[한국정보공학기술사 보안을 論하다-18] 하이브리드 메시 보안 관제를 위한 전략: CNAPP과 XDR

SaaS 형태의 XDR과 연계한 하이브리드 메시 보안관제 필요성 커져

[보안뉴스= 박인상 기술사/이글루코퍼레이션] 금융기관, 공공기관 등 많은 기관이 전통적인 비즈니스 환경인 온-프레미스(On-Premise)에서 클라우드 중심으로 변화하고 있다. 온-프레미스와 퍼블릭 클라우드를 조합한 하이브리드 클라우드로 운영하거나 다수의 퍼블릭 클라우드를 조합한 멀티 클라우드로 운영하는 등 비즈니스에 가장 적합한 서비스를 이용하는 형태로 복잡하게 변화하고 있다. 이는 보안 환경의 변화에도 큰 영향을 끼치고 있다.

[자료: gettyimagesbank]

클라우드 전환에 따른 보안 환경의 변화
전통적인 보안은 방화벽(Firewall), 침입탐지시스템(IDS: Intrusion Detection System), 침입방지시스템(IPS: Intrusion Prevention System), 웹 애플리케이션 방화벽(WAF: Web Application Firewall)과 같은 경계보안 장비 중심이다. 그러나 클라우드는 온프레미스와는 달리 개방적인 네트워크 환경으로 온-프레미스에 SOC를 구축하여 보안체계를 구성하는 전통적인 방식과는 달라진다.

클라우드 환경은 방화벽, IDS, IPS, WAF의 경계 보안 방식이 아닌 가상머신, 컨테이너, IAM(Identity and Access Management) 등 가상 인프라를 위한 보안이 요구된다. 또한 클라우드에서는 온-프레미스에 비해 네트워크에 대한 접근이 자유롭기 때문에 제로 트러스트(Zero Trust) 모델도 요구된다. 제로 트러스트는 ‘Never Trust, Always Verify’로 아무도 믿지 않는다는 전제로 사용자가 클라우드 리소스에 대한 사용을 요청하면 철저한 신원을 검증하고 최소한의 권한만 부여하는 방식이다.

▲제로트러스트 개념도 [자료: 제로트러스트 가이드라인 2.0]

최근 금융위원회는 생성형 AI와 SaaS(Software as a Service) 서비스를 사용할 수 있도록 물리적 망분리에서 논리적 망분리로 규제를 개선했고, 국가정보원에서는 공공 망분리 규제 완화 방안으로 국가 망 보안체계(National Network Security Framework: N2SF) 를 발표했다. 공공 분야에서도 클라우드 도입이 확대될 것으로 예상됨에 따라 SaaS 활용 및 생성형 AI를 사용함에 따른 보안 대비가 필요하다.

클라우드 네이티브 보안 플랫폼 CNAPP(Cloud Native Application Protection Platform)
클라우드 환경은 VM(Virtual Machine)을 기반으로 한 IaaS(Infrastructure as a Service)에서 컨테이너(Container) 기반의 PaaS(Platform as a Service)로 확장되고 있다. PaaS는 클라우드 네이티브(Cloud Native) 환경으로, MSA(Micro Service Architecture), 컨테이너, DevOps, CI/CD 같은 클라우드 네이티브 기술이 점차 다양한 분야에서 활용되고 있다. 클라우드 전환의 이점인 유연성·가용성·확장성 등을 극대화하고자 클라우드 네이티브(Cloud Native) 기술을 도입하는 조직이 늘어나면서, 클라우드 네이티브 애플리케이션의 보안성을 강화할 수 있는 보안 플랫폼의 필요성이 높아졌다.

▲클라우드 네이티브 [자료: 박인상 기술사]

최근 클라우드 네이티브 보안 플랫폼 기술로 CNAPP(Cloud Native Application Protection Platform)가 주목받고 있다. CNAPP는 클라우드의 보안 및 모니터링을 위한 기술로, 2021년 가트너(Gatner)에 의해 처음 소개됐다. CNAPP는 클라우드 보안 위협을 방지하고 대응하며, 보안 및 규정 준수 기능을 통합적으로 제공하는 플랫폼이다.

CNAPP의 대표적인 핵심 기술에는 △클라우드 보안 태세 관리(CSPM: Cloud Security Posture Management) △클라우드 워크로드 보호(CWPP: Cloud Workload Protection Platform) △클라우드 인프라 권한 관리(CIEM: Cloud Infrastructure Entitlement Management)이며, 이외에도 IaC(Infrastructure as Code), Artifact Scanning, API Scanning 등이 있다.

▲CNAPP Detailed View [자료: Gartner]

클라우드 보안 태세 관리인 CSPM(Cloud Security Posture Management)은 클라우드 환경에서의 잘못된 구성과 보안 위험을 식별하고 해결하는 데 중점을 둔 보안 관리 도구이다. 주로 잘못된 구성(Misconfiguration), 과도한 권한 설정, 비인가 접근, 데이터 노출 등과 같은 보안 취약점을 찾아내 조직이 클라우드 환경에서 발생할 수 있는 보안 사고를 사전에 방지할 수 있도록 지원한다. 클라우드 인프라에 대한 가시성을 제공하고, 규정 준수 위반을 탐지하며, 문제를 자동화된 방식으로 해결한다.

최근 컨테이너 환경에 대한 보안이 중요해 지면서 Kubernetes 환경에서 보안 태세를 관리하는 도구인 KSPM(Kubernetes Security Posture Management)이 중요해지고 있다. CIS Kubernetes Benchmark는 Kubernetes 클러스터의 보안을 강화하기 위한 필수 보안 기준을 제시한다. 또한 워크로드 상에서 존재하는 민감한 데이터에 대해 보안 태세를 관리하기 위해 DSPM(Data Security Posture Management)이 사용된다. DSPM은 민감한 데이터를 식별하고, 데이터 보안 취약점 및 규정 준수 위험을 평가한다.

클라우드 워크로드 보호 플랫폼인 CWPP(Cloud Workload Protection Platform)는 클라우드 소프트웨어 내부의 보안 위협을 감지하고 제거하는 도구이다. CWPP는 퍼블릭 클라우드의 가상머신, 컨테이너 등 다양한 인프라의 광범위한 워크로드를 모니터링 및 보호하는 기능을 제공한다. CWPP는 모든 유형의 인프라의 워크로드에서 발생하는 멀웨어(Malware), 취약점 등의 위협을 감지하고 제거한다.

클라우드 인프라 권한관리인 CIEM(Cloud Infrastructure Entitlement Management)은 클라우드 환경에 대한 사용자 권한 관리 프로세스를 자동화하는 솔루션이다. CIEM을 통해 조직은 멀티 클라우드 전반에 일관된 액세스 제어 및 제로 트러스트 정책을 구현하는 문제를 보다 효과적으로 해결할 수 있다.

인프라를 코드로 관리하는 IaC(Infrastructure as Code)는 클라우드 환경에서 서버, 네트워크, 데이터베이스 등의 리소스를 코드화하여 자동화하고 일관되게 운영할 수 있도록 한다. IaC는 수동 설정 과정에서 발생할 수 있는 오류를 줄이고, 인프라 변경을 보다 신속하게 적용할 수 있도록 도와준다. IaC Scanning은 코드화된 인프라의 보안 및 구성 오류를 자동으로 검토하여 잠재적으로 위험 요소를 조기에 발견한다. 이는 인프라의 품질과 보안을 강화하여 안정적인 운영을 도모한다. IaC Scanning은 CI/CD 파이프라인에서 실행되며, 인프라 정의 파일을 알려진 취약점을 확인한다.

아티팩트 스캐닝(Artifact Scanning)은 소프트웨어 개발 및 배포 파이프라인 내에서 생성되는 다양한 아티팩트를 대상으로 보안 취약점, 구성 오류, 라이선스 문제 등 잠재적인 위험 요소를 식별하고 분석한다. 아티팩트는 소스 코드가 컴파일되거나 패키징되어 만들어진 최종 산출물로 단순 실행 파일, 라이브러리, 컨테이너 이미지, 바이너리 파일, 구성 파일 등 다양한 형태로 존재한다.

마지막으로 API Scanning은 웹 API(REST, SOAP 등)의 보안 취약점을 자동으로 탐지한다. API는 웹 애플리케이션과 모바일 앱, 마이크로서비스 간 통신의 핵심 요소이므로, 인증/인가 문제, 데이터 유출, 취약한 엔드포인트 등의 보안 문제를 사전에 탐지하는 것이 중요하다. API Scanning을 CI/CD에 통합하고, OWASP API Security Top 10 기반의 검토를 진행하면 보안 수준을 크게 향상시킬 수 있다.

하이브리드 메시 보안을 위한 보안관제 고려사항
XDR은 EDR(Endpoint Detection and Response)에서 발전된 개념으로 여러 엔드포인트에서 로그와 이벤트를 수집하고, SIEM, SOAR와 연계하여 자동으로 탐지, 분석 및 대응을 제공하는 솔루션이다. API를 통해 상호 연결하여 위협을 탐지하며, 자동화된 대응 기능을 제공한다.

클라우드 전환의 가속화로 기업·기관에서의 보안관제 영역은 온프레미스를 넘어 클라우드 영역으로 확장됐으며, 이에 따라 보안관제를 수행하는 형태에도 변화가 생겼다. 현재 조직에서 운영 중인 보안관제 형태는 크게 3가지로 구분 지을 수 있는데, 첫 번째는 이미 대부분의 조직에서 수행하고 있는 ‘온프레미스 보안관제’다. 온프레미스의 보안 장비들과 보안 정보 및 이벤트 관리(SIEM) 솔루션을 연계하고, 보안 운영·위협 대응 자동화(SOAR) 솔루션을 구축해 보안 운영을 자동화한다.

두 번째는 모든 운영 환경이 클라우드로 전환된 조직에서 수행하는 ‘클라우드 보안관제’다. 클라우드 보안관제는 클라우드 서비스 제공업체(CSP)에서 제공하는 관리형 방화벽, 관리형 침입 탐지 시스템(IDS) 등에서 발생한 로그와 클라우드형 SIEM을 연동한 형태다.

세 번째는 온프레미스와 퍼블릭 클라우드를 혼합해 운영하는 ‘하이브리드 메시(Hybrid Mesh) 보안관제’다. 클라우드 연관 서비스 및 테넌트, 쿠버네티스 환경에서 CNAPP을 XDR과 연계해 보안관제를 수행하게 된다.

이미 많은 기관/기업은 온프레미스 환경에 SOC를 구축하여 보안관제를 하고 있다. 최근에는 클라우드가 추가되어 온프레미스와 클라우드 환경이 동시에 운영되는 형태가 증가하고 있다. 온프레미스 환경은 이미 구축된 SIEM, SOAR를 XDR로 통합하고, 클라우드는 CNAPP을 구축 및 통합한다. CNAPP과 XDR을 통합하여 운영하게 되면 온프레미스 환경과 클라우드 환경을 모두 고려한 보안 관제를 운영할 수 있다. 또한 제로 트러스트 관점에서 인바운드/아웃바운드 트래픽을 모니터링하여 가시성을 확보할 수 있게 된다.

CNAPP는 CWPP를 이용해 클라우드 내 워크로드 모니터링 및 보안위협 탐지를 수행하고, CSPM을 통해 클라우드 보안 컴플라이언스와 규정을 준수한다. 또한, CIEM을 사용해 클라우드 인프라 권한을 관리한다. 더불어 클라우드 내에서 발생하는 로그와 이벤트를 XDR과 연계해 상관 분석 및 통계 분석 등으로 경보를 발생시키고, 자동으로 티켓 처리가 가능하다.

이때 기관 또는 기업 담당자는 클라우드와 온프레미스 환경을 연결하기 위해 네트워크 성능과 비용의 관점에서 전용망 네트워크 혹은 가상사설망(VPN) 이용을 고려해야 한다. 일반적인 VPN 환경을 이용할 경우 네트워크 성능이 낮아지므로, 네트워크 트래픽 발생량이 많다면 전용망(Direct Connect)을 고려해야 한다. 그러나 비용적인 측면에서 봤을 때 VPN이 전용망에 비해 저렴하기 때문에 비용을 절감해야 한다면 VPN 이용을 고려해 보는 것도 방법이다.

최근 많은 기업·기관들은 안정성과 효율성을 위해 클라우드 네이티브로의 시스템 전환을 추진하고 있다. 기존의 레거시(온프레미스) 환경뿐만 아니라 클라우드 환경까지 시스템을 확장한 조직들은 이에 따른 보안체계 구축이 필요한 실정이다.

또한, 클라우드는 가상머신 환경인 IaaS(Infrastructure as a Service)에서 서비스형 플랫폼(Platform as a Service, PaaS)인 컨테이너 환경으로 확장되고 있으므로, CNAPP를 연계해 보안 안정성을 확보해야 한다. 컨테이너는 스케일링이 가능하며 라이프사이클이 존재하므로 기존의 보안 시스템으로는 모니터링이 어렵기 때문이다.

앞서 말했듯이 CSPM, CWPP, CIEM 등을 통해 클라우드 환경에서 발생하는 위협에 대해 선제적으로 대응해야 할 필요가 있다. 더불어 서비스형 소프트웨어(SaaS) 형태의 XDR과 연계해 하이브리드 메시 보안관제를 수행한다면, 보다 효율적이고 효과적으로 보안을 운영할 수 있을 것이다.
[글_ 박인상 기술사/이글루코퍼레이션]

필자 소개_
- 이글루코퍼레이션 지능형보안연구소 클라우드팀장
- 한국정보공학기술사회 미래융합기술원 위원
- 정보통신기획평가원(IITP), 정보통신산업진흥원(NIPA) 평가위원
- 정보관리기술사, 정보시스템 수석감리원, 한이음 ICT 멘토

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다