UPDATE : 2020-07-03 18:19 (금)
[기고] 강력한 클라우드 보안의 핵심, 자동화
상태바
[기고] 강력한 클라우드 보안의 핵심, 자동화
  • 최형주 기자
  • 승인 2020.06.23 13:21
  • 댓글 0
이 기사를 공유합니다

기업 클라우드 도입에 필요한 보안 전략

[글 천상진 | 한국레드햇 이사]

 

복잡한 하이브리드 클라우드와 멀티 클라우드 환경 보안은 많은 기업들이 당면한 핵심 과제다. 하이브리드 클라우드 환경에서 보안 규격과 체계는 더욱 강화돼야 한다. 그러나 기존 네트워크 기반 보안 체계는 클라우드 컴퓨팅 환경에 적합하지 않다. 그렇다면 클라우드 보안 전략을 위해 새롭게 고려해야 할 사항엔 어떤 것이 있을까?

 

설계 단계부터 고려해야 하는 클라우드 보안

레드햇의 ‘2020 글로벌 고객 기술 전망 보고서’에 의하면, 조사응답자 중 31%가 가장 주목받는 클라우드 전략으로 하이브리드 클라우드를 꼽았고, 레드햇을 선택한 주요 이유 중 하나가 바로 보안 및 안정성인 것으로 나타났다.

이에 따라 최근 클라우드 보안의 전략으로 ‘데브섹옵스(DevSecOps)’ 개념이 화두가 되고 있다. 데브섹옵스란 ‘데브옵스’에서 한 걸음 더 나아가 보안(Built-in-Security)까지 적용함을 말한다. 또한, 민첩한 데브옵스 워크플로우 지원을 위해 보안이 적용되도록 자동화한다.

과거 애플리케이션 개발 주기가 몇 개월에서 몇 년이었을 때는 애플리케이션 개발 마지막 단계에서야 보안이 고려되었다. 그러나 디지털 비즈니스에 효율적인 데브옵스를 통해 몇 주 또는 며칠 내로 개발 주기가 단축됐으며 이를 통해 애플리케이션 개발이 더 빠르고 빈번하게 진행되고 있다.

이제 변화된 개발 주기에 맞춰 이를 뒷받침하기 위해 IT 보안도 클라우드 도입 단계에서부터 엔드 투 엔드로 적용돼야 한다. 클라우드 도입 단계에서 고려해야 하는 보안 사항들은 다음과 같다.

기업이 클라우드 도입 시 강력한 보안을 제공하는 데브섹옵스로 혁신하기 위해서는 IT 담당자들에 대한 지원이 필수적이다. 기업의 서비스 체계 및 환경에 맞는 데브섹옵스 자동화를 구축하기 위해서는 IT 담당자가 이를 경험할 수 있도록 해야 한다. 기업의 담당자가 누구보다 자사 시스템에 대한 이해도가 가장 높아 적합한 시스템을 구성할 수 있기 때문이다.

또한 이들이 책임에 대한 부담 없이 컨테이너 등에 보안을 적용하는 과정을 겪게 해야 한다. 이를 기반으로 자사의 보안 규격, 정책 및 아키텍처에 알맞은 데브섹옵스 자동화를 비로소 구축할 수 있다.

 

자동화된 보안

IT 보안은 지속 가능하도록 통합 운영돼야 한다. 보안 솔루션 간의 통합이 이뤄지지 않은 기업 보안 환경은 취약할 수밖에 없고, 보안 팀의 업무 처리 영역은 한정적이다. 하나의 보안 솔루션이 모든 보안 문제를 해결할 수 없기에 기업은 다양한 보안 제품들을 활용하고 있다. 하지만 이러한 행태가 매우 비효율적이라는 사실이 많은 조사들을 통해 나타나고 있는 상황이다.

포레스터가 2018년 6월 발표한 ‘인프라 자동화를 통한 위험도 절감 및 보안 강화(Reduce Risk and Improve Security Through Infrastructure Automation)’ 보고서에 따르면, 해커들도 자동화 기능을 사용하는 것으로 나타났다. 수많은 보안 프로그램이 있지만, 자동화된 보안 요소 없이 이들의 자동화된 공격에 대응하기란 매우 어렵다. 특히 벤처비트(VentureBeat) 조사에 따르면, 보안 팀은 매일 평균 들어오는 보안 경고의 5% 이하 정도만을 처리하고 있다.

아울러 가트너는 2018년 2월 ‘오케스트레이션 및 자동화 툴을 위한 보안 운영 대비(Preparing Your Security Operations for Orchestration and Automation Tools)’ 보고서에서 “아직 대다수의 보안 팀에게 개별적인 보안 환경을 각각 점검하는 툴 사일로(Tool Silo)는 당연한 문제”라고 밝혔는데, 이는 많은 IT 보안 솔루션들이 서로 완전히 분리되어 있기 때문이다.

예컨대, 건물 경비를 위해 CCTV 시스템 및 보안 요원을 비롯한 많은 투자를 했지만, 보안 요원이 CCTV를 확인하지 않는 것과 마찬가지라고 볼 수 있다. 자동화 솔루션들을 도입하면 다양한 산업 내 보안 솔루션들을 통합 관리할 수 있다.

보안 사일로를 해결하기 위해 엔터프라이즈 방화벽, 침입 탐지 시스템(IDS), 보안 정보 이벤트 관리(SIEM) 솔루션 등을 비롯한 여러 보안 솔루션을 공통적인 자동화 언어로 각각 자동화 할 수 있다. 보안 포트폴리오의 모든 솔루션들을 공통된 언어로 자동화하면, 운영자는 단기간에 다양한 제품에서 일련의 작업을 수행하여 보안팀의 전반적인 효율성을 극대화하는 장점을 얻는다.

 

강력한 보안 기능을 갖춘 플랫폼 활용 필요

최근 빠르게 고객에게 서비스를 제공해 경쟁력을 강화하는 방안으로 업계에서는 컨테이너를 활용하고 있다. 컨테이너가 구동 및 운영될 때 기반이 되는 호스트 운영체제는 보안 규격 및 정책이 그대로 적용돼 강력한 보안 기능을 할 수 있는 제품 사용이 필수적이다. 이를 위해 보안 소프트웨어에 대한 국제 표준 인증인 CC(Common Criteria) 인증을 획득한 제품들을 활용하여 높은 보안성을 갖춰야 한다.

컨테이너형 워크로드는 디지털 트랜스포메이션과 클라우드 네이티브의 미래를 명확하게 제공하지만, 이러한 애플리케이션을 구축하는 데 사용되는 도구는 가장 최신의 혁신과 안정적으로 지원되는 라이프사이클의 균형을 맞춰야 한다. 주기적으로 제공되는 플랫폼 솔루션 업데이트를 통해 사용 편의성과 보안을 극대화할 수 있다.

 

강력한 클라우드 보안을 위한 자동화 전략

전 세계가 코로나19 팬데믹 사태 극복을 위해 노력하고 있다. 많은 IT 기업들이 원격근무 등을 도입하고, 제한된 인력으로 서비스를 운영하고 있다. 이러한 상황에서 IT 담당팀에는 그 어느 때보다 하이브리드 및 멀티 클라우드 환경의 크기나 규모, 복잡성 등에 상관없이 엔터프라이즈 기술 스택의 기반을 모니터링, 관리 및 분석할 수 있는 능력이 필요하다.

플랫폼에서 제공하는 스마트 매니지먼트 솔루션들을 통해 잠재적인 문제가 발생하기 전에 이를 지능적으로 감지, 진단 및 해결할 수 있도록 지원받아야 한다. 일관되고 지속적인 자동화 전략을 가져가야 강력한 클라우드 보안을 구축할 수 있다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.