[CCTV뉴스=Jennifer Lin 구글 클라우드 프로덕트 디렉터] 클라우드로 이동하려면 세심한 계획과 많은 작업이 필요하지만, 그보다 근본적인 요소인 신뢰가 필요하다. 사용자는 클라우드 서비스 제공자가 데이터를 위협으로부터 안전하게 보호함과 동시에 이를 투명한 방식으로 수행하며, 사용자에게 모든 권한이 있다는 신뢰감을 느낄 수 있어야 한다. 위협의 유형이 점점 복잡해짐에 따라, 보안 혁신을 주도하고 고객을 보호하는 새로운 방법을 강구하기 위해 항상 노력하는 클라우드 서비스 제공자가 필요한 상황이다.

3월에 구글은 조직을 보호하기 위해 20개 이상의 보안 개선사항을 발표했으며, 이후 약 4개월이라는 짧은 시간 동안 구글은 보안 서비스의 양과 범위를 확대했다. 아래는 구글에서 현재 진행하고 있는 내용에 대한 업데이트와 해당 내용이 사용자에게 제공할 수 있는 이점이다.

※ 샌프란시스코에서 열린 구글 클라우드 넥스트에서 발표한 내용

▲컨텍스트 인지 액세스(Context-aware access) : 현재 선별된 고객에 한해 VPC 서비스 컨트롤(VPC Service Controls)을 위한 베타 버전을 사용할 수 있으며 클라우드 IAM, 클라우드 IAP, 클라우드 아이덴티티(Cloud Identity)를 위한 베타 버전도 출시 예정
▲타이탄 시큐리티 키(Titan Security Key): 현재 클라우드 고객들이 사용할 수 있으며, 구글 스토어에 곧 출시 예정
▲Shielded VM: 현재 베타 버전으로 사용 가능
▲바이너리 인증: 베타 버전 출시 예정
▲컨테이너 레지스트리 취약성 검사(Container Registry Vulnerability Scanning) : 베타 버전 출시 예정
▲클라우드 아머(Cloud Armor)의 위치 기반 액세스 제어 : 현재 베타 버전으로 사용 가능
▲클라우드 HSM: 베타 버전 출시 예정
▲액세스 투명성(Access Transparency): 곧 일반에 공개 예정
▲G Suite 보안 센터 조사 도구: 현재 얼리어답터 프로그램을 통해 사용 가능
▲G Suite 데이터 리전: 현재 일반 사용 가능

앱과 서비스에 대한 액세스를 더욱 안전하고 편리하게

자신의 업무 방식에 가장 적합한 장치에서 비즈니스 주요 앱에 액세스하려는 사람들이 점차 많아지고 있다. 하지만 기존의 액세스 관리 솔루션은 범용 적용성과 세심하지 못한 제어로 사용자들을 제한함으로써 보안과 유연성이 양립하지 못하는 경우가 종종 있었다.

이 문제에 대처하기 위해 컨텍스트 인지 액세스(context-aware access, 문맥/상황 인식을 통한 액세스 관리)를 발표했다. 이는 구글 클라우드 내외에 있는 앱과 서비스를 위해 구글 BeyondCorp 비전의 여러 요소들을 구현하는 혁신적 액세스 관리 접근법으로, 조직이 보안성과 유연성을 향상시킬 수 있도록 지원한다.

컨텍스트 인지 액세스를 통해 사용자의 ID나 위치, 요구사항 동의 문맥을 기준으로 GCP API, 리소스, G Suite, 그리고 타사 SaaS 앱에 대해 세분화된 액세스를 정의하고 실행할 수 있다. 이를 통해 보안 태세를 강화하고 복잡함은 줄여 사용자들이 어디서든 원하는 장치에서 앱에 원활하게 로그인 할 수 있도록 지원한다.

컨텍스트인지 액세스 기능은 VPC 서비스 컨트롤(VPC Service Controls)를 사용하는 고객들 중 선별된 일부만 사용할 수 있으며, 클라우드 아이덴티티 및 액세스 관리(Cloud Identity and Access Management, IAM), 클라우드 아이덴티티 인지 프록시(Cloud Identity-Aware Proxy, IAP) 및 클라우드 아이덴티티(Cloud Identity) 이용 고객들도 곧 사용할 수 있게 될 예정이다.

구글은 타이탄 시큐리티 키(Titan Security Key), 즉 구글이 완전성 검증을 위해 개발한 펌웨어가 포함된 FIDO 보안 키도 발표했다. 구글은 자격 증명 도난 시 예상되는 심각한 상황으로부터 사용자를 보호하기 위해 주요 사용자, 특히 클라우드 관리자를 위해 가장 강력하고 피싱 저항력이 강한 인증 요소로서 보안 키 사용을 오랫동안 지지해왔다.

구글이 물리적 키의 완전성을 보장하는 타이탄 시큐리티 키 덕분에 사용자는 자신의 계정이 보호되고 있다는 확신을 갖고 안심할 수 있다. 현재 타이탄 시큐리티 키는 구글 클라우드 고객들이 사용할 수 있으며, 곧 구글 스토어에서도 판매될 예정이다.

보안 기반을 더욱 강화

조직이 작업을 클라우드로 이동함에 따라 근본적인 인프라에 대한 신뢰성이 매우 중요해졌다. 구글의 목표는 신뢰성과 보안 수준이 높은 기반을 제공하여 사용자가 이를 바탕으로 구축할 수 있고 구글이 구축한 보호 기능의 장점을 활용할 수 있도록 하는 것이다.

베타 버전으로 제공되는 Shielded VM은 고급 플랫폼 보안 기능을 활용하여 VM(가상머신) 변조 방지를 지원한다. Shielded VM을 이용하여 VM 기준선의 변화나 현재 런타임 상태를 모니터링하고 그에 대응할 수 있다.

컨테이너화된 워크로드(containerized workloads)를 실행하는 조직은 VM의 완전성을 확인하는 것 외에도 보안 소프트웨어 공급망의일환으로 신뢰할 수 있는 컨테이너만 구글 쿠버네티스 엔진(Google Kubernetes Engine)에 배포되도록 해야 한다. 곧 베타 버전으로 출시되는 바이너리 인증(Binary Authorization)을 통해서, 컨테이너 이미지를 배포할 때 서명 검증을 수행할 수 있다.

바이너리 인증은 기존 CI/CD 파이프라인과 통합이 가능하기 때문에 배포 전에 이미지가 제대로 구축되었고 테스트 되었는지 확인할 수 있다. 또한 컨테이너 레지스트리 취약성 검사(Container Registry Vulnerability Scanning)와 통합함으로써 취약한 패키지가 포함된 이미지의 배포를 방지할 수 있다. '컨테이너 레지스트리 취약성 검사'는 배포 전 안전성을 확인하기 위해 우분투(Ubuntu), 데비안(Debian), 알파인(Alpine) 이미지에 대해 취약성 검사를 자동으로 수행하여 취약한 패키지가 포함되지 않도록 한다.

구글 클라우드의 광범위한 글로벌 네트워크는 기업에게 우수한 성능과 보안의 이점을 제공한다. 클라우드 아머(Cloud Armor)는 구글의 DDoS와 애플리케이션 방어 서비스로서, 구글 검색, 지메일, 유튜브 등을 보호하기 위해 사용하는 동일한 글로벌 인프라를 기반으로 한다. 구글은 클라우드 아머의 위치 기반 액세스 제어 서비스를 발표했다. 현재 베타 버전으로 사용 가능한 이 서비스를 통해 사용자는 애플리케이션에 연결을 시도하는 클라이언트의 지리적 위치를 기준으로 서비스에 대한 액세스를 제어할 수 있다.

다른 클라우드 아머 기능으로는 화이트리스팅, 즉 IP 주소를 기준으로 트래픽을 차단하는 기능, SQL 인젝션과 XSS(cross-site scripting)를 위해 사전 구축된 규칙의 배포, 그리고 3-7 계층 사이에서 사용자가 선택하는 매개변수에 따라 트래픽을 통제하는 기능 등이 있다. 클라우드 아머는 글로벌 로드 밸런싱 서비스와 함께 작동하며, 방어규칙 지정을 위해 풍부한 개방형 규칙 언어로 정책 프레임워크를 제공한다. 이를 적용하면 고객은 고유한 요구사항을 바탕으로 어플 리케이션 레벨 DDoS 방어 수단을 대규모로 배포할 수 있다.

비트를 안전하게 유지

클라우드에서 엔터프라이즈 작업을 실행할 때 최우선으로 고려해야 할 요소는 바로 데이터 보호이다. 구글은 고객이 직접 설정할 필요 없이 저장 중인 데이터를 기본적으로 암호화하는 유일한 클라 우드 서비스 제공자이다. 하지만 여전히 많은 고객들이 가장 민감한 정보 자산을 보호하는 데 도움이 되는 추가적인 옵션을 원하고 있다.

구글은 클라우드 HSM(Cloud HSM), 즉 클라우드에 호스팅된 완전 관리형 하드웨어 보안 모듈(HSM) 서비스를 소개했다. 곧 베타 버전으로 출시되는 클라우드 HSM을 통해 사용자는 암호화 키를 호스팅하고 FIPS 140-2 레벨 3 인증 HSM에서 암호 연산을 수행한다. 이 완전 관리형 서비스를 통해 사용자 HSM 클러스터 관리에 소요되는 운영 경비를 걱정할 필요 없이 가장 민감한 작업을 보호할 수 있다.

클라우드 HSM 서비스는 클라우드 키 관리 서비스(Cloud Key Management Service, KMS)와 긴밀하게 통합되어, 하드웨어에서 생성, 보호되는 키를 만들고 사용하거나, 이를 빅쿼리(BigQuery), 구글 컴퓨트 엔진(Google Compute Engine), 구글 클라우드 스토리지(Google Cloud Storage), 데이터프록(DataProc) 등과 같은 고객 관리 암호화 키(CMEK) 통합 서비스와 함께 이용하는 과정을 간소화한다.

구글은 더욱 강력한 보호 수준을 제공하기 위해 최근 오픈 소스 프레임워크인 아실로(Asylo)를 발표했다. 아실로는 컨피덴셜 컴퓨팅 환경에서 어플리케이션과 데이터의 기밀성과 완전성을 보호할 수 있도록 도와준다. 구글은 아실로가 지속적으로 개발자들 사이에서 관심과 모멘텀을 얻고 있다는 사실을 기쁘게 생각한다.

더 높은 투명성, 인사이트 및 제어력 제공

구글은 투명성을 통해 신뢰가 형성된다고 믿고 있으며, 기업이 클라우드로 이동할 때 또는 클라우드 이용을 확대할 때 기업의 보안목표를 충족하는 데 필요한 투명성과 인사이트, 제어력을 제공하고자 한다.

구글은 데이터 암호화 등 클라우드 환경에서의 업무 수행 방식에 관하여 종합적 수준의 자료를 제공한다. 또한, 구글 플랫폼에서 고객의 데이터와 상호작용해야 하는 제한적인 상황에서는 고객들에게 실시간에 가까운 가시성을 제공한다. 곧 일반에 출시되는 GCP의 액세스 투명성(Access Transparency) 기능은 동일한 종류 내에서 최초로 제공되는 기능이다.

G Suite 고객들을 위해 보안 센터용 새로운 기능인 조사 도구를 추가한다. 관리자는 이 새로운 도구를 사용해 해당 도메인 내의 보안 문제를 파악하고 신속히 시정 조치를 취할 수 있다. 예를 들어 관리자는 조직 전체의 여러 데이터 소스에 걸쳐 검색을 수행하여 어떤 파일이 외부와 공유되고 있는지 확인할 수 있으며, 결과의 상호 연관성 확인을 위해 검색에 대한 피벗을 수행하고 파일 액세스 제한을 위해 대량 작업을 수행할 수 있다.

또한 G Suite 보고와 감사 데이터를 관리자 콘솔에서 구글 빅쿼리로 보다 간편하게 옮길 수 있도록 개발하고 있다. 또한, CSCC(Cloud Security Command Center)는 최근 GCP 고객들을 위해 다섯 개의 신규 컨테이너 보안 파트너 도구와의 통합 지원을 추가했으며, 이를 통해 사용자가 구글 쿠버네티스 엔진에서 실행되는 컨테이너의 위험성을 보다 잘 이해할 수 있도록 지원 한다.

마지막으로, 많은 고객들이 구글의 글로벌 분산 데이터 센터를 활용하여 지연을 최소화하고 지리적 이중화를 높이고 있다. 하지만 일부 기업의 경우 데이터 저장 장소에 대한 필요 요건을 가지고 있으므로 그들의 요구를 충족하기 위해 최선을 다하고 있다. 그 첫 단계인 G Suite의 데이터 리전은 G Suite 비즈니스나 엔터프라이즈 고객들이 선택적으로 일부 G Suite 앱의 주요 데이터를 저장할 리전(세계적으로는 미국 또는 유럽 중에서)을 지정할 수 있도록 한다.

이러한 업데이트 외에도, 구글은 비밀번호 경고(Password Alert)라고 하는 크롬 브라우저용 신규 정책을 발표하였는데, IT 관리자들은 이를 통해 직원들이 회사의 통제 밖에서 회사 비밀번호를 재사용하지 못하도록 설정하여 계정 손상을 방지할 수 있다.

기업의 보안 강화 위한 혁신 계속 제공할 것

구글 클라우드는 최근 포레스터 웨이브(Forrester Wave)의 2018년 2분기 퍼블릭 클라우드 플랫폼 네이티브 보안 보고서에서 업계 최고 기업으로 선정되며 보안을 위한 구글의 지속적인 노력을 인정 받았다. 구글은 이러한 명성을 얻게 되어 기쁘지만 여기에 안주하지 않을 것이다. 구글은 비즈니스 환경을 보다 안전하게 만드는 것이 모두에게 중요한 일이라고 믿고 있으며, 앞으로도 기업의 보안 강화를 위한 혁신적인 방법을 계속 제공할 것이다.

출 처: 구글 공식 블로그 - Building on our cloud security leadership to help keep businesses protected

#구글#구글 클라우드#보안#구글 클라우드 넥스트