[클라우드드리븐인프라] "방패 없는 클라우드 전환 무의미" 보안 울타리 어떻게 강화할까?

실시간
뉴스

e비즈*솔루션

[클라우드드리븐인프라] "방패 없는 클라우드 전환 무의미" 보안 울타리 어떻게 강화할까?

디지털데일리 발행일 2024-03-08 15:34:17

김보민 기자

URL복사

[디지털데일리 김보민기자] 공공기관과 민간 기업을 중심으로 클라우드 전환이 본격화된 것은 어제오늘 일이 아니다. 디지털 공간에서 조직을 운영하고 사업 시스템을 가동하는 흐름이 대세가 되면서 클라우드 도입은 '선택 아닌 필수'로 이미 자리를 잡았다.

다만 클라우드 환경을 보호할 보안 솔루션이나 서비스에 투자를 미루는 기관과 기업도 많다. 특히 여력이 많지 않은 중소 조직에서 예산을 편성할 때 보안 투자를 가장 먼저 줄이는 행태가 이어지고 있다.

그러나 업계 안팎에서는 방패 없는 클라우드 전환은 무용지물이라는 이야기가 나온다. 특히 인공지능(AI) 기술을 활용한 새로운 외부 공격이 등장하고 있는 만큼, 세부 및 엔드포인트 단위에서 보안 울타리를 강화할 필요성이 커지고 있다. 클라우드 보안에 특화된 솔루션이 각광을 받는 이유다.

클라우드 보안은 ▲퍼블릭 클라우드 ▲프라이빗 클라우드 ▲하이브리드 클라우드 ▲다중 클라우드 등 네 가지로 크게 나뉜다. 조직과 사업을 어떤 규모로 어떻게 운영할 것인지에 따라 선택만 하면 된다. 솔루션 및 기능 확장에 초점을 둔 조직의 경우 모든 시스템을 클라우드 환경에서 가동하는 '클라우드 네이티브'를 택하기도 한다.

클라우드 보안은 신종 코로나바이러스 감염증(코로나19)이 발병한 이후 비대면 업무가 인기를 끌면서 주목을 받은 바 있다. 단순 친구와 사진을 공유하는 것부터 정부가 온라인 대민 서비스를 제공하는 작업까지 모두 클라우드 환경에서 효율적으로 제공될 수 있기 때문이다. 방역 수칙이 완화된 현시점에서도 클라우드는 디지털 시대를 대표할 핵심 자원으로 여겨지고 있다.

보안 업계는 최근 몇 년간 클라우드 보안 솔루션 및 서비스를 진화시키는 데 집중해왔다. 클라우드서비스공급자(CSP)와 협업하며 다양한 형태로 고객이 클라우드 보안을 적용해볼 수 있도록 확장하는 상황이다. 서비스형소프트웨어(SaaS)는 물론, 플랫폼형서비스(PaaS), 인프라형서비스(Iaas)로도 제공이 가능하다.

보안 업계에서는 클라우드 환경을 보호하기 위해서는 일곱 가지 체크리스트를 확보해야 한다고 보고 있다.

먼저 액세스 제한을 정하는 것이 중요하다. 클라우드는 인터넷 환경에서 모든 것에 접근할 수 있도록 지원하기 때문에, 권한을 가진 사람이 특정 시간 동안 적절한 도구에 액세스할 수 있도록 설정하는 것이 중요하다. 데이터 보호도 빼놓을 수 없는 과제다. 조직은 데이터는 물론, 데이터를 다루는 인프라를 모두 보호할 수 있는 제어 기능을 마련해야 한다. 클라우드 전환에 있어 조직이 데이터 위치와, 데이터가 흐르는 모든 이동 방향을 파악할 필요가 있다는 것이다.

클라우드 환경에서 오류가 발생하거나 액세스 과정에서 위반 사항이 발생할 경우를 대비해 백업 솔루션과 데이터 복구 계획을 마련하는 것도 필수다. 아울러 사이버 위협과 같은 공격을 당한 경우, 다른 시스템에 추가 손상이 가해지지 않도록 방지 계획을 수립할 필요도 있다.

직원 단위에서 할 수 있는 일도 있다. 그 일환으로 떠오른 키워드가 '시프트 레프'다. 시프트 레프트는 기획 및 개발 단계에서부터 정보보호 관여도를 깊게 하는 방식을 뜻한다. 이 밖에도 데브옵스(DevOps) 보안을 중심으로 가시성을 통합하고, 클라우드 운영에 특화된 전문 인력을 확보하는 것도 중요하다.

현재 국내외 보안 업계에서는 아이디(ID) 및 액세스, 클라우드 인프라 권한 관리, 클라우드네이비트애플리케이션보호플랫폼(CNAPP), 통합 데브옵스 보안 관리 도구를 제공해 조직 내 디지털 전환을 돕고 있다. 최근에는 외부뿐만 아니라 내부자 위협도 사전에 방지하는 제로 트러스트(Zero Trust) 방식도 주목을 받기 시작했다.

이런 가운데 <디지털데일리>는 3월 13일 오전 10시부터 양재동 엘타워 그레이스홀에서 '클라우드 드리븐 인프라 & 솔루션 2024' 컨퍼런스를 진행한다. 이번 컨퍼런스 주제는 '클라우드 인프라와 솔루션을 통한 비즈니스 혁신'으로, 국내외 주요 보안 기업들이 연사로 참여한다.

대표적으로 ▲아카마이의 경제적인 퍼블릭 클라우드를 활용한 AI 보안과 분산 아키텍처(강상진 아카마이 상무) ▲보안이 확보된 MLOps 구축 방안(최광호 안랩 클라우드사업본부장) ▲글로벌 수준의 개인정보보호를 위한 클라우드 환경에서의 안전성 확보 방법(염승훈 이지서티 수석연구원) ▲제로 트러스트의 효과적인 구현 방안 및 베스트 프랙티스(장희재 옥타아이덴티티코리아 상무 등)와 같은 주요 발표 세션이 진행될 예정이다. 이 밖에도 삼성SDS, 메가존클라우드, 빔 소프트웨어, 맨텍솔루션, SK㈜ C&C, 베스핀글로벌/옵스나우, LG CNS의 주제 발표도 만나볼 수 있다.