 워크로드 보안 중 어떤 보안 솔루션을 도입했을까? 애플리케이션 취약점 분석 솔루션이 31.2%로 가장 많았고, 애플리케이션 보안 솔루션이 29.4%로 뒤를 이었다. API 보안 솔루션은 24.1%였고, CWPP는 15.3%에 불과했다.
사용 중인 솔루션에 대한 만족도는 보통이었다. 응답자의 52.9%는 보통의 만족도를 나타냈으며, 31.2%는 만족한다고 답했다. 또한 매우 만족한다는 응답자도 12.4%나 있었다. 만족하지 않는다는 답변은 3.5%에 불과해 대부분의 응답자들은 사용 중인 솔루션에 보통이나 만족감을 표현했다.
그렇다면 앞으로 추가하고 싶은 응용 및 워크로드 보안 솔루션은 무엇일까? API 보안 솔루션과 애플리케이션 취약점 분석 솔루션이 28.8%로 동률을 보였고, 애플리케이션 보안 솔루션이 24.1%로 뒤를 이었다. CWPP는 18.3%가 선택했다.
한편 응답자들은 응용 및 워크로드 보안 솔루션을 선택할 때 도입 비용(26.5%)을 가장 중요한 선택기준이라고 답했다. 다만 솔루션의 성능과 기술력도 비슷한 수준으로 선택(24.1%)해 비용과 성능 모두 중요하게 보는 것으로 나타났다.
마지막으로 제로트러스트를 접목한 응용 및 워크로드 보안 솔루션이 나온다면 구입할 의사가 있느냐고 묻자 68.8%가 사겠다고 답해 제로트러스트에 대한 기대감이 높은 것으로 확인됐다.
소비자 니즈 확대로 응용 및 워크로드 솔루션 시장 가능성 높아져
응용 및 워크로드에서 응용(Application)은 사용자가 특정한 작업을 할 수 있도록 돕는 소프트웨어를 말한다. 컴퓨터는 물론 스마트폰과 태블릿 등 다양한 기기에서 실행되며, 이제는 직장은 물론 일상생활까지 모든 삶에 영향을 미치고 있다. 워크로드(Workload)는 컴퓨팅 시스템에서 수행하는 작업 또는 프로세스의 집합을 말한다. 쉽게 말하면, 컴퓨터가 처리해야 하는 모든 일이라고 생각하면 된다. 워크로드는 크게 두 가지 유형으로 나눌 수 있는데, 첫 번째 애플리케이션 워크로드는 웹 브라우징, 문서 작성, 게임 플레이, 비디오 편집과 같은 사용자가 직접 실행하는 애플리케이션에 의해 생성되는 워크로드를 말한다. 두 번째 시스템 워크로드는 운영체제, 백엔드 서비스, 네트워킹 작업과 같은 시스템 자체의 운영 및 유지 관리에 의해 생성되는 워크로드를 말한다.
클라우드에서의 워크로드는 클라우드 기반의 리소스에서 실행되는 애플리케이션, 서비스 또는 프로세스를 말한다. 워크로드는 가상머신, 컨테이너, 서버리스 컴퓨팅 등 다양한 클라우드 서비스를 사용해 실행할 수 있다.
즉, 우리가 말하는 응용 및 워크로드 보안은 일반적인 워크로드 상황과 클라우드 기반 워크로드 상황으로 나뉜다. 작업이 수행되는 바탕이 다르기 때문에 보안 역시도 다를 수밖에 없다. 게다가 제로트러스트를 이끌어가는 미국과 우리나라가 클라우드 활용에서 큰 차이가 있으며, 컴플라이언스에서도 차이가 있다는 사실이다.
이 때문에 이번 기획기사를 위해 만나본 여러 보안업체 중 일부 기업은 응용 및 워크로드로의 구분에 대한 의문과 함께 다른 보안 솔루션과 달리 시장 활성화가 이제 막 시작하는 단계라는 고민을 털어놓기도 했다.
그럼에도 불구하고 미국은 물론 한국 정부가 과거와 달리 상당히 빠른 속도로 제로트러스트 활성화에 나서고 있으며, 끊임없이 늘어나는 사이버 위협에 대한 대응수단을 원하는 사용자들의 니즈도 어느 때보다 풍성한 상황이다. 때문에 이번 제로트러스트 이슈를 잘 활용한다면 응용 및 워크로드 보안 시장 역시 한 단계 더 발전할 수 있으며, 클라우드 보안에 있어서도 도움이 될 것으로 기대된다
▲관리되는 장치를 통제하기 위한 시만텍 원 에이전트와 DLP, 웹 및 CASB 기능을 포함하는 시만텍 엔터프라이즈 클라우드[자료=이테크시스템]
[제로트러스트-응용&워크로드 보안 솔루션 집중분석-1]
네트워크 보안의 획기적인 변화
‘제로트러스트-응용 & 워크로드 보안’을 위한 시만텍 SAC, 데이터 중심 SASE의 새로운 패러다임
과거의 네트워크 보안은 주로 내부 네트워크에 중점을 두었고, 기업은 내부 네트워크를 안전하게 유지하면서 외부에서의 침입을 방지하는 데 초점을 두었다. 그러나 현재는 클라우드 기술의 발전과 원격근무 환경 증가로 인해, 이러한 전통적인 접근 방식이 더이상 효과적이지 않다는 것을 알고 있다. 제로트러스트는 이러한 변화에 적응하기 위해 나타났다. 과거의 신뢰 기반 모델과는 달리, 제로트러스트는 모든 사용자와 디바이스에 대해 신뢰하지 않고 항상 검증하는 접근 방식을 채택했다. 이를 통해 네트워크 보안을 현대화하고 더 나은 데이터 보호를 실현할 수 있게 되었다.
제로트러스트(Zero Trust) 원칙은 모든 요소에 대한 믿음을 거부하고 최소 권한 원칙을 적용하는 보안 철학이다. 이러한 새로운 비전을 받아들인 Gartner가 제안한 Secure Access Service Edge(SASE) 아키텍처는 데이터 중심 및 하이브리드 SASE를 제안하며, 기업의 네트워크 보안을 혁신하고 있다.
Zero Trust Network Access(ZTNA)
ZTNA는 네트워크 보안의 중심 요소 중 하나다. 이는 Data Loss Prevention(DLP), Secure Web Gateway(SWG), Cloud Access Security Broker(CASB)와 함께 SASE 아키텍처의 중요한 구성 요소로, 기업의 네트워크 보안 경계를 재정의하며 모든 디지털 기기와 사용자, 응용프로그램 및 서비스를 보호한다.
현대 기업은 기업의 IT 자산과 데이터를 랜섬웨어와 같은 위협에서 보호하고, 기업의 기밀 정보와 법률과 컴플라이언스를 준수해야 한다. 또한 다양한 엔드포인트와 애플리케이션 그리고 빨라진 업데이트 주기로 인한 애플리케이션 간 호환성 문제를 빠르게 해결해야 하는 숙제를 받았다. 조직의 IT 관리자는 이러한 변화에서 기업에 발생할 수 있는 보안 홀에 대해 빠르게 대처하기 위한 솔루션이 필요하다. 이러한 관리 복잡성을 제거하기 위해, 시만텍은 기존 엔드포인트 보안솔루션과 데이터 유출방지 솔루션인 DLP 그리고 웹 보안과 CASB 기능을 하나의 에이전트로 통합할 수 있는 원 에이전트 출시를 준비하고 있다.
BYOD 등 관리되지 않는 장치를 통제하기 위한 시만텍 CloudSOC 미러게이트웨이와 SAC
시만텍 CloudSOC 미러게이트웨이는 시만텍 CASB의 추가 기능이다. 이 기능은 관리되지 않는 장치보안 문제를 해결한다. 관리되는 장치에서 달성할 수 있는 것과 동일한 수준의 보안 제어를, 에이전트 없이 관리되지 않는 장치에 적용한다. 이 모든 기능을 통해 원활한 사용자 경험을 유지하고 클라우드 애플리케이션이 변경될 때마다 ‘URL 재작성’ 규칙을 지속적으로 업데이트할 필요가 없다.
시만텍 SAC는 ZTNA 솔루션 중 하나로 제로트러스트 네트워크 액세스의 핵심이라고 할 수 있다. 외부 사용자와 네트워크 데이터센터 간의 트래픽을 안전하게 보호하고, 사용자의 특정 응용프로그램에 대한 접근을 승인하며, 데이터 중심 하이브리드 SASE를 위한 필수적인 도구로 작용한다. SAC는 사용자 경험을 최적화하고 동일한 보안 수준을 제공하는 데 중점을 두며, 데이터 보호와 네트워크 접근성을 동시에 강화한다.
제로트러스트의 성장과 미래
제로트러스트 보안은 전 세계적으로 성장하고 있으며, 시만텍의 SAC는 이 성장에 주요한 역할을 하고 있다. 이러한 솔루션은 믿을 수 없는 환경에서 기업의 데이터와 자산을 보호하는 데 필수적이다. 미래에는 제로트러스트 보안이 보다 중요해질 것으로 예상되며, SAC는 이러한 트렌드를 이끌어 나갈 것으로 기대된다.
▲테이텀 CNAPP 구성[자료=테이텀시큐리티]
[제로트러스트-응용&워크로드 보안 솔루션 집중분석-2]
보안사고 최소화를 위한 클라우드 보안 관리 방법 제시
테이텀시큐리티, 테이텀 CNAPP 통해 국내 컴플라이언스 최적화된 제로 트러스트 지원
많은 기업이 클라우드 서비스를 통해 자산을 관리하게 되면서 최근 사이버 공격의 50% 이상이 직간접적으로 클라우드와 연관이 되어 있을 정도로 클라우드 보안사고도 증가하고 있다.
클라우드 서비스는 높은 비즈니스 자율성과 편의성을 제공하지만, 가시성 확보가 어렵고 위협 이벤트 발생 시 대응 계획이나 프로세스가 명확하지 않으면 보안사고 발생률이 높아진다. 그래서 ‘보안사고 최소화를 위해 클라우드 보안을 어떻게 관리하느냐’가 기업으로서는 큰 보안 과제이며 기업 경쟁력의 지표가 될 수밖에 없다.
국내 클라우드 보안 환경에 맞춤화된 클라우드 네이티브 애플리케이션 보안 플랫폼
테이텀시큐리티는 직접 개발한 클라우드 네이티브 애플리케이션 보안 플랫폼, ‘테이텀 CNAPP(Cloud Native Application Protection Platform)’을 활용해 모든 클라우드 보안 문제를 해결한다. 테이텀 CNAPP는 컴플라이언스와 설정을 다루는 CSPM(Cloud Security Posture Management), 워크로드에 대한 보호 영역인 CWPP(Cloud Workload Protection Platform), 사용자의 이상 행위를 탐지하는 CIEM(Cloud Infrastructure Entitlement Management) 솔루션을 포괄하고 있다.
일반적으로 클라우드는 지속적으로 자산이 추가되고 수정되기 때문에 모든 변경마다 설정 오류, 컴플라이언스 위반, 접근·권한 정책 점검, 데이터 보호 정책 준수 여부 등을 확인해야 한다. 퍼블릭 클라우드뿐만 아니라 프라이빗 클라우드와 온프레미스까지 연계한 분석도 필요하고 ISMS 및 ISMS-P, CSAP 등 국내 클라우드 규제를 지원하는지도 확인해야 하기 때문에 기업에서는 클라우드 운영이 쉽지 않은 게 현실이다.
테이텀시큐리티는 기업의 이러한 고민에 대한 해결책을 제로 트러스트 관점에서 테이텀 CNAPP에 적용했다. 특히, 이 중에서도 클라우드 보안 규정을 지속 관리하는 보안 자동화 솔루션, 테이텀 CSPM은 클라우드 도입의 시작이라 할 수 있을 정도로 기본적으로 필요한 솔루션이다.
테이텀 CSPM은 운영 중이거나 도입하려는 클라우드 상태를 쉽게 확인할 수 있고, 구성과 설정 점검이 편리하며 컴플라이언스 위배 여부도 빠르게 확인할 수 있어 클라우드 보안 위협의 사전 제어에 효과적이다.
미국 IT 리서치 기업 가트너가 제안한 클라우드 보안 형상관리 솔루션을 국내 보안 메커니즘에 맞게 재구성해 국내에 특화된 클라우드 보안솔루션으로 유일하게 제공함으로써, 외산 솔루션이 해결하지 못하는 국내 고객의 다양한 이슈를 해결했다는 점도 큰 강점이다.
이에 더해 현재 국내외 CSP(Cloud Service Provider) 업체 △AWS △MS Azure △Google Cloud △Oracle △KT Cloud △Naver Cloud △NHN Cloud △Openstack △Kubernetes △Docker △VMWare 등에서 호환할 수 있어 퍼블릭 클라우드, 프라이빗 클라우드, 하이브리드 클라우드 환경 전반을 커버하기 때문에 도입 장벽도 낮아 합리적이다.
고객 니즈에 맞춰 클라우드 보안의 모든 요소 제공함으로써 고객 레퍼런스 확장
테이텀 CNAPP는 국내 환경에 최적화된 CSPM과 데브섹옵스를 제공하기 때문에 보안에 매우 민감한 금융권에서 이미 호평을 받고 있으며, 공공 및 기업 분야로 고객 레퍼런스를 확장 중이다.
고객 도입 사례 – A 금융사 : 신규 애플리케이션 배포 워크플로우 내 보안 취약점 해결
A 금융사는 클라우드 환경에서 신규 애플리케이션 배포 워크플로우를 개선하고자 테이텀 CNAPP를 도입한 사례이다. 기존에 클라우드 관리를 대행해주는 서비스 업체를 통해 클라우드 환경을 관리하고 있었지만, 서비스 업체와 A 금융사가 생각하는 관리 관점의 차이로 신규 애플리케이션 배포 시 클라우드 관리와 보안까지 제대로 수행하기에는 현실적인 어려움이 있었다.
이에 A 금융사는 효율적으로 업무를 수행하고자 테이텀 CSPM 도입을 결정했고 테이텀 CSPM을 통해 신규 애플리케이션 배포를 위한 워크플로우에서 취약점 점검을 통해 보안을 강화할 수 있었다. A 금융사 정보보호팀 담당자는 테이텀 CSPM을 도입한 이유로 △보안 담당자와 개발자 모두에게 친화적인 환경 제공 △사용자 맞춤 컴플라이언스 설정 가능 △국내·글로벌 컴플라이언스 지원 △다양한 퍼블릭·프라이빗 클라우드 지원 등을 꼽으며 국내 환경에 맞는 최적의 클라우드 보안솔루션이라고 평가했다. 또한 그는 “프로젝트 수행 시 애플리케이션 배포 전 단계에서 테이텀 CSPM으로 취약점을 점검해 보안을 강화했다”며, “취약점 발견 시 특정 임계치 이상이면 프로젝트를 재검토하고 CSPM 가이드에 따라 조치 후 애플리케이션을 배포하는 과정을 자동화함으로써 고객에게 안전한 금융 서비스를 제공할 수 있었다”라고 밝혔다.
고객 도입 사례 – B 금융사 : 클라우드 영역의 가시성 확보 통해 보안성 향상
B 금융사는 기존에 사용 중인 외산 클라우드 보안솔루션과 테이텀 CSPM을 통합 구축해 클라우드 영역에 대해 향상된 가시성을 확보하고자 테이텀 CNAPP를 도입한 사례이다. 이 도입 사례의 경우 테이텀 CNAPP의 전체 기술 요소를 모두 도입해 통합 대시보드를 구축함으로써 보안성을 한층 더 강화했다.
B 금융사 정보보호팀 담당자는 테이텀 CSPM을 도입한 이유로 △외산 솔루션이 해결하지 못한 보안 이슈 해결 △사용자 맞춤 컴플라이언스 설정 가능 △국가·지역 및 산업군에 최적화된 규제준수 점검 가능 △다양한 클라우드 서비스 호환 및 환경 지원 △운영 중인 자산의 시각화 등을 꼽으며 국내 실정에 맞춰 클라우드 보안을 관리하기에 효율적인 솔루션이라고 평가했다. 또한 그는 “기존에 사용하던 외산 솔루션과 함께 테이텀시큐리티의 솔루션을 통합해 사용함으로써 클라우드 보안 영역의 가시성이 확보되어 보안 위협에 대한 선제 대응력이 도입 전보다 훨씬 향상되었다”고 밝혔다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
