Home > 전체기사

[2021 CWPP 리포트] 멀티 클라우드로 복잡해진 비즈니스 워크로드를 지켜라

  |  입력 : 2021-09-30 17:07
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
코로나19 확산으로 클라우드 중심의 디지털 트랜스포메이션 가속화
클라우드 노리는 사이버 공격도 급증...CWPP 솔루션으로 클라우드 워크로드 보호해야
안랩 클라우드 워크로드 보호 솔루션 ‘AhnLab CPP’ 집중 분석


[보안뉴스 이상우 기자] 코로나19 확산으로 인해 비대면·디지털 중심의 서비스가 우리 삶 가운데 자리 잡았다. 재택근무가 일반적인 업무 환경이 됐고, 온라인은 기업과 소비자의 대표적인 접점이 됐다. 기업 역시 이러한 추세에 맞춰 비즈니스 연속성을 보존하기 위해 클라우드를 도입하는 등 디지털 트랜스포메이션(Digital Transformation)을 가속화하고 있다. 클라우드를 통해 기업은 필요한 인프라, 플랫폼, 소프트웨어 등을 즉시 임대해 사용하고, 필요에 따라 기능이나 성능을 확장하는 등 빠르게 바뀌는 업무 환경에 맞춰 유연한 활용이 가능하다.

[이미지=utoimage]


오늘날 기업은 빠르게 변화하는 비즈니스 환경에 유연하게 대응할 수 있도록 클라우드를 도입하고 있다. 조직 구성원은 인터넷을 이용할 수 있는 장소와 기기만 있다면 언제든 클라우드 서비스를 통해 업무를 진행할 수 있으며, 조직은 소비자에게 최적의 서비스를 제공하기 위해 필요에 따라 서버나 대역을 증설하거나 줄이는 등의 대처가 가능하다.

오늘날 클라우드 서비스의 형태와 종류는 수없이 많다. 가령, 파일을 저장하는 클라우드 저장소(구글 드라이브, N드라이브 등), 구독형 사무용 소프트웨어나 기업용 그룹웨어 서비스(구글 G스위트, 마이크로소프트 365, 가비아 하이웍스 등) 등은 SaaS(Service as a Service)의 일종이다. 서버나 스토리지 등의 인프라를 임대해 웹 사이트나 기업용 서버 인프라를 구축하는 것은 물론, 기업에서 업무를 위해 직원에게 제공하는 데스크톱 가상화(VM웨어, 시트릭스 등)는 클라우드를 기반으로 사용자 개인에게 원격에서 일정한 데스크톱 환경을 제공하는 IaaS(Infrastructure as a Service)의 하나다. 기업 사례는 아니지만, 오늘날 우리에게 필수적인 백신 사전예약 시스템 역시 클라우드를 통해 시스템 부하와 병목현상을 줄이는데 쓰이고 있다. 이처럼 오늘날 우리는 인지하지도 못한 사이에 다양한 클라우드 서비스를 이용하고 있다.

클라우드 도입을 선택한 조직의 공통적인 목표는 효율성의 극대화다. 조직은 인프라 단계에서의 탄력적인 대응을 통해 자신의 서비스와 최적화한 효율성을 찾고자 노력한다. 서비스 환경 또한 온프레미스 기반의 레거시 애플리케이션이 아니라 클라우드 기반의 애플리케이션 방식으로, 클라우드 서비스에 최적화된 ‘클라우드 네이티브’ 애플리케이션으로 개발되고 있다. 컨테이너 및 서버리스 등 클라우드 환경의 장점을 최대한 살릴 수 있는 새로운 앱 런타임 환경에 적합한 방식이 보편적인 방식으로 확대되는 추세다.

기업 데이터센터에서 클라우드 환경으로의 전환이 본격화되면서 클라우드 인프라에 대해 다양하고 복잡한 클라우드 보안을 요구하게 됐다. 그렇다면, 클라우드에서 발생한 보안사고에 대해 책임은 누가 져야 할까? 클라우드 벤더의 책임 공유 모델(Shared Responsibility)에 따르면, 컴퓨팅, 스토리지, DB, 네트워크 등 하드웨어 및 인프라에 대한 보안은 클라우드 사업자가 책임지며 데이터, 애플리케이션, OS, 네트워크 및 방화벽 설정 등의 보안은 고객이 책임져야 한다. 즉, 조직 구성원의 보안 인식이 부재한 상태에서 성급하게 클라우드를 도입할 경우 정보 유출이나 랜섬웨어 공격 등 각종 보안사고에 쉽게 노출될 수 있다. 클라우드에서 발생하는 보안사고 대부분은 클라우드 서비스 제공 기업이 아닌, 이를 이용하는 기업의 관리 부실에서 발생한다. 클라우드 서비스에 접근하는 자격증명에 대해 관리가 제대로 이뤄지지 않을 경우 사이버 공격자가 기업의 주요 데이터에 접근해 유출하는 것은 물론, 관리자 권한 탈취를 통해 시스템 전반으로 이동하며 랜섬웨어 공격을 펼칠 수 있다.

실제로 자격증명 도용으로 인한 보안사고는 클라우드를 노리는 대표적인 위협으로, 공격자는 이를 위해 피싱(Phisihing), 크리덴셜 스터핑(Credential Stuffing), 브루트 포스(Brute Force, 무차별 대입 공격), 사전 공격(Dictionary Attack) 등 다양한 수단을 통해 자격증명을 탈취하려 한다. 보안설정 미흡 역시 흔히 볼 수 있는 클라우드 보안사고 사례다. 클라우드를 통해 운용하는 기업 데이터베이스를 공개된 경로에 게시해 외부로 노출된 사례가 있는가 하면, MFA(다요소 인증) 같은 접근제어 정책을 적용하지 않아 내·외부에서 발생하는 무단 접근을 차단하지 못한 경우도 있다. 극단적으로 표현하자면, 도어락 비밀번호를 1234로 설정하면 도둑이 쉽게 들어올 수 있는 것과 마찬가지다.

클라우드 보안 강화를 위한 첫 걸음, CWPP
클라우드 보안 강화를 위한 방안으로는 크게 CASB(Cloud Access Security Broker, 클라우드 접근 보안중개), CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리), CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼) 등 3가지 솔루션이 거론된다.

[이미지=utoimage]


CASB는 가트너가 지난 2012년 제시한 개념으로, 클라우드와 사용자 사이에서 작동해 모든 활동을 모니터링하고 보안 정책을 적용하는 솔루션이다. 클라우드 및 애플리케이션에 대해 가시성을 확보하고, 데이터 보호 및 지배구조를 실현해 사용자 접근을 통제하면서 기업 데이터 자산을 보호할 수 있다.

CSPM은 클라우드 서비스 구성에 대해 위험 요소를 평가 및 관리하는 솔루션으로, 잘못된 보안 구성이나 컴플라이언스 위험을 자동으로 식별해 경고한다. 가트너는 CSPM에 대해 보안을 자동화하고 컴플라이언스에 대해 보증하는 보안 제품이라고 설명한다. 이를 통해 데이터 유출 가능성을 줄이고, 클라우드 환경을 보호할 수 있다.

CWPP는 서버워크로드 중심의 보안을 위한 솔루션으로, 워크로드에 대한 가시성 확보 및 공격 방어가 주요 목적이다. 가트너에 따르면 CWPP는 물리적 컴퓨터, 가상 머신, 컨테이너, 서버리스 워크로드 등에 대한 일관적인 제어 및 가시성을 제공해야 한다. 또한, 시스템 무결성 보호, 접근 영역을 세분화하는 마이크로 세그먼트, 메모리 보호, 사용자 행동 모니터링, 호스트 기반 침입 방지 및 멀웨어 방지 등을 통해 프로그램이 실행 중인 영역에서 발생하는 공격으로부터 워크로드를 보호할 수 있어야 한다.

일반적으로 전통적인 환경에서 사용하던 기술은 클라우드 환경에 그대로 적용하기 어렵다. 전통적이고 폐쇄적인 기업 환경에서 개발한 애플리케이션 및 인프라는 클라우드로 온전히 이전할 수 없다. 또한, 대부분 프라이빗 클라우드 뿐만 아니라, 여러 벤더의 퍼블릭 클라우드 서비스를 함께 이용하는 멀티 혹은 하이브리드 클라우드 환경을 이용하고 있다. 이러한 멀티 클라우드 환경에서는 보안 담당자가 조직의 애플리케이션과 데이터가 어떤 위치에 있는지 확인하고 관리하는 과정이 더 복잡해진다. 특히, 최근 기업은 개발조직과 운영조직 간의 유기적인 협업을 통해 당면과제를 빠르게 해결하는 데브옵스(DevOps) 문화를 도입하는 사례가 늘고 있다. 이러한 기업 문화에서는 소프트웨어와 서비스가 과거보다 더 빠르게 개발 및 배포되고 있으며, 보안 담당자가 관리해야 하는 지점은 그만큼 더 늘어나게 된다.

이러한 환경에서 기업용 서비스를 이용하기 위해서는 워크로드에 대한 일관된 가시성을 확보해야 하며, 이를 위해 애플리케이션과 서비스를 보안 계획 중심에 둬야 한다. CWPP는 복잡해지는 클라우드 환경에서 단일 콘솔에서 여러 클라우드에 대한 가시성을 확보하고, 보안 제어 관리를 할 수 있도록 지원한다.

포괄적인 CWPP 솔루션을 통해 보안 담당자는 프라이빗 및 퍼블릭 클라우드 환경에 배포된 워크로드를 검색할 수 있으며, 워크로드에 대한 취약점 평가를 수행할 수 있다. 취약성 평가 결과에 따라 무결성 보호, 불변성 또는 화이트리스트, 메모리 보호 및 호스트 기반 침입 방지와 같은 보안은 물론, 필요에 따라 멀웨어 탐지를 적용하는 것도 가능하다. 이와 같은 환경의 변화에 따라 기업은 클라우드 환경 보안을 위해 가장 기본이 되는 CWPP부터 시작하는 사례가 늘고 있다.

[가트너가 정의한 CWPP 솔루션의 8가지 주요 기능]
1. 보안 강화 및 설정/취약점 관리(Hardening, Configuration and Vulnerability Management) : 주로 워크로드 환경의 시스템 구성 및 취약점 분석 기능의 형태로 제공해 해당 워크로드가 사용 중인 애플리케이션/운영체제 환경의 취약점을 점검 및 관리
2. 네트워크 방화벽, 가시성 확보 및 마이크로 세그멘테이션(Network Firewalling, Visibility and Micro segmentation) : 워크로드 기준으로 방화벽 기능을 제공해 각 워크로드를 외부로부터 보호
3. 시스템 무결성 보장(System Integrity Assurance) : 워크로드에서 각 지정된 환경 설정의 무결성을 확인하거나 시스템 파일이나 구성, 권한에 대한 무결성을 실시간으로 모니터링
4. 애플리케이션 제어(Application Control/Whitelisting) : 애플리케이션 실행을 제어함으로써 보안을 강화. 일반적으로 화이트리스트 기반으로 애플리케이션 실행을 제어
5. 익스플로잇 예방 및 메모리 보호(Exploit Prevention/Memory Protection) : 운영체제 및 실행 가능한 애플리케이션 취약점에 대응하며, 악성코드가 메모리에서 구동되는 등의 파일리스 공격 등으로부터 서버 워크로드를 보호
6. 서버 워크로드 EDR, 행위 모니터링 및 위협 탐지/대응(Server Workload EDR, Behavioral Monitoring and Threat Detection/Response) : 네트워크 통신, 프로세스 시작 등을 모니터링해 의심스러운 행위를 탐지하고 대응하며, 호스트 기반의 에이전트 방식으로 탐지하거 나 클라우드 사업자가 제공하는 네트워크 데이터 등의 정보를 기반으로 탐지 및 대응하는 형태로 구성
7. 호스트 기반 침입 탐지 시스템(Host-Based IPS With Vulnerability Shielding) : 워크로드 환경으로 유입되는 네트워크 트래픽을 분석해 공격을 탐지/차단하며, 호스트 기반으로 동작해 가상환경 및 컨테이너 환경에서 발생하는 네트워크 공격 및 각종 취약점 공격으로부터 서버를 방어
8. 안티 멀웨어(Anti-malware Scanning) : 시그니처 기반으로 멀웨어를 탐지/차단하며, 관련 컴플라이언스를 충족

기업 79.51% 클라우드 도입했거나 계획 있어
데이터 유출, 관리 부주의, 운영 역량 부족 등이 우려되는 보안 위협

<보안뉴스>와 <시큐리티월드>가 실시한 설문조사에 따르면, 응답기업의 절반 가까이가 이미 클라우드를 도입해 운영하고 있으며, 이 중 10.4%는 클라우드 보안사고를 경험한 바 있다. 특히, 응답자 중 16%는 클라우드에서 어떤 이벤트가 발생했는지 제대로 파악하지 못한 것으로 나타났다. 이번 설문조사에는 중견·중소기업56.25%, 공공기관(공기업) 17.97%, 대기업 16.41% 등이 참여했다.

▲클라우드 및 CWPP 솔루션 인식과 활용도에 대한 설문조사 결과[자료=보안뉴스]


응답기업 중 79.51%는 클라우드를 도입했거나(46.46%) 향후 도입할 계획이 있다(33.07%)고 답했다. 이들이 도입하려는 클라우드 서비스 형태는 가상머신(30.83%), 서버 등 인프라(28.33%). 업무용 소프트웨어(21.67%), 협업 도구(15.83%) 순으로 많았다.

클라우드 보안사고를 경험했냐는 질문에 경험하지 않았다고 답한 기업은 73.6%로, 대부분의 기업이 아직까지는 위협을 느끼지 않은 것으로 나타났다. 하지만, 10.4%는 이미 사고를 경험했으며, 특히 16%는 보안 이벤트에 대해 파악하지 못하고 있는 것으로 나타났다. 가장 우려하는 보안사고 유형은 데이터 유출이 40.94%로 가장 많았다. 그 뒤를 관리 부주의로 인한 침해사고(25.2%), 클라우드 운영 역량 부족(16.54%), 자격증명 유출 등으로 인한 무단접근(10.24%), 내부자에 의한 위협 행위(5.51%) 등이 이었으며, 상기한 내용을 모두 포함한다고 응답한 사람은 1.57%다.

앞서 언급한 보안 사고는 포괄적인 CWPP를 통해 제어할 수 있는 영역이다. 하지만, 이번 설문조사에서 CWPP를 제대로 알고 있다고 응답한 사람은 26.56%에 불과한 것으로 나타났다. 응답자가 CWPP에서 기대하는 가장 큰 효과는 클라우드 환경에 대한 가시성 확보(39.37%)로 나타났다. 이밖에 시스템 무결성 확보 17.32%, 애플리케이션 통제(12.6%), 서버 워크로드에 대한 EDR(11.81%), 익스플로잇 예방 등 보호기능(11.02%), 안티 멀웨어(5.51%), 기타(2.36%) 등으로 조사됐다.

안랩, 폐쇄망 등 국내 환경 최적화한 CWPP 솔루션 제공
안랩은 CWPP에 대해 ‘퍼블릭 클라우드 상의 서버 워크로드를 보호하는 플랫폼’이라고 정의하며, 오늘날 이 정의의 범위는 물리적 환경, 가상환경, 멀티 클라우드 등을 조합한 하이브리드 클라우드 환경에서도 서버 워크로드에 대한 보안 등으로 확대되는 추세라고 설명했다. 특히, 서버 워크로드 유형이 서버, 가상머신에서 컨테이너, 서버리스 등으로 확대되면서 서버 중심 보안을 넘에 개발에서 배포 단계까지 모두 아우르는 형태로 보호 범위가 커지고 있다고 덧붙였다.

안랩은 “시장조사기관 가트너는 CWPP의 주요 기능으로 서버에 대한 취약성 및 설정 검사, 네트워크 세그멘테이션(방화벽 등), 무결성 모니터링, 애플리케이션 제어, 행위 기반 모니터링, 호스트 IPS, 안티 멀웨어 등을 제시했다. 최근에는 서버 워크로드 유형이 서버와 가상머신(VM)에서 컨테이너까지 확대되면서, 서비스 서버에 설치돼 구동하는 컨테이너에서의 보안 기능뿐만 아니라 컨테이너 개발 및 배포 단계의 스캐닝 등을 CWPP에 포함되는 기능으로 이야기하고 있다”고 말했다.

안랩의 CWPP 솔루션 ‘AhnLab CPP’는 에이전트 기반의 서버 워크로드 보안 솔루션으로, 서비스가 운영되는 서버를 보호한다. 클라우드와 함께 물리 및 가상 환경에서 운영되는 윈도우 및 리눅스 서버에 대한 통합 관리를 지원하며 안티 멀웨어, 네트워크 침입 공격 탐지/방지(Host IPS/IDS) 및 방화벽, 애플리케이션 실행 및 접근 제어, 무결성 모니터링 등의 기능을 제공한다. 에이전트(Agent)가 설치된 서버뿐만 아니라 서버(호스트)위에서 운영되는 컨테이너 내 악성코드 및 네트워크 침입 공격을 탐지함으로써 서비스 구동 단계에서의 컨테이너 보안도 함께 지원한다.

안랩은 “AhnLab CPP는 서버에 설치돼 보안 정책을 받은 순간부터 서버(호스트)와 서버 상에 구동중인 컨테이너를 악성코드, 네트워크 침입 공격 등의 위협으로부터 보호한다. 애플리케이션 실행 제어 및 방화벽 기능으로 허가되지 않은 애플리케이션의 실행과 불필요한 통신을 차단함으로써, 실제 서비스에 필요한 통신과 애플리케이션만이 실행될 수 있도록 지원해 위험 노출 영역을 최소화 할 수 있다. 또한, 무결성 모니터링을 제공해 중요 파일/폴더, 레지스트리 등의 변경을 감지함으로써, 의심스럽거나 의도되지 않은 변경으로부터 서버를 보호한다”고 설명했다.

CWPP 솔루션 선택 시 가장 중요하게 여겨야 할 기능과 성능으로는 서비스 서버 부하 영향 최소화, 클라우드 서버를 고려한 유연한 보안 관리 기능, 관리 편의성 제공, 컨테이너 보안 기능 등을 제시했다. CWPP는 서비스가 운영되는 서버 보안 기능 동작 시 CPU, 메모리 등의 서버 자원을 요구한다. 때문에 이로 인한 부하가 오는 등 장애가 발생하지 않도록 해야 한다. 또한, 클라우드 환경의 유연한 확장성을 고려해 보안 관리 기능 역시 자동으로 확장 및 배포돼야 하며, 담당자가 여러 서버를 관리해야 하는 상황에서 서버 운영체제 및 애플리케이션 취약점을 찾아 자동으로 보안정책을 적용하는 관리 편의성이 필요하다. 마지막으로 컨테이너로 들어오거나 컨테이너에서 나가는 공격을 탐지하고 대응할 수 있는 기능 역시 요구된다.

안랩은 “우리 CWPP 솔루션은 폐쇄망 등 국내 운영 환경을 고려한 다양한 기능 및 기술지원을 비롯해 국내 보안 위협에 최적화된 자체 엔진을 지원한다. 또한, 기능 간 연계 규칙을 지원해 특정 조건에서의 자동 알림 및 대응, 성능 중심의 특화된 기능 등을 제공하고 있다”고 설명했다.

▲AhnLab CPP의 주요 기능[이미지=안랩]


트렌드마이크로, 가상패치 기능으로 제로데이 위협에 대응
트렌드마이크로는 클라우드 통합 보안 플랫폼인 ‘Trend Micro Cloud OneTM’에 CWPP 기능인 ‘Workload Security’를 통합 제공하고 있다. 이를 통해 안티멀웨어/웹 평판/방화벽/침입탐지, 차단/로그 감사/무결성 모니터링/애플리케이션 제어 등의 기능을 제공하고 있어 가트너가 정의하는 8가지 핵심 기능을 모두 제공한다는 설명이다.

트렌드마이크로는 “Workload SecurityTM는 악성코드를 방어 기능부터 방화벽, 취약점 검사, 침입방어, 애플리케이션 제어, 무결성 모니터링, 로그감사 등의 기능을 모두 제공하는 통합 서버보안 솔루션이다. 악성코드 방어 기능은 알려진 멀웨어를 탐지, 차단하는 안티멀웨어 기능뿐 아니라 행위분석과 머신러닝, 샌드박스 분석 기술로 의심스러운 파일과 행위를 탐지한다. 여기에 더해 악성 URL로부터 서버를 보호하기 위해 웹 사이트 평판 탐지, 차단 기능도 제공한다. 이를 바탕으로 표적공격을 수행하는 악성코드, 랜섬웨어, 제로데이 공격 과 명령제어(C&C) 및 악성 URL로부터 서버를 보호할 수 있다”고 설명했다.

Workload SecurityTM이 제공하는 애플리케이션 제어 기능은 서버 내에 있는 모든 실행파일을 인지해 모니터링한다. 화이트리스트 기능으로 허가된 애플리케이션만 사용하도록 하고, 허가되지 않은 애플리케이션이 실행될 경우 서버를 잠그고(Lockdown) 실행을 차단한다. 무결성 검증 기능은 서버 내에 파일이나 폴더, 디렉토리, 레지스트리, 프로세스, 통신 포트 등을 체크해 무단 액세스 통해 수정이나 변경 작업이 발생할 경우 경고를 통해 조기 발견할 수 있게 한다. 이밖에 가상패치 기능을 통해 정규패치가 나오지 않았거나 사용자가 미처 패치를 하지 못했을 경우, 가상 패치 기능이 해당 취약점을 이용한 공격을 방어해 패치(보안 업데이트)를 적용한 것과 동일한 효과를 내 보안 공백으로 인한 위험을 없앨 수 있다.

트렌드마이크로는 “우리는 다양한 버전의 리눅스를 지원해 대부분의 클라우드 환경을 보호할 수 있고, 클라우드 지원 IPS과 도커 컨테이너 보호 기술까지 결합해 클라우드의 모든 보안 위협을 차단하고 있다. 특히 서비스 중단 없이 패치와 동일한 효과를 누릴 수 있도록 하는 가상패치 기능은 서비스 가용성 측면에서 큰 이점을 제공하고 있다”고 강조했다.

센티넬원, EDR 기반 CWPP로 클라우드 관리 효율 높인다
센티넬원은 CWPP에 대해 도커(Docker)나 쿠머네티스(Kubernetes)로 대표되는 클라우드 구성 요소간 워크로드에서 발생하는 보안 이슈를 제거하고 관리하는 기술이라고 말했다.

센티넬원은 “센티넬원의 CWPP는 EPP 및 EDR을 기반으로 구성돼 있다. EPP는 행위 기반의 AI엔진을 통해 알려지지 않은 악성코드를 차단할 수 있으며, 교정 및 롤백 기능을 통해 악성코드에 의해 감염된 운영체제 설정값 및 파일을 복구할 수도 있다. 추가적으로 EDR 기능을 통해 클라우드 포드에서 실행되는 프로세스, 파일, 레지스트리, 네트워크 행위 등을 로깅해 향후 분석할 수 있는 기능을 제공한다. 마이터 프레임워크에서 IoC에 해당하는 행위가 발생하는 경우 탐지해 차단할 수 있으며, 클라우드 상에서 발생하는 악성행위를 추가적으로 차단하며, 비정상적인 행위에 대한 모니터링으로 보안 관리자가 실시간으로 대응할 수 있는 기반을 제공한다”고 말했다.

또, “애플리케이션 컨트롤이라는 화이트리스팅 기능도 추가적으로 제공한다. 이를 통해 별도의 학습 없이 클라우드 상에 배포되는 프로세스가 변경되거나 외부로부터 새롭게 추가된 경우 차단해 외부 공격자에 의한 공격에 효과적으로 대응할 수 있다. 최초 배포된 이미지의 프로세스만 기능이 가능하도록 해 운영 중에 외부로부터 다운로드되거나 외부 공격자에 의해 변경된 파일은 실행하지 못하도록 차단한다”고 덧붙였다.

클라우드 워크로드는 물리적 서버 환경과는 비교할 수 없는 복잡한 환경에서 운영되고 있다. 자동 확장을 통해 필요 시 언제든 서비스 확장이 가능해 필요 시 자원을 회수할 수 있는 구조로, 구성 요소를 정확히 분석하는 EDR 기능이 필요하다. 보안 관리자가 필요한 시점에 효율적으로 데이터를 분석할 수 있고 대응할 수 있도록, 프로세스, 파일 및 네트워크 행위 등 다양한 데이터에 대한 손쉽고 효율적인 분석 기반이 CWPP 솔루션 선택 시 고려할 부분이라는 설명이다.

센티넬원은 “센티넬원의 CWPP는 실행 전 단계, 악성코드가 실행하는 순간 및 실행 후 사후 대응 등 모든 단계를 보안 기능을 제공하는 것이 강점이다. 실행 전 단계의 파일 복사 단계에서는 클라우드 해쉬값 및 정적 AI 엔진을 통해 사전에 악성코드를 차단한다. 또한 애플리케이션 컨트롤을 통해 워크로드 배포 시 포함돼 있지 않은 실행 파일을 차단해 워크로드를 보호하고, 실행 단계에서는 동적 AI엔진을 통해 실행되는 프로세스의 행위를 분석해 차단하며, 프로세스, 파일, 네트워크 행위 등 다양한 데이터를 상관분석을 통해 보안 관리자가 효율적으로 분석 할 수 있는 특허기술을 제공한다. EDR을 통해 수집된 다양한 데이터를 분석해 클라우드 환경에 대한 보안성을 강화할 수 있다”고 강조했다.

클라우드 보안 강화를 위한 보안 솔루션 기업의 조언은?
안랩은 클라우드 보안의 특수성을 이해하는 것이 중요하다고 말했다. 클라우드 도입 시, 이용하는 서비스에 따른 클라우드 서비스 제공사와 도입사의 책임범위를 정확히 파악하고 이에 대한 보안 방안을 마련해야 한다는 설명이다. 또한, 클라우드 서버는 기존 서버와 운영 및 관리 체계가 상이하기 때문에 클라우드 환경에 대한 보안의 특수성을 이해하고 이에 최적화된 솔루션을 사용해야 한다. 기존 솔루션을 이용할 경우 서버 단말에 대한 보호는 가능하지만, 이외에 클라우드 상의 워크로드 관리 체계에 맞지 않아, 보안 위험에 노출될 우려가 있다. 클라우드 환경을 도입할 경우 클라우드 상의 보안 설정 상태를 점검해 위험 노출을 최소화해야 하며, 클라우드 서버 워크로드의 유연한 관리 방식에 최적화된 방안을 마련해야 한다고 덧붙였다.

트렌드마이크로는 클라우드 보안에 대한 전문적인 이해와 기술적 지식이 함께 발전해야 한다고 말했다. 클라우드 전환 및 도입 시에 조직 내 어떠한 위험 요소가 있고, 어떠한 보안 기술이 필요한지에 대해 인지하고 대응할 수 있는 체계가 필요하다. 즉, 클라우드 환경에서는 기존 환경에 대해 많은 다른 부분들이 있으며 기업의 보안 담당자들은 클라우드 환경에 대한 인식과 기술적 지식에 대한 변화가 필요하다는 설명이다.

센티넬원은 클라우드 환경에서 빠르고 손쉽게 시스템 환경이 구축되는 것은 사실이나 그만큼 보안을 간과하기 쉽다고 말했다. 이러한 빠른 변화하는 클라우드 환경에서 클라우드 내부 구성 요소 간의 가시성 확보는 중요한 보안 요구사항이 됐다. 사람에 의한 분석 및 대응은 가시성 확보에 한계를 드러내고 있으며, AI를 통한 머신러닝 기반의 솔루션을 통해 빠르고 효율적으로 대응할 수 있는 클라우드 환경을 구축할 수 있다는 설명이다.

[이미지=안랩]


[CWPP 대표 솔루션 집중분석]
안정적인 서버 운영과 가시성 제공! 하이브리드 환경을 위한 보안 플랫폼, AhnLab CPP

포스트 팬데믹 시대에 디지털 전환을 가속화하기 위해 데이터 및 애플리케이션의 클라우드화는 선택이 아닌 필수가 됐다. 기업 고객들은 클라우드로 마이그레이션하기 위해 여러 곳의 클라우드 서비스 솔루션과 비용을 저울질하며 클라우드 도입에 적극 앞장서고 있다. 다양한 종류의 클라우드를 동시에 운영하며 각각의 장점을 살린 멀티 클라우드, 하이브리드 클라우드 서비스가 일반화됐다. 이러한 환경에서 안정적인 서버 운영 그리고 가시성을 제공하는 보안 솔루션에 대한 관심도 점차 증가하고 있다.

안랩의 클라우드 워크로드 보안 플랫폼인 ‘AhnLab CPP(Cloud Protection Platform)’는 이러한 고객 니즈를 충족시키는 보안 솔루션이다. AhnLab CPP는 △AhnLab Application Control △AhnLab Host IPS △AhnLab V3 Net 등 다양한 보안 솔루션 연계 및 통합 관리로 클라우드 서버 워크로드를 보호한다.

AhnLab Application Control은 워크로드 용도에 맞는 애플리케이션만 실행을 허용하고 중요 파일로의 접근을 제어해 서비스 안정성을 보장한다. 이와 함께 2021년 하반기에 추가된 무결성 모니터링 기능은 일반적으로 변경이 없어야 하는 특정 파일·폴더, 레지스트리, 시작 프로그램, 서비스 등에서 변경이 있는지 감시한다. AhnLab Host IPS는 시그니처 기반으로 네트워크 침입 공격을 탐지 및 차단해 서버를 안전하게 보호하는 기능을 수행한다. 이와 함께 서버 호스트의 인·아웃 바운드 트래픽을 모니터링해 네트워크 패킷에 대한 방화벽 기능을 제공한다.

AhnLab V3 Net은 다수 고객 및 글로벌 인증기관을 통해 이미 검증된 안티 멀웨어(Anti-malware) 기능과 서버 활용성을 고려한 수동 검사와 예약 검사 등의 설정이 가능하다. 또한, 기업 전체 서버 보안상태를 한눈에 파악할 수 있는 다양한 대시보드를 통해 서버 워크로드에 대한 통합된 가시성을 제공한다. AhnLab CPP 대시보드는 하이브리드 클라우드 환경을 고려해 서버 워크로드에 대한 보안 위협을 최소화하며, 관리자의 신속한 탐지 및 대응에 기여한다.

AhnLab CPP는 도커, 쿠버네티스 환경에서 컨테이너 파일에 대한 악성코드와 컨테이너를 향한 네트워크 공격에 대한 탐지를 지원한다. 특히 탐지된 컨테이너 파일과 네트워크 공격 및 통신이 어느 컨테이너에서 발생했는지 식별할 수 있는 기능을 지원한다. 이를 통해 관리자는 보안상 취약점을 가진 컨테이너를 손쉽게 파악해 보다 안전한 서비스 운영 환경을 조성할 수 있다.

또한, IPS 추천 기능은 시스템 정보 수집부터 분석, 추천까지 한 번의 클릭으로 수행되는 ‘원스톱’ 형태로 지원하며, 관리자는 필요한 시점에 추천을 받고 그 결과를 확인할 수 있다. 더불어 호스트뿐 아니라 컨테이너 정보까지 포함해 추천하도록 기능을 설계해, 도커 및 k8s 환경에서의 한층 강화된 네트워크 공격 방어 역량을 제공한다.

안랩은 2021년에도 Host IPS와 애플리케이션 역량 강화, 지속적인 성능 및 편의성 개선뿐 아니라, 클라우드 워크로드 보호 플랫폼(CWPP : Cloud Workload Protection Platform)으로서 보안 역량을 발전시킬 수 있는 추가적인 기능 제공을 위해 박차를 가하고 있다. 또한, 장기적으로도 클라우드 환경에서 강력하고 전방위적인 보안 서비스를 제공하기 위해 다방면으로 노력을 기울이고 있다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)