Home > 전체기사

아스트론시큐리티 조근석 대표 “클라우드 보안, 필연적으로 성장할 수밖에 없어”

  |  입력 : 2022-11-07 14:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
공공과 금융 분야, 하이브리드 클라우드 도입 필수되면서 클라우드 보안 대세로 자리매김
클라우드 보안 필수요소 : 자산과 계정 식별·관리·보호, 가시성 확보, 쿠버네티스 보안 강화
클라우드 보안관리 : 취약점 관리, 클라우드 자체에서 생산한 이벤트 모니터링, 연관성 분석


[보안뉴스 김경애 기자] 요즘처럼 어려운 시기에 KB인베스트먼트, 안랩 등으로부터 누적 80억원 이상을 투자받아 기술개발에 나선 기업이 있다. 스타트업으로 지난 10월 ‘아기유니콘200’에 선정되기도 했다. 특히, 기자의 시선을 끌었던 건 이직률이 ‘제로’라는 점이다. 스타트업이라면 이직률이 높은 게 다반사인데, 이직률이 없다는 건 그만큼 CEO의 리더십이 뛰어나거나 스타트업으로는 복지나 급여 등 처우의 만족도가 높다는 것이다. 그것도 아니면 미래가치가 크고 배울 게 많아 직원들이 역량을 끌어올리기에 꽤 괜찮은 환경이라는 것이다. 이런 기업의 리더는 어떤 사람일까. 어떤 가치관과 경영 마인드를 갖고 있는지 궁금하지 않을 수 없다.

▲아스트론시큐리티 조근석 대표이사[사진=보안뉴스]


이 기업은 바로 클라우드 보안 솔루션 전문기업인 아스트론시큐리티다. 직원의 75%가 연구개발자로 구성된 아스트론시큐리티는 클라우드 환경 연구 및 개발, 클라우드 취약점과 해킹 연구 및 개발, 네이티브 환경 담당자 등 클라우드 관련 전문인력으로 구성돼 있다. 이러한 인력을 바탕으로 클라우드 취약점 진단 및 탐지, AI기반 이상행위 및 이상징후 탐지, 쿠버네티스 및 컨테이너 보안 등 토탈 클라우드 보안 솔루션을 제공하고 있다.

그 결과 네이버, NHN 등 국내 퍼블릭 클라우드를 API와 에이전트 방식으로 지원하는 보안 솔루션을 국내 최초로 개발했고, API로 연동된 클라우드 이벤트를 분석해 ML 기반으로 이상행위를 탐지하는 기술과 컨테이너 보안을 곧 상용화할 예정이다.

특히, 클라우드 보안 분야에서의 독자적인 기술을 발판 삼아 2019년 창업 이래 지금까지 2021년 KISIA 데모데이 최우수상, 2020년 K-시큐리티 스타트업 최우수상을 수상했으며, 클라우드 보안 관련 특허를 다수 등록 및 출원(등록 6건, 출원 7건)했다. 이에 본지는 아스트론 시큐리티 조근석 대표와의 인터뷰를 통해 클라우드 보안 이슈와 최근 트렌드에 대해 들어봤다.

1. 클라우드 보안 트렌드와 향후 전망
최근 클라우드 보안 트렌드에 대해 설명해 주신다면?
IaaS 관점에서 현재 클라우드 도입에 있어 주요 트랜드는 멀티 및 하이브리드 클라우드 도입과 컨테이너 환경으로의 발전을 들 수 있습니다. 특히, 보안시장에서 가장 큰 영역을 차지하는 공공 및 금융 분야는 하이브리드 클라우드 도입이 필수이며, 클라우드 보안이 현재 대세로 자리매김하고 있습니다.

기존 CASB(Cloud Access Security Broker), CSPM(Cloud Security Posture Management), CWPP(Cloud Workload Protection Platform)라는 개념에서 종합적 관점에서 접근하는 CNAPP(Cloud Native Application Protection Platform)가 클라우드 보안의 대세적 흐름입니다. CNAPP는 기존 가상 호스트 환경을 포함해 애플리케이션 환경까지 보호하는 솔루션이라고 할 수 있습니다.

향후 클라우드 보안 시장에 대해 전망하신다면?
현재 시장의 흐름상 향후 5년내 현재 기존 레거시 보안 솔루션의 50% 정도는 클라우드 보안으로 대체될 것으로 예상합니다. 그 이유는 클라우드로의 전환 속도가 현저히 빨라졌고, 이러한 속도로 볼 때 2026~2027년 사이에 공공뿐만 아니라 금융, 대기업 등 거의 대부분은 클라우드로의 이전을 완료할 것으로 보기 때문입니다. 클라우드 보안 시장의 전망이 좋다 나쁘다를 떠나 필연적으로 성장할 수밖에 없는 시장이라는 얘기입니다.

2. 클라우드 보안 이슈
클라우드 워크로드와 관련해 가장 많이 발생하는 보안 이슈는 무엇인가요?
클라우드의 특징과 연관지어 검토해야 하는데요. 클라우드가 도입되면서 새로 생겨났거나 더욱 문제가 되고 있는 이슈를 꼽는다면 다음과 같습니다. 첫째, 클라우드 인프라의 접속 경로가 다양해졌다는 점, 둘째, 이로 인해 취약점이 예전보다 훨씬 많아졌다는 점, 마지막 셋째는 가상 시스템이 상호 유기적으로 연결되어 해커가 동시에 인프라를 장악할 수 있게 됐다는는 점입니다.

많은 사람들이 기존 레거시 환경과 클라우드 환경에서의 보안체계가 달라 클라우드에서의 보안을 어려워합니다. 기업에서 공통적으로 어려워하는 클라우드 보안 문제는 무엇인가요?
클라우드 자체가 어렵기 때문입니다. 어차피 보안은 시스템 도입 후 구축되는 후행적인 과정입니다. CSP가 인프라를 정교하면서도 효율적으로 만들다 보니, 클라우드 환경이 사용자에게는 복잡해질 수밖에 없는 구조가 됐습니다. 기업마다 자사 환경에 맞는 명확한 기준을 만들어 도입하면 조금 쉬워질 수 있습니다.

3. 클라우드 보안 관리 대책
클라우드 보안의 필수 요소를 제시해 주신다면?
클라우드 보안을 세 가지로 말씀드리면 첫째, 클라우드 자산과 계정을 식별·관리·보호해야 합니다. CSPM 솔루션으로 자산과 계정의 변화를 일목요연하게 관리하고, 설정 오류 등으로 발생하는 취약점을 빠르게 진단하고 개선해야 합니다.

둘째, 기업 환경에 맞는 가시성 확보입니다. 현재 클라우드 사업자가 제공하는 콘솔은 사업자 관점의 표준적인 환경을 표현해주고 있어요. 보안 관점보다는 관리 관점의 대시보드에 가깝습니다. 따라서 보안을 위한 시각화나 기업에 가급적 최적화된 화면이 필요합니다. 특히, 멀티 및 하이브리드 환경에서는 더욱 중요할 수밖에 없습니다.

셋째, 쿠버네티스와 컨테이너 보안입니다. 앞서 말씀 드린대로 클라우드 네이티브 인프라의 도입이 빠르게 증가하고 있습니다. DevSecOps는 이제 완전한 트랜드로 자리잡고 있습니다. 더욱이 이런 부분은 클라우드 환경에 더 적합하기 때문에 향후 필수로 도입돼야 합니다.

IT 환경 변화에 따라 최근 보안 화두는 보안관리입니다. 각각의 솔루션에서 통합 관리되는 방향으로 보안영역이 커지고 넓어지면서 관리가 더욱 중요해지고 있는데요. 관리영역 관점에서 보안을 강화할 수 있는 방안과 효율적 운영방안을 제시해 주신다면?
말씀하신대로 클라우드 환경은 중첩되는 부분이 많고, 새로 관리해야 하는 포인트가 늘어나 보안의 역할이 커지고 있습니다. 보안관리 관점에서 중점적으로 체크해야 하는게 3가지가 있는데요. 먼저 자산, 계정, 설정 변동상황을 철저히 파악하고 취약점을 관리해야 합니다. 변화가 심하다는 얘기는 곧 새로운 취약점 증가를 의미하는데요. 변동사항에 따른 취약점이 실시간으로 관리돼야 합니다.

둘째, 클라우드 자체가 생산하는 이벤트에 대한 모니터링입니다. 기존 레거시 환경에는 없었던 새로운 클라우드 이벤트를 API를 통해 제공받을 수 있는데요. 해당 정보는 보안에 있어 필수적인 데이터로, 클라우드 이벤트를 철저히 관리하는 기능이 필요합니다.

마지막으로는 연관성 분석입니다. 클라우드 상의 변화와 이벤트, 그리고 자산으로부터 탐지되는 이상징후 등의 상호연관성을 분석할 경우 더욱 효과적인 보안정책을 구축할 수 있습니다. 여기에 정확성을 높이고 실시간 대응을 위해서는 AI 기반 기능 도입이 필수적입니다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 23년 1월12일 수정 위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2023년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
보안에서 진짜 ‘핫’한 제로트러스트와 공급망 보안
전문화, 분업화로 더욱 심해지는 랜섬웨어 공포
2023년 클라우드 생태계를 위협할 다양한 보안이슈들
전 국민이 사용하는 스마트폰, 2023년 해커의 집중 타깃
피싱 공격, 새로운 서비스형 위협 ‘PhaaS’로 더 악랄해지다
2022년 말에 터진 서명키 탈취사건, 2023년의 서막에 불과하다
밀집도 모니터링, 지능형 CCTV와 영상분석 트렌드 주도
주 52시간 근무제 달라지나? 정부 정책 따라 출입·근태 인증 보안 시장 요동
메타버스, 주목받는 만큼 증가하는 보안위협
스마트농업 육성 본격화, 보안과 안전 기반 하에 추진돼야