클라우드, ‘제로 트러스트’ 통제 정책 필수

홈 > 뉴스 > 뉴스 > 보안

클라우드, ‘제로 트러스트’ 통제 정책 필수

[클라우드 내비게이터] CASB·SDP로 클라우드·사용자 접근 통제…클라우드 지원 IAM 필수

관련기사

클라우드 보안 사고, 누가 책임질 것인가

클라우드 종속성 낮춰 비즈니스 리스크 관리

클라우드 네이티브 아키텍처로 보안 향상

공격자 ‘맛집’, 클라우드의 ‘돈 되는 데이터’

공격면 넓어진 클라우드, 독립된 보안 기술로 보호

게이트웨이 보안 기술로 웹 기반 공격 방어

퍼블릭 클라우드 보호 기술 경쟁 시작

2019년 10월 07일 17:37:15

김선애 기자

iyamm@datanet.co.kr

[데이터넷] 클라우드 보안을 어렵게 만드는 요인 중 하나로 ‘관리되지 않는 클라우드’를 꼽을 수 있다. 클라우드는 비용만 내면 쉽게 사용할 수 있기 때문에 관리조직의 승인을 받지 않고 임의로 클라우드를 사용하는 일이 많다. 관리자 몰래 클라우드 계정을 만들어 암호화폐를 채굴하는 사례도 있다.

이 처럼 관리되지 않는 클라우드를 제거하기 위해 클라우드 접근 보안 중개(CASB)가 등장했다. CASB는 클라우드 가시성과 컴플라이언스 지원, 데이터 보호, 사용자와 애플리케이션 모니터링 기능을 제공하며, 시만텍, 맥아피, 시스코, 팔로알토네트웍스 등 많은 기업들이 시장에서 경쟁하고 있다.

시만텍의 ‘클라우드SOC’는 DLP 클라우드, 웹 보안, 엔드포인트 보호 등 시만텍 솔루션과 통합되며, 클라우드 내부의 세부적인 트랜잭션 가시성, 사용자 행위 분석(UBA), 보안 위협 탐지, 데이터 거버넌스 및 DLP, 보안 제어 및 포렌식 분석 기능을 제공한다.

맥아피 ‘엠비전 클라우드(MVISION Cloud)’는 API 기반 기술로 CASB 시장을 공략한다. 클라우드 네이티브 기술로 모든 클라우드 서비스와 사용자, 디바이스 환경에서 데이터, 컨텍스트, 사용자 행위를 가시화하고 위협을 탐지할 수 있도록 지원한다. 보안 구성 오류를 제거하고 고위험 사용자의 활동을 경고한다.

시스코의 ‘클라우드락’ 역시 API 기반 CASB로, 머신러닝 알고리즘과 화이트리스트 기반 보안 정책으로 데이터 유출이나 사용자 이상 활동을 감지할 수 있다. 또한 클라우드락은 DNS 서비스 ‘엄브렐라(Umbrella)’에 내장돼 클라우드 앱 사용량과 위험 정보를 제공한다.

팔로알토네트웍스는 SaaS 보호를 위해 제공해 온 ‘어패처(Aperture)’와 원격 사용자 접속 보안을 지원하는 글로벌 프로텍트 클라우드 서비스(GPSC)’를 통합한 ‘프리즈마 SaaS’가 CASB 역할을 한다고 설명한다. SaaS 애플리케이션의 안전한 사용을 지원하며, 리스크 탐지, 적응형 접근 제어, 데이터 유실 방지, 컴플라이언스 보장, 데이터 거버넌스, 사용자 행동 모니터링, 지능형 위협 선제 방어 등의 고급 기능을 제공한다.

클라우드 지원 IAM 필수

클라우드 계정은 보안에 취약한 지점이다. 맥아피 ‘클라우드 도입과 리스크 리포트 2019’에 따르면 클라우드 데이터 위협은 대부분 손상된 계정이나 내부자 위협에서 비롯된다. 조직의 80%는 클라우드에서 1개월에 1개 이상 계정 위협을 경험하고 있는 것으로 분석되며, 92%는 도난당한 클라우드 자격증명이 다크 웹에서 판매되는 것으로 파악하고 있었다. 또한 AWS S3 버킷의 5.5%는 일반에 공개된 상태로 누구나 여기에 접속해서 저장된 데이터를 볼 수 있는 상태다.

도난당한 계정을 이용한 사고는 매 월 평균 12.2건이며, 내부자에 의한 사고도 매월 평균 14.8건에 이르고 94.3%의 기업은 한 달에 한 건 이상 내부자 위협을 당한다. 특히 특권권한계정을 통한 위협은 58.2%의 기업이 경험했으며, 매월 평균 4.3건의 위협이 발생한다고 답했다.

통합된 계정관리와 접근제어를 제공하는 IAM은 클라우드에서 필수다. 클라우드는 계정정보만 알면 접속할 수 있다. 민감한 애플리케이션은 2차 인증을 수행하도록 하지만, 대부분의 계정은 ID/PW만으로 접속 가능하며, 이들은 지하시장에서 쉽게 구입할 수 있다.

클라우드 IAM은 CWPP, CSPM, CASB 등에서도 지원하지만 세부적인 통제에는 한계가 있다. 특히 IAM은 HR 및 AD와 연동해 비즈니스 변화에 맞춰 유연하게 변경되어야 하기 때문에 클라우드 환경에 최적화된 IAM이 필요하다.

안전한 클라우드 접속 지원하는 SDP

CASB가 클라우드 접속을 통제하는 기술이라면, 소프트웨어 정의 경계(SDP)는 사용자를 통제하는 기술이라고 할 수 있다. SDP는 애플리케이션에 접근하기 전에 사용자를 인증하는 방식으로 클라우드와 애플리케이션 접속을 통제한다. 애플리케이션은 외부에서 검색할 수 없는 블랙 클라우드에 두고, SDP 컨트롤러에서 사용자 인증을 수행한다. 인증된 사용자는 SDP 게이트웨이를 통해 블랙 클라우드의 애플리케이션에 접속하며, 사용자의 행위는 지속적으로 모니터링되어 이상행위를 제어한다.


▲제로 트러스트 기반 사용자 접근 통제 모델(자료: 지스케일러)

SDP는 제로 트러스트 보안 모델을 따르는 접근통제 기술로, 안전한 네트워크 접속과 강력한 다중 인증 및 SSO, 디바이스 무결성 검증, 애플리케이션 액세스 정책 배포 및 검증, 데이터 침해 및 유출 방지 등의 기술을 제공한다. SDP는 구글의 비욘드코프가 개발한 프로토콜이며, 클라우드 보안 전문기업 지스케일러가 국내에 진출해 안전한 클라우드 접속을 위해 SDP 솔루션 ‘ZPA’를 출시하면서 시장 경쟁을 촉진시키고 있다.

IT 자산관리와 NAC 솔루션을 제공하는 국내 보안 기업 엠엘소프트가 국내 최초로 SDP 솔루션 ‘티게이트 SDP’를 출시하고 경쟁에 뛰어들었다. 엔드포인트 제어 전문성을 기반으로 한 티게이트 SDP는 세밀한 사용자와 단말 인증 및 통제가 가능하며, 국내 환경의 특수성을 모두 지원할 수 있다.

시만텍도 SDP 전문기업 루미네이트를 인수한 후 ‘시큐어 액세스 클라우드(SAC)’를 출시하고 SDP 시장에 뛰어들었다. 이 제품은 에이전트 없이 배포해 복잡성을 줄이고, 기존 보안 구성 변경 없이 적용할 수 있으며, IAM과 쉽게 통합될 수 있다.

VPN 전문기업들도 SDP 경쟁에 합류하고 있다. 펄스시큐어는 SDP가 채택한 네트워크 프로토콜이 VPN을 기반으로 하고 있다는 점을 강조하며 VPN 전문성을 탑재한 하이브리드 SDP인 ‘펄스 SDP’가 경쟁력이 있다고 강조한다.

아카마이는 CDN 클라우드를 활용한 원격접근 제어 솔루션 ‘엔터프라이즈 애플리케이션 액세스(EAA)’를 앞세워 SDP 시장을 공략한다. 이 솔루션은 다이얼 아웃(dial-out) 클라우드 아키텍처를 채택해 인바운드 방화벽 포트를 차단하는 한편 인증 받은 사용자가 인증된 애플리케이션만 접속할 수 있도록 한다.