[2023 클라우드 보안 리포트] 잇단 규제 완화로 클라우드 보안시장 ‘만개’ 하나

‘전자금융감독규정’ 개정 등 법제도 이슈에 따른 클라우드 보안시장 전망
[인터뷰] 정영석 금융보안원 DT보안팀 팀장
[설문조사] 클라우드 보안 솔루션 인식 및 선택기준
클라우드 보안 대표 솔루션 분석: 안랩, 시만텍, 메가존클라우드, 지스케일러, 스카이하이 시큐리티, 베리타스

[보안뉴스 김경애 기자] 클라우드 이용절차 합리화 및 망분리 규제 완화를 위해 금융위원회에서 의결한 ‘전자금융감독규정’ 개정안이 2023년 1월 1일부터 시행된다. 이번 개정안은 금융업무의 디지털 전환이 가속화됨에 따라 클라우드, 인공지능(AI) 등 디지털 신기술에 대한 금융권 수요를 반영했다.

[이미지=utoimage]

개정안의 주요 내용은 첫째, 클라우드 이용 업무의 중요도 평가 기준이 마련됐다. 둘째, 클라우드서비스제공자(CSP)의 건전성 및 안전성 평가항목이 정비됐다. 셋째, 클라우드 이용 시 사전보고를 사후보고로 전환하고, 제출서류를 간소화했다. 넷째, 연구·개발 분야의 망분리 규제가 완화됐다. 비중요 업무에 대한 소프트웨어 형태의 클라우드(SaaS)를 내부망에서 이용할 수 있도록 규제 샌드박스를 통한 망분리 규제 완화를 2023년 상반기에 검토할 예정이다.

이에 <보안뉴스>에서는 개정된 ‘금융 분야 클라우드컴퓨팅서비스 이용 가이드’에 대해 짚어보고, 정영석 금융보안원 DT보안팀 팀장과의 인터뷰를 통해 ‘금융분야 클라우드컴퓨팅서비스 이용 가이드’를 비롯한 클라우드 보안이슈에 대해 들어봤다. 그리고 ‘클라우드 보안 솔루션 인식 및 선택기준에 대한 설문조사 결과’와 클라우드 보안 분야 대표기업인 메가존클라우드, 베리타스, 스카이하이 시큐리티(시스원), 시만텍(이테크시스템), 안랩, 지스케일러(엑스퍼넷) 기업과의 인터뷰를 통해 클라우드 보안에 대해 집중분석한다.

‘금융 분야 클라우드컴퓨팅서비스 이용 가이드’ 개정
‘전자금융감독규정’ 개정에 따라 ‘금융 분야 클라우드컴퓨팅서비스 이용 가이드’도 2022년 11월 23일 개정됐다. 클라우드 이용 규제가 완화됨에 따라 금융권의 클라우드 서비스 이용이 늘면서 클라우드 보안은 매우 중요해지고 있다. 클라우드 서비스 제공사에선 기본적인 보안을 제공할 뿐 금융사에서 각자 도입한 클라우드는 이용 환경에 따라 보안을 강화해야 하기 때문이다.

클라우드 보안, 업무 연속성과 안전성 확보조치로 보안 강화
1. 업무 연속성 계획 수립
이번에 개정된 ‘금융 분야 클라우드컴퓨팅서비스 이용 가이드’에서 안내하고 있는 클라우드 보안수준 확보는 업무 연속성 계획 및 안정성 확보조치 방안 수립이다. 업무 연속성 계획 수립은 첫째, 데이터 백업 등 장애 대비 둘째, 이중화 또는 예비장치 확보 등 셋째, 훈련 및 사고 관리 넷째, 비상대책 수립이다.

1) 데이터 백업 등 장애 대비 데이터 백업 등 장애 대비를 위한 전자금융감독규정 요구사항은 △비상시에 대비해 보조 기억매체 등 전산 자료에 대한 안전지출 및 긴급파기 계획을 수립·운용(제13조제1항제6호) △중요도에 따라 전산자료를 정기적으로 백업해 원격 안전지역에 소산하고 백업 내역을 기록·관리(제13조제1항제8호) △주요 백업 전산자료에 대해 정기적으로 검증(제13조제1항제9호) △정보처리시스템의 장애 발생 시 장애일시, 장애 내용 및 조치사항 등을 기록한 장애 상황기록부를 상세하게 작성·보관(제14조제3호) △시스템 통합, 전환 및 재개발 시 장애 등으로 인해 정보처리시스템의 운영에 지장이 초래되지 않도록 통제 절차를 마련해 준수(제14조제5호) △중요도에 따라 정보처리시스템의 운영체계 및 설정 내용 등을 정기 백업 및 원격 안전지역에 소산하고 백업자료는 1년 이상 기록·관리(제14조제8호) △시스템 장애, 가동중지 등 긴급사태에 대비해 백업 및 복구 절차 등을 수립·시행(제15조제2항제6호) △전산 장애 발생 시 전산 자료 손실에 대비한 백업(Backup)장치를 구비해야 한다(제50조제1항제3호).

2) 이중화 또는 예비장치 확보 등 이중화 또는 예비장치 확보 등을 위한 전자금융감독규정 요구사항이다. △금융회사는 제1항의 규정에 따른 업무지속성 확보대책의 실효성·적정성 등을 매년 1회 이상 점검해 최신상태로 유지하고 관리(제23조제3항)해야 한다. △금융회사는 중앙처리장치, 데이터저장장치 등 주요 전산장비에 대해 이중화 또는 예비장치를 확보해야 한다(제23조제7항).

3) 훈련 및 사고 관리 훈련 및 사고 관리를 위한 전자금융감독규정 요구사항이다. △금융회사는 해킹 등 전자적 침해행위로 인한 피해 발생 시 즉시 대처할 수 있도록 적절한 대책 마련(제15조제4항). △악성코드 감염에 대비해 복구 절차 마련(제16조제1항제3호) △금융회사는 악성코드 감염이 발견된 경우 악성코드 확산 및 피해 최소화를 위해 필요한 조치로 신속하게 대응(제16조제2항). △금융회사는 장애, 재해, 파업, 테러 등 긴급한 상황이 발생하더라도 업무가 중단되지 않도록 업무지속성 확보방안을 수립·준수(제23조제1항) 해야 한다. △또한 업무 지속성 확보대책이 반영(제23조제6항)돼야 하고 △금융회사 비상대책에 따라 연 1회의 비상 대응 훈련을 실시해 그 결과를 금융위원회에 보고해야 한다. 이때, 재해복구전환훈련을 포함해 실시할 수 있다(제24조제1항). △금융위원회는 금융분야의 비상대응능력을 강화하기 위해 금융회사를 선별해 금융분야 합동비상대응훈련을 실시할 수 있다(제24조제2항). △금융위원회는 합동비상대응훈련을 실시할 때 국가정보원, 경찰청 등 금융위원회가 필요하다고 인정하는 기관에 지원을 요청할 수 있다(제24조제3항). △금융회사는 의무의 이행을 위해 전자금융보조업자에게 협조를 요청할 수 있다(제24조제4항).

4) 비상대책 수립 비상대책 수립을 위한 전자금융감독규정 요구사항이다. △금융위원회가 별도로 지정하지 않은 금융회사는 자연 재해, 인적 재해, 기술적 재해, 전자적 침해 등으로 인한 전산시스템의 마비 방지와 신속한 복구를 위한 비상대책을 수립·운영해야 한다(제23조제5항).

2. 안전성 확보조치 방안 수립
1) 계정관리 보안수준 확보를 위한 안전성 확보조치 방안 수립의 첫 번째 필수사항은 계정관리다. 전자금융감독규정 요구사항에 따르면 △사용자 계정과 비밀번호를 개인별로 부여하고 등록·변경·폐기를 체계적으로 관리해야 한다(제13조제1항제1호). △사용자 계정의 공동 사용이 불가피한 경우에는 개인별 사용 내역을 기록·관리해야 한다(제13조제2항). △외부사용자에게 사용자 계정을 부여하는 경우 최소한의 작업 권한만 할당하고 적절한 통제장치를 갖춰야 한다(제13조제1항제2호). △사용자가 전출·퇴직 등 인사 조치가 있을 때에는 지체없이 해당 사용자 계정 삭제, 계정 사용 중지, 공동 사용 계정 변경 등 정보처리시스템에 대한 접근을 통제해야 한다(제13조제1항제14호). △정보처리시스템의 운영체제 계정으로 로그인할 경우 계정 및 비밀번호 이외에 별도의 추가인증 절차를 의무적으로 시행해야 한다(제14조제9호). △정보처리시스템 운영체제 계정에 대한 사용 권한, 접근 기록, 작업 내역 등에 대한 상시 모니터링체계를 수립하고, 이상 징후 발생 시 필요한 통제 조치를 즉시 시행해야 한다(제14조제10호). △공개용 웹서버에 접근할 수 있는 사용자 계정은 업무관련자만 접속할 수 있도록 제한하고 아이디, 비밀번호 이외에 추가 인증수단을 적용(제17조제1항제2호)해야 한다.

2) 접근 통제 안전성 확보조치를 위한 방안 수립의 두 번째 필수사항은 접근 통제다. 전자금융감독규정 요구사항은 △전산자료의 보유 현황을 관리하고 책임자를 지정·운영(제13조제1항제3호). △전산자료 및 전산장비의 반출·반입을 통제(제13조제1항제5호) △정보처리시스템 접속 시 5회 이내의 범위에서 미리 정한 횟수 이상의 접속 오류가 발생하는 경우 정보처리시스템의 사용 제한(제13조제1항제12호) △금융회사는 단말기와 전산 자료의 접근 권한이 부여되는 정보처리시스템 관리자에 대해 적절한 통제장치를 마련·운용해야 한다. 다만, 정보처리 시스템 관리자의 주요 업무 관련 행위는 책임자가 제28조 제2항에 따라 이중확인 및 모니터링을 해야 한다(제13조제5항). △담당업무 외에는 열람 및 출력을 제한할 수 있는 접근자의 비밀번호를 설정해 운영(제32조제1호)해야 한다. △비밀번호는 이용자 식별부호(아이디), 생년월일, 주민등록번호, 전화번호를 포함하지 않은 숫자와 영문자 및 특수문자 등을 혼합해 8자리 이상으로 설정하고 분기별 1회 이상 변경해야 한다(제32조제2호가). △시스템마다 관리자 비밀번호를 다르게 부여(제32조제2호다) △비밀번호 입력 시 5회 이내의 범위에서 미리 정한 횟수 이상의 입력 오류가 연속해 발생한 경우 즉시 해당 비밀번호를 이용하는 접속을 차단하고 본인 확인절차를 거쳐 비밀번호를 재부여하거나 초기화 해야 한다(제32조제3호).

3) 네트워크 보안 클라우드 환경의 안전성 확보조치 세 번째 필수사항은 네트워크 보안이다. △내부통신망과 연결된 내부 업무용시스템은 인터넷(무선통신망 포함) 등 외부통신망과 분리·차단 및 접속을 금지해야 한다(제15조제1항제3호). △규정 제15조제1항제3호에서 시행세칙 2조의2제1항에 따라 내부통신망에 연결된 단말기가 업무상 필수적으로 외부기관과 연결해야 하는 경우 등은 금융감독원장의 확인을 받아 연결할 수 있다. △무선통신망 이용 업무는 최소한으로 국한하고 정보보호 최고책임자의 승인을 받아 사전에 지정해야 한다(제15조제6항제1호). △공개용 웹서버를 내부통신망과 분리해 내부통신망과 외부통신망 사이의 독립된 통신망(DMZ구간)에 설치하고 네트워크 및 웹 접근제어 수단으로 보호해야 한다(제17조제1항제1호). △금융회사는 정보제공자 주소(이하 ‘IP주소’라 한다)의 안전한 사용을 위해 적절한 대책을 수립·운용해야 한다(제18조).

4) 금융회사 내부시스템과 클라우드 시스템 연계 안전성 확보조치 네 번째 필수사항은 금융회사 내부시스템과 클라우드 시스템 연계다. △업무담당자 이외의 사람이 단말기를 무단으로 조작하지 못하도록 조치(제12조제1호) △정보유출, 악성코드 감염 등을 방지할 수 있도록 단말기에서 보조 기억매체 및 휴대용 전산장비에 접근 통제(제12조제4호) △전산실 내에 위치한 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리(제15조제1항제5호) △전화 등 거래수단 성격상 암호화가 불가능한 경우를 제외한 전자금융거래는 암호화 통신을 사용. 단, 전용선을 사용하는 자체 보안성 심의를 실시한 경우는 제외(제34조제1호) △금융회사와 전자금융보조업자 간의 접속은 전용회선(전용회선과 동등한 보안수준을 갖춘 가상의 전용회선을 포함한다) 사용(제60조제1항제5호). △전자금융업무의 처리를 위해 클라우드 내 정보처리시스템과 데이터 송수신이 불가피한 정보처리시스템의 경우, 필요한 서비스번호(포트 Port)에 한해 연결 가능(시행세칙 제2조의2제2항제2호). △자체 위험성 평가를 실시하고, 감독규정 시행세칙에서 정한 망분리 대체 정보보호통제를 적용하고 정보보호위원회 승인 후 이용해야 한다(시행세칙 제2조의2제3항).

5) 암호화 및 키 관리 안전성 확보조치 다섯 번째 필수사항은 암호화 및 키관리다. △금융회사는 암호프로그램에 대해 담당자 지정, 담당자 이외의 이용 통제 및 원시프로그램(Source Program) 별도 보관 등을 준수해 유포 및 부당 이용이 발생하지 않도록 해야 한다(제31조제1항). △금융회사는 암호 및 인증시스템에 적용되는 키에 대해 주입·운용·갱신·폐기에 대한 절차 및 방법을 마련해 안전하게 관리해야 한다(제31조제2항). △비밀번호는 제32조제2호에 따라 이용자 식별부호(아이디), 생년월일, 주민등록번호, 전화번호를 포함하지 않은 숫자와 영문자 및 특수문자 등을 혼합해 8자리 이상으로 설정하고 분기별 1회 이상 변경 등을 준수해야 한다. △금융회사는 정보처리시스템 및 전산 자료에 보관하고 있는 이용자의 비밀번호를 암호화해 보관하며 동 비밀번호를 조회할 수 없도록 해야 한다. 다만 비밀번호의 조회가 불가피하다고 인정되는 경우에는 그 조회 사유·내용 등을 기록·관리해야 한다(제33조제1항). △개인정보보호법, 신용정보보호법, 정보통신망법 등에 따른 중요정보의 저장 및 송수신 시 암호화 조치를 해야 한다.

6) 로깅 안전성 확보조치 여섯 번째 필수사항은 로깅이다. △정보처리시스템의 가동기록은 1년 이상 보존(제13조제1항제11호) △제1항제11호의 정보처리시스템 가동기록의 경우 접속의 성공 여부와 상관없이 자동으로 기록, 유지돼야 한다(제13조제4항). △내부 IP주소 및 외부 IP주소의 인터넷 접속내용을 1년 이상 별도로 기록·보관(제18조제3호) △금융회사 또는 전자금융업자는 정보처리시스템의 장애 예방 및 성능 최적화를 위해 정보처리시스템의 사용 현황 및 추이 분석 등을 정기적으로 실시해야 한다(제25조).

7) 보안 모니터링 및 취약점 분석·평가 다음으로 보안 모니터링 및 취약점 분석·평가를 위한 전자금융감독규정 요구사항은 △주요 정보처리시스템에 대한 구동, 조작 방법, 명령어 사용법, 운용순서, 장애 조치 및 연락처 등 시스템 운영 매뉴얼을 작성해야 한다(제14조제1호). △데이터베이스 관리시스템(Database Management System : DBMS)·운영체제·웹프로그램 등 주요 프로그램에 대해 정기적으로 유지 보수를 실시하고, 작업일, 작업내용, 작업결과 등을 기록한 유지보수 관리대장을 작성·보관해야 한다(제14조제2호). △또한 정보처리시스템 책임자를 지정, 운영해야 하고(제14조제6호) △정보처리시스템의 운영체계, 시스템 유틸리티 등의 긴급하고 중요한 보정(Patch) 사항에 대해서는 즉시 보정작업을 해야 한다(제14조제7호). △이어 해킹 등 전자적 침해행위로 인한 사고를 방지하기 위한 정보보호 시스템을 설치 및 운영(제15조제1항제1호)해야 하고 △해킹 등 전자적 침해행위에 대비한 시스템프로그램 등의 긴급하고 중요한 보정(Patch) 사항에 대해 즉시 보정작업을 실시(제15조제1항제2호)해야 한다. △제1항1호의 규정에 따른 정보보호 시스템 설치·운영을 하는 경우 최소한의 서비스번호(Port)와 기능만을 적용하고 업무목적 이외의 기능 및 프로그램을 제거하는 등의 사항을 준수해야 한다(제15조제2항). △정보보호 시스템에 대해 책임자를 지정, 운영해야 하며, 정보보호 시스템의 운영결과는 1년 이상 보존해야 한다(제15조제3항). 이어 △금융회사는 악성코드 감염을 방지하기 위해 응용프로그램을 사용할 때 악성코드 검색프로그램 등 진단 및 치료 후 사용하는 등을 포함한 대책을 수립·운용해야 한다.

8) 인적 보안 마지막으로 안전성 확보를 위한 필수사항은 인적 보안이다. 인적 보안은 △외부주문 등에 관한 계약을 체결할 때는 계약 내용의 적정성을 검토하고 자체적으로 통제가 가능하도록 회사 내부에 조직과 인력을 갖춰야 한다(제8조제1항제2호). △전산인력의 자질향상 및 예비요원 양성을 위한 교육 및 연수프로그램을 운영해야 한다(제8조제1항제3호).

==========================================================================
[인터뷰] 정영석 금융보안원 DT보안팀 팀장
전자금융감독규정 개정에 따른 클라우드 이용 가이드 핵심내용 4가지

금융회사는 클라우드서비스 이용 시 클라우드서비스 이용 절차를 준수하고 적절한 보안수준을 확보해야 한다. 이에 본지에서는 정영석 금융보안원 DT보안팀 팀장과의 인터뷰를 통해 개정된 ‘금융분야 클라우드컴퓨팅서비스 이용 가이드’와 클라우드 보안에 대해 들어봤다.

▲정영석 금융보안원 DT보안팀 팀장[이미지=금융보안원]

‘금융분야 클라우드컴퓨터서비스 이용 가이드’가 나오게 된 배경은 무엇인가요
클라우드, 빅데이터, 인공지능 등을 활용한 금융업무의 디지털 전환 가속화로 현행 금융보안 규제에 대한 완화가 요구됐어요. 이에 따라 금융위원회는 2022년 4월 15일 ‘금융분야 클라우드 및 망분리 규제 개선방안’을 발표하고, 전자금융감독규정 개정을 추진(2022년 11월 23일 금융위원회 의결, 2023년 1월 1일 시행)했습니다. 금번 ‘금융분야 클라우드컴퓨터서비스 이용 가이드’ 개정은 전자금융감독규정의 클라우드 이용 관련 개정사항을 반영하기 위한 것입니다.

추진 경과를 살펴보면 금융 분야 클라우드 및 망분리 규제 개선방안을 발표(금융위, 2022년 4월 15일)했고, 전자금융감독규정 개정안 규정변경예고 및 향후 추진일정(금융위, 2022년 4월 29일), 클라우드 이용절차 합리화 및 망분리 규제 완화를 위한 ‘전자금융감독규정’ 개정안 금융위 의결(금융위, 금감원, 금보원 합동, 2022년 11월 23일), ‘금융분야 클라우드컴퓨터서비스 이용 가이드’ 배포(2022년 11월 24일)하는 과정을 거쳤습니다.

클라우드 이용과 관련해 금융권에서 꼭 알아야 할 가이드 주요 핵심내용은 무엇인가요
전자금융감독규정 개정에 따라 클라우드 이용 가이드에 반영된 주요 핵심내용은 4가지로 ①업무중요도 평가 기준 수립 ②업무중요도에 따른 이용절차 차등화 ③금융감독원에 대한 보고 절차변경 ④ 클라우드서비스제공자(CSP) 안전성 평가항목 개정입니다.

안전성 평가항목 개정의 주요 내용과 SaaS와 관련된 주요 개정내용은 무엇인가요
안전성 평가항목 개정 관련 주요 내용은 2가지로 ① 평가항목 개정과 ② 평가항목을 필수항목과 대체항목으로 구분되는데요. 첫 번째, 평가항목 개정은 금융 분야 특성을 고려하고 평가항목이 축소·조정되더라도 금융 분야에서 요구하는 보안수준을 확보할 수 있도록 평가항목의 영향도를 판단하고, 이를 기반으로 유사·중복항목을 삭제·조정해, 141개 평가항목을 54개로 개정됐습니다.

두 번째, 평가항목을 필수항목과 대체항목으로 구분한 이유는 금융회사가 클라우드 이용 시 최소한의 보안수준을 확보할 수 있도록 업무 중요도에 따라 평가항목을 필수항목과 대체항목으로 구분됐습니다. 금융회사가 수행한 업무중요도 평가 결과는 중요업무와 비중요업무로 구분됩니다. 중요업무는 필수항목(16개)과 대체항목(38개)을 모두 적용해야 하며, 비중요업무는 대체항목(38개)을 생략할 수 있습니다. 대체항목은 비중요업무 또는 CSP가 국내·외 클라우드 보안인증제(CSA STAR, FedRamp 등)를 보유하고 있는 경우, 금융회사 판단에 따라 평가 생략이 가능합니다.

SaaS와 관련된 주요 개정사항은 현재 금융부문 추가 보호조치 평가항목(32개)은 서비스(IaaS, PaaS, SaaS)에 따라 구분되어 있지 않아, SaaS 서비스를 평가하는데 어렵습니다. 이러한 문제를 해결하기 위해 평가항목을 개정해 서비스(IaaS, PaaS, SaaS)에 따라 평가 가능합니다. 예를 들면 현재 SaaS 서비스의 물리적 기반시설에 대한 평가는 ‘기본보호 조치 항목’에서는 제외되었으나, ‘금융부문 추가 보호조치 항목’에서는 평가를 수행해야 하는 불합리가 존재해 평가항목 개정을 통해 개선됐습니다.

141개에서 54개로 평가항목 개정과 관련해 유사·중복·삭제·추가된 사항은 무엇인가요
기존 기본 보호조치 및 금융부문 추가 보호조치 항목 중 유사·중복 항목에 대한 통·폐합을 실시했습니다, 예로 물리적 보안에 관한 사항, 데이터 보안에 관한 사항 등이 통·폐합되었습니다. 또한, 클라우드 환경변화에 따른 사항들이 항목으로 추가되었습니다.

클라우드 보안 측면에서 금융권 보안담당자들이 어려워하는 점은 무엇인가요
클라우드 보안 역시 안전한 클라우드 환경 구성입니다. 클라우드 기술이 계속 발전함에 따라 환경도 변화하고 있는데요. 최근 클라우드 환경도 하이퍼바이저에서 컨테이너로 옮겨가 는 추세입니다. 그러다 보니 옮겨가는 환경변화에 따른 보안을 어려워합니다. 특히, 가상환경을 노린 공격위협이 발생할 수 있어 조심하고 대비해야 합니다.

금융권에서 가장 많이 발생하는 클라우드 주요 보안위협은 무엇인가요
금융회사에서 이용하는 클라우드와 일반기업에서 이용하는 클라우드가 동일해 최근 발생하는 클라우드 주요 보안위협이 금융회사가 이용하는 클라우드에서도 발생할 수 있어요. 클라우드에서 발생할 수 있는 가장 큰 위협은 이용자의 클라우드 설정 오류로 인한 보안 취약점입니다. 또한, 클라우드 사업자의 인프라 장애도 큰 위협이 될 수 있어요. 인프라 장애로 인해 클라우드 서비스 중단이 될 수 있고, 이를 통해 금융회사의 금전적 손실, 금융회사 고객의 금융서비스 이용 불가 등이 발생할 수 있습니다.
========================================================================

[설문조사] ‘클라우드 보안 솔루션 인식 및 선택기준
클라우드 보안위협: 공격은 랜섬웨어(12.3%), 피해는 데이터 유출(12.3%)이 가장 많아

이처럼 클라우드 이용절차 합리화 및 망분리 규제 완화를 위해 ‘전자금융감독규정’ 개정안이 2023년 1월 1일부터 시행됨에 따라 클라우드 사용이 늘어날 전망이다. 하지만 기업의 클라우드 보안은 쉽지 않다. 클라우드 보안 전문인력 부족과 갈수록 고도화되는 사이버 공격에 대응하기가 쉽지 않기 때문이다. 이에 본지가 보안담당자를 대상으로 2022년 12월 5일부터 12월 15일까지 ‘클라우드 보안 솔루션 인식 및 선택기준에 대한 설문조사’를 실시했다. 먼저 ‘사용 중인 클라우드 서비스 모델’에 대해 응답자 36%가 SaaS를 사용하고 있는 것으로 나타났다.

이어 기업에서 경험한 클라우드를 노린 사이버 공격에 대해 ‘랜섬웨어 공격’이 12.3%로 가장 많았고, ‘디도스 공격’ 6.2%, ‘APT 등 알려지지 않은 신종 사이버 공격’ 5.3%, ‘API 및 가상화 공격을 통한 계정 정보 탈취’ 3.7% 순으로 조사됐다.

▲‘클라우드 보안 솔루션 인식 및 선택기준에 대한 설문조사 결과’[이미지=보안뉴스]

클라우드 보안사고로 인한 피해로는 ‘내부 직원의 직접 또는 비인가자에게 접근 권한 부여를 통한 데이터 유출’이 12.3%로 가장 많았다. 이어 ‘노출된 클라우드 서비스 또는 원격 관리 도구의 취약점을 통한 해킹 공격에 따른 중요 정보 노출’이 9.5%, ‘가상 서버 인터넷 연결 불능’ 9.5%, ‘엔지니어 유지보수 작업 중 실수로 고객 데이터 손실’ 9.1%, ‘엔지니어 DNS 설정 오류로 서비스 장애 발생’ 9.1% 순으로 집계됐다.

▲‘클라우드 보안 솔루션 인식 및 선택기준에 대한 설문조사 결과’[이미지=보안뉴스]

‘클라우드 보안 업무의 어려움’에 대한 설문에서는 ‘사내 보안 전문인력 부족으로 인한 이벤트 대응 한계’가 23.9%로 가장 높은 수치를 기록했다. 이어 ‘가용 예산 한계로 인한 클라우드 보안 솔루션 부족’이 20.2%, ‘클라우드의 전문성과 지식부족으로 인한 사용자의 설정 오류 및 실수’가 19.8%, ‘취약점, 자동화 공격 도구 등을 활용한 신종 사이버 공격’ 13.2% 순으로 나타났다.

▲‘클라우드 보안 솔루션 인식 및 선택기준에 대한 설문조사 결과’[이미지=보안뉴스]

클라우드 분야 주요 보안이슈와 보안위협
메가존클라우드, 78%의 알려진 보안 취약점이 초기 공격 벡터로 활용
메가존클라우드는 ‘2022년 퍼블릭 클라우드 보안 리포트’에서 2022년 금융권 및 기업에서 발생한 대표적인 보안이슈 및 위협을 지목했다. ①36%의 조직이 시크릿 및 개인식별정보(PII : Personally Identifiable Information)와 같은 민감한 정보를 암호화하지 않은 상태로 관리하고 있다. ②공격 경로의 78%는 알려진 보안 취약점(CVE)을 초기의 공격 벡터로 여전히 활용하고 있다. ③7%의 조직은 인터넷에 연결되어 있지 않지만, 서비스형 통신 포트가 오픈되어 있는 자산을 방치하고 있다.

④계정관리가 부실할 경우, 최종 공격 목표에 도달하기 위해 3단계 공격 시도면 충분히 가능하다. ⑤33%의 조직이 멀티 팩터 인증(MFA) 없이 클라우드 서비스 공급자의 루트 계정을 관리하고 있다. ⑥72%의 조직은 공용 읽기 액세스를 허용하는 잘못된 구성의 AWS S3(Simple Storage Service : AWS가 제공하는 온라인 스토리지 서비스) 버킷(데이터 저장소)을 하나 이상 운영하고 있다.

⑦12%의 조직은 인터넷에 연결된 클라우드 워크로드 중 암호 추측이 쉽거나, 유출된 암호가 하나 이상 있는 워크로드를 운영하고 있다. ⑧70%의 조직은 공개적으로 접근할 수 있는 쿠버네티스 API 서버를 운영하고 있다. ⑨58%의 조직은 패치 및 기술지원이 되지 않는 서버리스 AWS 람다 및 GCP 함수의 런타임을 여전히 사용하고 있다. ⑩‘공격침해가 임박한’ 보안 경고를 조치하는 데까지 평균 18일이 소요되고 있다.

베리타스, 클라우드 환경에서도 재해 발생 보안위협 존재
클라우드 환경에서도 카카오 사태와 같이 재해 발생의 보안위협이 존재한다. 금융기관이나 핀테크 등 전자금융사업자는 금융감독원의 전자금융감독규정(2006년)에 따라 재난재해 발생 시 재해복구 시스템을 3시간 이내에 가동해야 한다. 이를 충족하기 위해서는 다양한 비즈니스 연속성 방안이 도입되고 구현돼야 한다. 다만 그 외 기업들은 서비스가 중단되었을 때 비즈니스 영향에 막대한 피해를 입힐 수 있는 보안위협이 존재한다. 재해 발생을 대비하기 위해 재해 복구 인프라를 구성해야 한다.

스카이하이 시큐리티, 클라우드 서비스 직접 연결로 보안이슈 발생
재택근무 환경에서 SaaS, IaaS, 데이터센터의 서비스에 직접적으로 연결해 서비스를 사용함에 따라 다양한 보안이슈가 발생하고 있다. VPN 연결 해제 상태에서는 어떤 사이트라도 접속할 수 있게 되면서 수많은 유해 사이트를 통해 멀웨어가 유입되고 있다. 수많은 클라우드 서비스 연결을 통해 재택근무 시스템의 기업정보가 자의적·타의적 원인으로 유출되고 있으며, 기업이 구매한 SaaS 협업툴(M365, Google Workspace, Workday, JIRA, Confluence, Salesforce, Github 등)에서 의도되지 않은 정보자산 저장 및 공유가 발생되고, IaaS 환경에서도 설정 오류로 인해 정보자산 유출 및 위협 노출 문제가 빈번하게 발생되고 있다.

시만텍, 접근 가능의 편리성이 곧 보안위협
클라우드 보안위협은 첫째, 사무실이나 데이터센터뿐만 아니라 전 세계 어디서든 접근이 가능해져 편리한 반면, 동시에 보안위협도 존재한다는 점이다. 따라서 사용자와 애플리케이션, 데이터에 대한 통제가 필요하다. 둘째, 보안 장비가 다양해지고 복잡해짐에 따라 보안 홀이 발생하며, 컴플라이언스 역시 복잡해져 준수하기 쉽지 않다. 셋째, 갈수록 지능적이고 정교해진 사이버공격의 수법에 따라 기업의 탐지 및 대응이 더욱 어려워지고 있다.

안랩, 클라우드 구성과 설정 오류 지적
많은 클라우드 보안사고가 클라우드 구성이나 설정 오류로 인해 발생한다. 퇴사한 직원의 계정에 권한을 부여한다거나, 특정 서비스 운영 및 관리 권한을 모든 구성원에게 허용하는 등 잘못된 설정으로 보안사고가 야기되곤 한다. 최근엔 제공되는 서버(워크로드)의 형태가 물리 서버와 VM(가상머신)에서 컨테이너, 서버리스 형태 등으로 확장되고 있어 이에 따른 새로운 보안위협이 등장할 것으로 예상된다.

지스케일러, 데이터 침해부터 다양한 보안위협 존재
데이터 침해, 클라우드 보안 아키텍처 및 전략 부족, 계정 도용, 안전하지 않은 API 등 다양한 보안위협들이 존재한다. 특히, 데이터 침해의 경우 굉장히 민감하면서도 반드시 보호해야 하는 사이버 보안 사고에 해당하며, 계정 도용 역시 공격자가 권한이 높은 계정에 접근해 데이터 자산 손실 및 운영 중단과 같은 치명적인 보안사고를 일으킬 수 있다.

클라우드 보안, 도입 시 고려사항
이에 따라 클라우드 보안은 더욱 중요해지고 있다. 하지만 기업에서 클라우드 보안 솔루션 및 서비스 도입이 그리 쉽지 않다. 그렇다면 기업에서 클라우드 보안 솔루션 및 서비스 도입 시 고려해야 할 사항은 무엇일까.
메가존클라우드는 고려해야 할 사항으로 ①클라우드 내의 가장 중요한 자산 파악 ②취약점 패치 ③클라우드 자산 인벤토리 유지 ④최소 특권의 원칙 준수 ⑤중요한 데이터와 키 암호화 ⑥멀티 팩터 인증(MFA) 적용 및 강력하게 암호 관리 ⑦사용되지 않는 자산 제거 ⑧클라우드 자산 생성 및 구성시, 모범 사례 체크리스트 활용 ⑨안전하게 IaC 템플릿 및 컨테이너 이미지 관리 ⑩랜섬웨어에 감염 예방 및 대응 조치를 꼽았다.

베리타스는 클라우드 보안 환경에서 재해 복구를 위한 솔루션 도입시 고려사항을 제시했다. 비즈니스 연속성을 구현하는 방안은 서버를 이중화하는 고가용성(High Availability), 데이터 백업(Backup)과 재해복구(Disaster Recovery) 방법이 대표적인 방법이다. 여기서 중요한 점은 재해복구(DR)나 이중화(HA) 등 기능 도입이 중요한 게 아니라, 어떻게 비즈니스 연속성을 구현할 것인가에 중점을 두는 게 필요하다. 실제로 기업이 원하는 것은 재해복구(DR) 기능 자체가 아니라 궁극적으로는 운영 연속성이 보장되는 것이다. 모든 업무 중요도는 동일하지 않기 때문에 각 업무 중요도에 따라 비즈니스 연속성을 구현할 수 있는 적절한 방법을 고려하는 게 필요하다.

스카이하이 시큐리티는 클라우드 보호 솔루션은 On-prem(윈도우용 온프레미스 버전의 기업용 상용 원격 데스크톱) 보호 솔루션과 다르게 보호할 대상 서비스별로 API 혹은 모듈 연동이 필요하다고 설명했다. 이에 기업이 필요한 고통 영역(Pain Point)의 환경(Instance OS, IAAS, SaaS, 서비스 위치, 접속 위치)을 보호 솔루션이 지원하는지, 고객이 원하는 형태로 보호 기능을 구현할 수 있는지에 대해서 컨설팅을 받아야 한다.

시만텍은 벤더 단일화와 하이브리드 환경에 맞는 통합 보안을 제공하는지 여부와 SASE, XDR, Zero Trust 등 다양한 최신 보안 솔루션 지원 여부 및 향후 전략 제공을 고려해야 한다고 제시했다.

안랩은 CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼) 솔루션 도입 시 고려해야 할 사항으로 ①서비스 운영 환경에 맞춘 도입 ②서비스 영향 최소화 ③클라우드 환경을 고려한 유연한 관리 기능 ④컨테이너 보안 기능을 고려해야 한다고 제시했다. 또한, MSP 도입 시 고려해야할 사항으로 ①통합적인 관점의 관리 서비스 제공 여부 ②컴플라이언스(규제) 이해도, ③컨테이너 기반 시큐리티 아키텍팅(Architecting)과 매니지먼트 역량을 고려해야 한다고 강조했다.

지스케일러는 가장 많은 오해를 하는 것 중 하나가 바로 클라우드 사용시 ‘모든 보안을 알아서 제공할 것’이라고 생각하는 점을 우려했다. 클라우드를 도입하려는 사용자는 도입하려는 클라우드 서비스 범주(SaaS, PaaS, IaaS)에 따라 각기 다른 책임공유모델에 대해 인지하고 있어야 한다는 것. 예를 들어 IaaS의 경우 Data, Application, OS 등은 사용자의 책임에 해당되며 SaaS의 경우 데이터 부분만 사용자 책임에 해당된다. 이런 차이로 인해 책임공유모델을 인지하고 관리해야 한다고 설명했다.

[이미지=안랩]

[클라우드 보안 대표 솔루션 집중분석-1]
클라우드 MSP에 강력한 보안을 더하다: ‘AhnLab Cloud’
단 하나의 컨택 포인트로 클라우드 구축부터 운영 및 보안까지 원스톱 해결

클라우드로의 전환이 가속화되면서 운영과 관리에 중점을 둔 전통적인 MSP의 역할을 뛰어넘어 마이그레이션과 운영뿐만 아니라 온프레미스 수준 이상의 보안이 중요한 이슈로 떠오르고 있다. 특히, 금융이나 공공 기관에서도 클라우드 사용이 가능해지면서 기존의 MSP 역할에 보안 역량을 갖춘 ‘시큐어 MSP(Secure Management Service Provider)’에 대한 요구가 증가하고 있다.

안랩은 보안 특화 클라우드 관리 서비스 ‘안랩 클라우드(AhnLab Cloud)’를 통해 ‘시큐어 MSP(Secure Management Service Provider)’로서의 역할을 충실히 이행하고 있다. ‘안랩 클라우드’는 클라우드 설계부터 구축과 운영까지 모든 단계에서 보안에 최적화된 클라우드 관리 역량을 ‘원스톱’으로 제공한다. 이는 안랩이 지난 25년간 축적해온 보안 기술력과 노하우가 집약된 보안 프레임워크를 기반으로 구현된다.

‘안랩 클라우드’의 원스톱 서비스는 △환경 설정, 운영 최적화 등 고객 클라우드 환경 전반에 가이드를 제공하는 ‘클라우드 구축 및 정보보호 컨설팅’ △운영, 장애, 보안관리 등 ‘매니지드 서비스’ △24X365 보안 상황을 모니터링하고 대응할 수 있는 ‘클라우드 보안관제’ △
기술지원 등 클라우드 도입과 운영 시 사용자가 고려해야 하는 필수 요소를 모두 제공하고 있다.

구축, 운영, 보안 3박자 균형을 이루는 안정적인 클라우드 환경
‘안랩 클라우드’는 컨설팅 단계서부터 자사의 보안 프레임워크에 기반해 클라우드 구축 방안을 도출하고, 보안 컴플라이언스를 빠짐없이 반영해 고객의 비즈니스 모델에 최적화된 서비스 아키텍처를 수립한다. 이를 통해 고객은 구축, 운영, 보안 3박자가 균형을 이루는 체계적이고 안정적인 클라우드 환경에서 단 하나의 컨택 포인트로 클라우드 관리에 필요한 요소들을 모두 해결하는 편리함까지 누릴 수 있게 된다.

특히 보안 측면에서 ‘안랩 클라우드’는 클라우드 보안관제와 클라우드 보안 솔루션을 활용해 자동화된 모니터링과 즉각적인 침해 대응 체계를 갖추고 있다. 이를 통해 보안 최적화뿐만 아니라 전체적인 클라우드 사용성 및 안정성을 제고 할 수 있다. 최근 클라우드 보안 침해의 주요 원인으로 지목되고 있는 ‘설정 오류’ 등 운영 실수로 인한 보안 사고도 예방할 수 있다. 기존에 클라우드를 도입해 운영하고 있는 고객도 ‘안랩 클라우드’를 이용해 클라우드 보안을 강화하거나 재구축할 수 있다.

▲Symantec Enterprise Cloud 아키텍처[이미지=시만텍(이테크시스템)]

[클라우드 보안 대표 솔루션 집중분석-2]
시만텍, Gartner의 CSMA를 위한 최고의 선택
‘Symantec Enterprise Cloud’, 데이터 중심의 하이브리드 통합 보안 솔루션

‘Symantec Enterprise Cloud’는 제어 지점 전반에 걸쳐 인텔리전스를 통합해 조직이 인프라 전체에서 최신 세대의 위협을 탐지, 차단 및 해결할 수 있도록 한다. 또한 원격 장치에서 온프레미스 데이터센터, 클라우드 배포 애플리케이션에 이르기까지 ‘Symantec Enterprise Cloud’는 세계 최대의 다국적 기업이 직면한 중요한 사이버 보안 문제를 해결한다.

인프라 전반의 일관된 규정 준수
‘Symantec Enterprise Cloud’는 모든 주요 컴플라이언스 규정에 대해 사전 구축된 템플릿을 제공하며 엔터프라이즈 데이터가 있는 곳(사설 데이터 센터의 온프레미스 또는 클라우드) 어디에서나 컴플라이언스 정책을 적용할 수 있다.

Broadcom 포트폴리오의 시만텍 제품은 사전 구축된 템플릿을 지원한다. 즉, 규정 준수 제어를 조직 전체에 일관되게 적용할 수 있으며 단일 거버넌스 팀이 모든 데이터 위험을 관리하고 단일 플랫폼에서 감사를 수행할 수 있다. 또한 고급 정책 엔진을 사용해 회사별 정책을 시행할 수 있다. 중요한 데이터를 조직 외부로 복사하려는 시도 차단, 직원이 알 수 없는 웹 사이트를 방문할 때 추가 보안 제공 또는 무단 도메인에 대한 액세스 금지와 같은 조직 정책은 모두 ‘Symantec Enterprise Cloud’를 사용해 시행할 수 있다.

직원별로 정책을 적용하고 단일 플랫폼에서 일관되게 관리할 수 있다. 조직이 온프레이스 환경에서 클라우드로 이동할 때 기존 정책 적용을 온프레미스에서 클라우드 기반 적용으로 쉽게 마이그레이션(이관)할 수 있다.

규정 준수 제어는 조직 전체에 일관되게 적용될 수 있으며 단일 거버넌스 팀이 모든 데이터 위험을 관리하고 온프레미스 적용 지점에서 클라우드 기반 적용으로 마이그레이션된 단일 플랫폼에서 감사를 수행할 수 있다.

안전한 원격 작업
복합적인 요인으로 인해 대기업은 원격 근무자에게 중요한 리소스에 대한 보안 액세스를 지원하는 동시에 이러한 원격 근무자에게 긍정적인 사용자 경험을 보장하기가 그 어느 때보다 어려워졌다.

오늘날 기업의 데이터는 기업 소유의 데이터센터, 퍼블릭 클라우드, 타사 SaaS 앱 등이 어디에나 존재하며 종종 기업의 직접적인 통제 범위 밖에 있다. 게다가 오늘날의 현대 기업에서는 엔터프라이즈 네트워크의 내부 또는 외부에 대한 기준이 더이상 존재하지 않으며 이 경계는 영원히 사라졌다. 또한 중요한 기업 자산에 접근하는 것은 직원만이 아니다. 계약자, 타사 공급업체 및 파트너(대부분 기업에서 제어하지 않는 장치에 연결)는 모두 작업을 수행하기 위해 기업 데이터 및 애플리케이션에 안전하고 효율적으로 연결해야 한다.

‘Symantec Enterprise Cloud’는 온프레미스와 클라우드 모두 사용자, 장치, 네트워크, 애플리케이션 및 데이터의 전체 스펙트럼에 대한 가시성을 제공한다.

어디에서나 데이터 및 위협 보호
표적 랜섬웨어의 확산, 소프트웨어 공급망을 통한 공격, 합법적인 소프트웨어를 활용해 추적을 숨기는 공격(Living off the Land 공격이라고도 함)은 보안 운영팀을 더욱 어렵게 한다.

‘Symantec Enterprise Cloud’는 세계 최대의 민간 보안위협 인텔리전스 네트워크 중 하나인 GIN(Global Intelligence Network)을 제공한다. 11조 개가 넘는 보안 원격 분석 요소에 인공 지능을 적용한 ‘Symantec Enterprise Cloud’는 엔드포인트, 네트워크, 이메일 및 클라우드 애플리케이션 전반에 걸쳐 탁월한 가시성을 제공하므로 일반적인 방법으로는 탐지하기 어려운 지능형 공격을 발견, 차단 및 해결할 수 있다.

‘Symantec Enterprise Cloud’는 위협 원격 분석 및 인텔리전스를 서로 공유한다. 하나의 웹 프록시를 통해 조직에 침투하려는 새로운 위협을 발견하면 이 정보를 모든 프록시 고객과 자동으로 공유하고, 모든 엔드포인트와 이메일에 보안 패치를 배포한다. 각 제품은 나머지 부분을 개선하고 고급 분석과 결합된 대규모 데이터 레이크를 통해 고객은 은밀한 공격도 찾을 수 있다.

▲오르카 클라우드 시큐리티 플랫폼[이미지=메가존클라우드]

[클라우드 보안 대표 솔루션 집중분석-3]
메가존클라우드, ‘2023년 클라우드 보안을 위한 10대 필수 권장사항’ 발표
MSSP-as-a-MSP로서 클라우드 보안 강화를 위한 기준점 제시

글로벌 팬데믹 이후 뉴노멀 시대의 회복 탄력성에 적응하기 위해 조직은 직원들이 언제 어디서나 중단없이 안전하게 비즈니스를 수행할 수 있도록 요구해 왔으며, 이에 따라 보안위협 환경이 더욱 확장되어 기업에서 운영하는 멀티 클라우드를 위한 포괄적인 보안 전략이 더욱 중요하게 되었다.

메가존클라우드, ‘2023년 클라우드 보안을 위한 10대 필수 권장사항’
클라우드 서비스 공급자를 통해 클라우드 인프라, 플랫폼을 채택한다 하더라도 조직은 여전히 클라우드에서 실행하는 애플리케이션 및 서비스를 위한 보안을 담당해야 한다. 클라우드에 보안솔루션을 구축하는 것은 클라우드 특유의 민첩성에 기반해 도입 초기엔 쉬워 보였지만, 조직이 더 많은 클라우드 네이티브 애플리케이션과 서비스를 출시함에 따라 조직 내의 클라우드 인프라 운영팀, 개발팀, 보안팀은 근본적인 보안 문제에 주목하기 시작했다.

클라우드 보안 솔루션 및 서비스를 도입해 클라우드 공격 영역을 줄이고 보안 환경을 더욱 강화하려는 조직을 위해 메가존클라우드는 ‘2023년도 클라우드 보안을 위한 10대 필수 권장 사항’을 제시한다.

1. 클라우드 내의 가장 중요한 자산에 주목하라
클라우드 보안 전략의 첫 번째 단계는 비즈니스에 관련된 모든 자산과 중요한 데이터가 포함되어 있는 클라우드 자산을 식별하는 것이다. 이러한 자산은 조직내에서 항상 최고의 보안 기준에 의해 보호돼야 한다.

2. 패치하고, 패치하고, 패치하라
알려진 보안취약점이 있는 시스템은 가능할 때마다 최신 패치를 적용해야 한다. 모든 취약점을 실시간으로 패치하는 것은 불가능하므로, 어떤 보안취약점이 잠재적으로 위험한 공격 경로를 활성화하는지 파악하고, 우선순위에 따라 비즈니스에 영향 없이 패치를 적용해야 한다.

3. 클라우드 자산 인벤토리를 유지하라
방치되어 있는 자산을 포함해 기운영하고 있는 클라우드 모든 자산의 보안 취약성 상태를 알고 있어야, 패치 적용 가능 여부를 결정할 수 있다. Log4j 취약점은 제로데이 위협을 신속하게 패치하고 완화하기 위해 클라우드 자산의 인벤토리 관리 및 유지가 얼마나 중요한지 역설하는 사례였다.

4. 최소 특권의 원칙을 준수하라
관리자 권한은 정말 필요한 사용자에게만 부여하고, 일반 사용자가 자신의 권한을 높이거나 새 계정을 만들 권한이 없는지 확인하고 지속적으로 관리해야 한다.

5. 중요한 데이터와 키를 암호화 하라
중요 자산에 대한 암호화를 사용해 데이터 및 키 노출의 영향을 최소화해야 한다.

6. 멀티 팩터 인증(MFA) 적용하고, 강력하게 암호를 관리하라
항상 멀티 팩터 인증(MFA) 적용에 노력을 기울이고, 강력하고 유니크 한 암호(대·소문자, 숫자, 특수 문자 등)를 사용하며, 암호 변경 순환 주기를 따르도록 해야 한다.

7. 사용되지 않는 자산을 제거하라
더이상 사용되지 않는 사용자, 파일 또는 시스템은 즉시 또는 주기적으로 삭제해야 한다.

8. 클라우드 자산 생성 및 구성시, 모범 사례 체크리스트 활용하라
인프라 운영 인력의 실수 및 오류를 최소화하기 위해 클라우드 자산, 리소스를 생성 및 구성하고 온-보딩, 오프-보딩 사용자를 구성할 때, 항상 모범 사례 기반의 체크리스트를 사용해야 한다.

9. 더욱 안전하게 IaC 템플릿 및 컨테이너 이미지를 관리하라
IaC(Infrastructure as Code) 템플릿 및 컨테이너 이미지에 잘못된 구성 및 기타 위험이 있는지 확인해 관련 취약점이 클라우드 운영 환경에 반복적으로 복사되지 않도록 해야 한다.

10. 랜섬웨어에 대해 더욱 적극적으로 대응하라
피해자 입장의 기존 소극적인 사후 대처 방식이 아닌 랜섬웨어 공격 메커니즘의 풀사이클을 이해해 사전에 랜섬웨어 공격 시도를 감지하고 랜섬웨어 감염시에도 공격자에게 몸값을 지불하지 않고 단지 몇 시간 만에 복원할 수 있는 전문 솔루션을 도입해야 한다.

메가존클라우드, 에이전스리스 CNAPP 솔루션 ‘오르카 시큐리티’ 국내 론칭
메가존클라우드가 2023년 국내시장에 본격 론칭한 ‘오르카 시큐리티’는 다종다양한 인스턴스에 에이전트를 설치, 배포할 필요 없이, 실제 클라우드 운영 환경에 영향을 주지 않고 몇 분 만에 클라우드 보안관리를 시작할 수 있다. 에이전트 기반 솔루션에 비해 획기적인 시간 단축과 운영 비용을 절감하며 포괄적인 클라우드 보안 및 규정 준수를 실현할 수 있다.

‘오르카 시큐리티’는 클라우드 및 소프트웨어 개발 생명주기 전체에 걸쳐 클라우드 서비스 보호 방안을 제공하는 ‘클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)’을 통해 에이전트 없이 AWS, MS Azure, Google Cloud, Oracle Cloud, Alibaba Cloud 등에 대한 풀스택의 심층적인 가시성을 보장한다. 단일 플랫폼 라이선스를 통해 클라우드 워크로드 보호를 위한 CWPP, 클라우드 보안 형상 관리를 위한 CSPM, CI·CD 파이프라인 관리를 위한 Shift-Left 보안을 함께 제공하기 때문에 여러 보안솔루션을 별도로 운영할 필요가 없다.

또한 멀티 클라우드의 전체 자산(VM, 컨테이너, K8s, 서버리스 함수 등)에 대한 각종 취약성 파악, 인벤토리 관리, 계정·권한 모니터링, 멀웨어 탐지, 공격 경로 분석, API 보안, 패치 관리 등을 통합 지원해 한 번의 구동으로 통합적인 클라우드 보안 구현이 가능하고 지속적으로 컴플라이언스를 관리할 수 있다.

[이미지=지스케일러(엑스퍼넷)]

[클라우드 보안 대표 솔루션 집중분석-4]
‘지스케일러’ SSE 보안 플랫폼으로 제로 트러스트 기반 보안 제공
언제 어디서나 일하는 환경, SSE로 보안 서비스 제공

최근 보안 시장의 가장 뜨거운 화두는 SASE(Secure Access Service Edge)를 재정의 한 SSE(Security Service Edge)이다. SSE는 기업의 인터넷을 이용하는 트래픽을 보호하기 위한 SASE 프레임워크에서 WAN 부분을 제외하고, 주요 보안 서비스 중심으로 재정의 한 것이다. (가트너 SSE MQ참조).

SSE는 적절한 권한을 가진 사용자 또는 워크로드가 기업의 IT 통제하에 애플리케이션 및 서비스에 안전한 방식으로 접근할 수 있도록 하는 서비스 모델이다. 지스케일러 ‘Zero Trust Exchange’는 세계 최대 규모의 SSE 보안 플랫폼 글로벌 리더로서 대한민국을 포함 전 세계 150개 데이터센터를 직접 운영하고 있다. 이를 통해 WFA(Work From Anywhere) 서비스, 즉 시간, 장소, 네트워크에 상관없이 사용자에게 안전한 인터넷·클라우드·자사데이터센터 연결을 제공하고 있다.

클라우드 보안 전문성으로 SSE·SASE 제공
지스케일러는 전 세계 150개 데이터센터에 구축한 세계 최대 보안 플랫폼을 통해 하루 2000억 개 이상 리퀘스트를 처리하고, 70억 개 이상 보안정책 위반을 방지하며 매일 실시간으로 20만 개 이상의 보안 업데이트를 실시한다. 이를 통해 비용 및 복잡성 감소, 뛰어난 사용자 환경 보장, 인터넷 공격 표면 제거, 위협의 내부 전파 등 다양한 장점을 제공한다.

지스케일러 ‘Zero Trust Exchange’는 어플라이언스 중심이 아니라 클라우드 기반 서비스 아키텍처로 설계된 보안 플랫폼으로, 증가하는 SSL 트래픽 처리를 위한 확장 가능한 프록시 구조를 채택했다. 네트워크 중심의 보안이 아닌 사용자 중심의 ZTNA를 구현하며, 사용자 위치와 무관한 빠르고 일관된 보안 환경을 제공한다. 또한 SSE의 핵심 기능인 SWG(Secure Web Gateway), CASB(Cloud Access Security Broker), ZTNA(Zero Trust Network Access), FwaaS(Firewall as a Service), 데이터 보호, 웹 격리 등을 가장 완성도 있게 통합해 지원한다.

사용자 중심의 통합 보안과 디지털 경험 제공
지스케일러는 사용자를 네트워크가 아닌 애플리케이션에 직접 연결해 보안위협을 줄이고, 최종 사용자 경험 관리까지 통합해 다양한 형태의 업무 환경에서도 생산성에 영향 없이 중앙 집중화된 통제가 가능하도록 한다.

사용자를 인터넷의 고도화된 위협으로부터 보호하는 ‘ZIA(Zscaler Internet Access)’, ZTNA 기반으로 VPN을 개선하는 ‘ZPA(Zscaler Private Access)’, 사용자의 애플리케이션 접속에 대한 가시성을 제공해 사용자 경험을 개선하는 ‘ZDX(Zscaler Digital Experience)’를 전 세계에 분포된 클라우드 엣지를 통해 제공한다.

지스케일러는 ‘Zero Trust Exchange’ 플랫폼을 통해 모든 사용자와 업무 환경을 보호하면서 실시간 처리를 보장하고, 전 세계 대표 산업군 고객에게 서비스를 제공하고 있다. 또한 모든 보안 서비스에 AI를 접목해 완벽하게 자동화된 보안 운영을 지원할 계획이다.

[클라우드 보안 대표 솔루션 집중분석-5]
‘Skyhigh SSE’, 재택근무 환경 보안 표준의 리더가 되다
변화하는 재택근무 환경, 필요한 모든 보안을 하나의 솔루션으로 제공

클라우드 서비스와 함께 재택근무가 일반화되면서 기존의 보안솔루션으로는 대응하지 못하는 위협이 많이 발생하고 있다. 기존에는 기업 네트워크 백본(Back Bone)에 모든 보안을 집중시켰다면, 이제는 인터넷, 클라우드 서비스, 클라우드 인프라의 연결점과 각각의 서비스에 대해서도 보안을 고려해야 한다. 가트너에서는 새로운 업무 환경에 필요한 보안을 통합 제공하는 SSE(Security Service Edge)라는 새로운 모델을 제시했다.

SSE에는 인터넷 연결점에 필요한 모든 보안을 제공하는 SWG(Secure Web Gateway), 개별 SaaS에 대한 보안을 제공하는 CASB(Cloud Access Security Broker), 기업 자체 서비스에 대한 지속적인 접근제어를 제공하는 ZTNA(Zero Trust Network Access)로 구성된다. 2022년 2월 처음 발표된 가트너 SSE 매직 쿼트런트에서 Skyhigh Security(구 McAfee Enterprise)의 SSE 솔루션은 모든 기능을 완비한 리더 그룹 제품으로써 SSE 핵심 사용 사례 4가지 전 분야에서 1위로 평가되었다. 이 핵심 사용 사례는 1.안전한 웹과 클라우드 사용, 2.위협 완화, 3.재택근무 환경 보호, 4.민감데이터 구분 및 보호를 포함하고 있다.

인터넷 연결점에서 모든 보안기능을 제공하는 SWG
‘Skyhigh Security Service Edge(이하 SSE)’ 솔루션은 인터넷에 연결되는 중간 역할을 수행해 위협을 대응할 수 있는 다양한 보안 기능을 제공한다. 멀웨어 차단, 제로데이 공격방어, SSL 복호화, 네트워크 DLP, SSL 복호화, 웹격리, 유해 사이트 차단, Shadow IT 제어, 방화벽, IDS 등 필요한 모든 기능을 하나의 직관적인 UI에서 제공해 재택근무 환경에서 클라우드 서비스를 사용함에 있어 필요한 모든 보안 요소를 All-InOne으로 제공한다.

외부로부터 유입되는 위협을 막고 기업의 중요정보가 유출되는 것을 막는 필수적인 보안 기능 외에도 변화된 업무 환경에서 보안관리자가 필수적으로 고려해야 하는 부분이 클라우드 서비스 사용에 대한 가시성 확보다.

‘Skyhigh SSE’에서는 35,000여 개의 클라우드 서비스 DB를 통해 기업에서 발생하는 모든 트래픽 정보를 통해서 클라우드 서비스 사용 상태, 위험 노출 사이트 및 위험한 사용자를 구분할 수 있으며, 그룹별, 개별 서비스별로 세밀한 활동 기반 제어가 가능하다. 예를 들어, Github, Gitlab, Notion, JIRA, Confluence, Slack과 같은 개별 SaaS 서비스에 대해 사외에서 접속 시에만 다운로드 및 특정 활동을 차단하거나, URL 카테고리별로 모든 사이트에 대해 다운로드를 차단하거나, 월간 Top 10 위험 노출 사용자를 추출하는 형태의 다양한 모니터링 기능을 제공한다.

글로벌 No.1 CASB
Skyhigh Security의 CASB 솔루션은 CASB 개념을 확립한 제품으로, 단순한 형태의 제어 기능을 제공하는 경쟁사 제품에 비해 Endpoint DLP 수준의 상세한 제어 정책을 제공한다. 업계 최대의 40개 이상의 SaaS에 대한 상세 모니터링과 제어 기능을 제공하며, IAAS, SaaS, Data 센터에서 운영되는 서비스에 대해서도 Custom App 형태로 Activity 모니터링과 DLP기능을 제공한다. 가장 진보된 API 연결을 통해서 Activity 모니터링(사용자의 활동 모니터링), 개인 정보 클라우드 공유 차단, 파일 공유 제어 차단 기능을 통해서 고객이 사용하는 SaaS에 대해 추가적인 모니터링과 제어 기능을 제공한다. 이를 통해서 사용자가 자발적·비자발적인 위협 행동을 모니터링·차단할 수 있으며, 이전 활동에 대해 감사자료도 생성할 수 있다. CASB와 SWG를 통합적으로 사용하면 클라우드 사용에 대한 활동 모니터링을 수행하고, 핵심 SaaS 서비스에 대한 보안 컴플라이언스를 확립할 수 있다.

SWG, CASB와 동일 보안 기술이 적용된 ZTNA
‘Skyhigh SSE’ 솔루션은 기업 내부 서비스에 접속하는 사용자를 검증하고 기업의 보안 컴플라이언스를 유지할 수 있는 진보된 ZTNA(Zero Trust Network Access) 기능을 제공한다. 접속 디바이스와 접속 대상 서버간 암호화 터널을 생성해 접속하는 사용자 계정, 위치, 그룹, 접속 디바이스 상태(OS, 백신, 방화벽, 인증서 등)를 지속적으로 확인해 인증된 사용자가 인증된 디바이스에서 인가된 상태로 접속 시에만 인가된 내부 서비스에만 접속을 허용한다.

또한 ‘Skyhigh SSE’의 보안 모듈을 공유하므로 동일한 Zero-Day 공격방어(백신), DLP(데이터 유출 방지), 이미지 인식(OCR), 웹격리 기능 사용이 가능하다. 예를 들어 개인 아이폰에서 접속하는 사용자에 대해서는 웹격리 형태의 읽기 전용 형태로만 내부 서비스를 사용할 수 있도록 적용이 가능하다.

[이미지=베리타스]

[클라우드 보안 대표 솔루션 집중분석-6]
비즈니스 연속성 확보 위한 솔루션, 베리타스 ‘InfoScale’
서비스 장애로 인한 재해복구, ‘비즈니스 연속성’ 보장이 관건

최근 한 데이터센터 화재로 인해 국내 메신저 시장 점유율 90%에 달하는 메신저 서비스와 다수의 계열사 플랫폼 서비스가 지연되거나 먹통이 되는 사태가 벌어졌다. 주요 서비스 복구에만 10시간 이상 소요된 일상이 마비되는 사고였다. 이 사건으로 인해 그 어느 때보다 재해복구(DR)에 대한 관심이 높다. 재해복구 시스템은 재난, 재해로 인해 소실될 위험에 데이터를 백업해 저장하고 자동으로 복구하는 장치로, 일반적으로 데이터센터와 다른 곳에 둔다. 같은 데이터센터 내에서 데이터를 백업해 두는 이중화보다는 한발 더 나아가, 장소를 이원화하는 개념이다.

비즈니스 연속성을 위한 서버 이중화와 재해 복구 전문 솔루션, ‘InfoScale’
베리타스는 비즈니스 고가용성 솔루션인 ‘베리타스 인포스케일’ 및 엔터프라이즈 데이터 관리 솔루션인 ‘베리타스 넷백업’ 등을 통해 국내의 주요 미션 크리티컬 애플리케이션의 서비스 보호를 제공하고 있다. ‘InfoScale’은 중요 서비스의 비즈니스 연속성을 위한 서버 이중화(High Availability)와 재해 복구(Disaster Recovery) 전문 솔루션으로서, 공공, 제조 및 헬스 등 주요 서비스의 이중화에 공유 파일 시스템 기반 클러스터가 포함돼 적용되고 있다.

재해복구 관점에서 ‘InfoScale’은 안정적이고, 비용 측면에서 효율적인 방식의 재해복구 구성을 위한 방안들을 지원한다. 고가용성을 제공하고 재해복구 기능을 확장한다. 재해복구 센터의 실시간 데이터 복제를 지원하기 위한 방법으로서, 스토리지 이중화 미러, 내장 디스크 미러와 IP 기반의 복제 기능을 공급하고 있다. 서비스 이중화 구현 시 운영 센터와 재해 복구 센터 자동 전환을 지원하기 위한 로컬 클러스터 모델 뿐만 아니라 글로벌 클러스터 모델도 지원한다.

베리타스, 비즈니스 연속성 확보 위한 솔루션 제공
베리타스는 서비스 중요도, 서비스 레벨 요구 사항에 따라서 적절한 서비스 연속성을 구현하는 아키텍쳐를 제공한다. 서버 이중화, 재해 복구, 데이터 백업을 기존 온 프레미스부터, 클라우드 인프라까지 서비스연속성을 위한 통합 포트폴리오를 가지고 있는 전문 업무 연속성 및 재해 복구 솔루션을 공급하고 있다.
[김경애 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)