[클라우드 보안] 컨테이너·서버리스 보안 문제 대두

홈 > 뉴스 > 뉴스 > 보안

[클라우드 보안] 컨테이너·서버리스 보안 문제 대두

클라우드 빠른 속도 보장하는 PaaS…새로운 개발환경의 보안 취약점 문제 해결해야

관련기사

[클라우드 보안] 책임공유 모델 기반 보안 정책 ‘시급’

[클라우드 보안] 클라우드 보안의 기본, CWP

[클라우드 보안] 필수 솔루션 등극한 CSPM①

[클라우드 보안] 필수 솔루션 등극한 CSPM②

[클라우드 보안] SaaS 타깃 APT 방어①

[클라우드 보안] SaaS 타깃 APT 방어②

2019년 07월 16일 09:09:20

김선애 기자

iyamm@datanet.co.kr

[데이터넷] 클라우드의 생명은 ‘속도’다. 클라우드 도입의 최대 효과는 빠르게 서비스를 개발해 배포할 수 있다는 것이다. 클라우드로 가장 큰 성공을 거둔 아마존은 매일 2만3000건의 서비스를 배포하며, 개별 서비스 배포에 단 몇 분밖에 걸리지 않는다. 전통적인 IT 환경에서 새로운 서비스를 배포하려면 서비스를 기획하고 하드웨어를 구입하며, 서비스 개발과 테스트를 거쳐 단계별로 적용하는데 평균 9개월이 걸린다. 배포 중 장애나 보안 취약점이 발견돼 다시 점검하는 과정을 거치는 등 배포 과정에서도 여러 장애가 발생한다.

클라우드 배포 속도를 빠르게 만든 것은 컨테이너, 서버리스 컴퓨팅과 같은 새로운 PaaS 환경이다. PaaS는 일종의 레고블록 같은 서비스로, 서비스 개발을 위한 인프라, 미들웨어, 개발도구, BI, DB 일체를 제공한다. 개발자는 필요한 플랫폼을 골라 조립만 하면 되기 때문에 서비스 출시 시기를 크게 단축할 수 있다.

초기 PaaS는 가상머신(VM)을 이용했지만, 하이퍼바이저와 게스트OS에서 오버헤드가 발생해 리소스 낭비가 심하다. 컨테이너는 하이퍼바이저와 게스트 OS 없이 호스트 OS에 올리는 방식으로 리소스 사용을 줄일 수 있다. 하이퍼바이저와 게스트OS가 포함된 서비스 라이브러리가 제공되기 때문에 개발 속도를 한층 줄일 수 있다. 서버리스 컴퓨팅은 클라우드에서 물리적 서버 없이 함수만으로 명령어를 실행해 개발 과정을 획기적으로 단축시킬 수 있다. 모든 명령을 쪼개서 분산처리하며, 확장성 고민 없이 경량의 애플리케이션을 실행시켜 서비스 개발을 용이하게 한다.


▲서버 워크로드의 진화(자료: 가트너)

서버리스 컴퓨팅으로 공격 표면 넓어져

컨테이너와 서버리스 컴퓨팅이 클라우드 개발의 필수 요소로 떠오르고 있지만, 이 새로운 환경에 대한 보안 문제는 아직 확실하게 정립되지 않았다. 초기에는 컨테이너는 보안으로부터 안전한 환경이라는 인식이 있었지만, 컨테이너 환경을 노리는 취약점이 다수 발견되고, 컨테이너를 삭제했을 때 그 안에 저장된 데이터가 클라우드에 공개되는 사고도 발생했다.

컨테이너와 서버리스 컴퓨팅과 같은 새로운 개발 환경은 아주 빠른 속도로 변하고 발전하고 있기 때문에 보안 문제를 분석하고 해결책을 찾는 것이 쉽지 않다.

황이 CISSP 협회 보안연구실 이사는 “서버리스 컴퓨팅과 컨테이너는 개발자의 업무를 단축시키고 서비스 유연성을 극대화 할 수 있지만, 새로운 환경으로 인해 공격표면이 복잡해질 수 있다. 일반 웹 응용프로그램에서 이 서비스를 검사하지 못하며, 기존 보안 테스트로도 확인할 수 없다”고 지적했다.

컨테이너와 서버리스 컴퓨팅의 보안 문제를 해결하기 위해서는 배포 전후 애플리케이션 코드를 자동으로 분석하고 취약점을 찾아낸다. 실시간으로 CVE 취약점 정보를 업데이트하며, CI/CD 및 런타임 중 접근 권한 제어 기능을 제공해 공격자가 침입해 정책을 위반하는 기능을 배포하지 않도록 제어한다. HIPAA, FISMA, PCI, GDPR 등 컴플라이언스 위반 사유가 발생하지 않도록 점검하며, 보안 사고 발생 시 조사와 감사를 위한 도구와 통합을 지원한다.

이러한 기술을 제공하는 솔루션으로 트렌드마이크로의 ‘스마트체크’가 있다. 스마트체크는 개발 완료 후 테스트 단계에서 알려진 취약점이나 장애 포인트가 있는지 점검하는 도구로, API를 이용해 자동으로 동작해 데브옵스 속도를 보장할 수 있다.

장성민 한국트렌드마이크로 상무는 “클라우드는 속도가 생명인 만큼, 개발과 배포 과정이 지연되고 타임투마켓을 맞추지 못하는 요소가 있으면 안된다. 그래서 데브옵스에 보안을 적용하는 것을 꺼리는 상황”이라며 “‘스마트체크’는 데브옵스의 속도를 저해하지 않으면서 자동으로 취약점을 점검하고 발견된 취약점을 개발조직에 알려 즉시 개선하도록 한다. 또한 트렌드마이크로의 방대한 위협 인텔리전스와 취약점 DB를 이용해 새로운 취약점 정보를 빠르게 업데이트해 제로데이 공격를 차단할 수 있다”고 말했다.

한편 글로벌 컨테이너 보안 솔루션 기업으로 아큐아 시큐리티(Aqua Security), 아포레토(Aporeto), 퀄리스에 인수된 레이어드 인사이트(Layered Insight), 누벡터(NeuVector), 트위스트락(Twistlock), 스택록스(StackRox), 시스디그(Sysdig) 등이 있다. Neweba, 프로티고랩스(Protego Labs), 퓨어섹(PureSec) 등이 주목할 만한 서버리스 컴퓨팅 보안 기업으로 꼽힌다.