클라우드 보안의 첫걸음, ‘CWPP’

[아이티데일리] 클라우드 전환이 본격화되면서 클라우드 보안이 주목받고 있다. 특히 클라우드사업자(CSP)의 ‘책임 공유 모델(Shared Responsibility)’에 대한 인식이 보편화되면서 보안 솔루션 도입이 본격화되고 있다.

클라우드 보안 시장에서 떠오르고 있는 솔루션은 ‘클라우드 워크로드 보호 플랫폼(CWPP, Cloud Workload protection Platform), 클라우드 접근 보안 중개(CASB, Cloud Access Security Broker), 클라우드 보안 형상 관리(CSPM, Cloud Security Posture Management) 등이다. 특히 CWPP는 애플리케이션 제어, 안티 멀웨어, 호스트 기반 침입방지시스템(HIPS, Host-Based Intrusion Prevention System) 등의 기능을 제공해, 클라우드 보안의 필수적인 솔루션으로 평가받고 있다.

국내에서도 CWPP 시장이 활짝 열리고 있다. 트렌드마이크로, 시만텍, 맥아피 등 글로벌 기업이 장악하고 있는 시장에 안랩, 시큐아이 등 국내 기업이 도전장을 내밀고 있다. 글로벌 기업들은 앞선 기술력을 바탕으로 시장을 확대해간다는 전략이며, 국내 기업들은 국내 시장의 요구사항에 최적화된 솔루션으로 시장을 공략한다는 방침이다. 최근 국내 기업들이 본격적으로 참여하기 시작한 CWPP 시장을 살펴봤다.

① 클라우드 워크로드 보호 플랫폼, 필수 보안 솔루션으로 떠올라
② CSPM 등과 통합해 토털 솔루션으로 진화
③ 국내 기업, ‘최적화’ 무기로 시장에 도전장


CWPP, 필수 보안 솔루션으로 떠오른다

디지털 뉴딜 정책 등으로 클라우드 전환이 가속화되고 있는 가운데, 클라우드 환경을 보호하기 위한 보안이 주목받고 있다. 특히 퍼블릭 클라우드 환경에서의 보안은 CSP와 고객사가 함께 책임을 공유해야 한다는 ‘책임 공유 모델’에 대한 인식이 보편화되면서 수요가 빠르게 늘어나고 있다.

▲ AWS 책임공유모델(출처: AWS)

CSP가 제시하고 있는 ‘책임 공유 모델’을 살펴보면, 클라우드를 위한 보안은 CSP가 책임지며 클라우드 서비스 내에서의 보안은 고객사가 책임져야 한다고 규정하고 있다. 구체적으로 ▲컴퓨팅 ▲스토리지 ▲DB ▲네트워크 등 하드웨어 및 인프라, 소프트웨어에 대한 보안은 CSP가, ▲데이터 ▲애플리케이션 ▲OS ▲네트워크 및 방화벽 설정 등의 보안은 고객사가 책임을 져야 한다.

이에 클라우드 전환을 고려하는 기업들은 데이터, 플랫폼, 앱 등을 보호하기 위한 클라우드 보안 솔루션에 관심을 보이고 있다. 클라우드 보안 솔루션으로 대표되는 것은 ▲CWPP ▲CASB ▲CSPM 등이다.

특히 이 중 CWPP는 클라우드 보안의 가장 기본적인 솔루션으로 평가받는다. 글로벌 시장조사기업 가트너는 CWPP를 하이브리드 및 멀티 클라우드 환경에서 서버 워크로드를 보호하기 위한 보안으로 정의하고 있다. CWPP는 온프레미스, 가상 머신(VM), 컨테이너, 서버리스 등 워크로드에 대해 가시성과 보안을 함께 제공한다.

가트너는 CWPP의 주요 기능을 8가지로 정의했다. 8가지 주요 기능은 ▲보안 강화 및 설정/취약점 관리(Hardening, Configuration and Vulnerability Management) ▲네트워크 방화벽, 가시성 확보 및 마이크로세그멘테이션(Network Firewalling, Visibility and Microsegmentation) ▲시스템 무결성 보장(System Integrity Assurance) ▲애플리케이션 제어(Application Control/Whitelisting) ▲익스플로잇 예방 및 메모리 보호(Exploit Prevention/Memory Protection) ▲서버 워크로드 EDR, 행위 모니터링 및 위협 탐지·대응(Server Workload EDR, Behavioral Monitoring and Threat Detection/Response) ▲호스트 기반 침입 탐지 시스템(Host-Based IPS With Vulnerability Shielding) ▲안티 멀웨어(Anti-malware Scanning) 등이다.

▲ 가트너에서 정의한 CWPP 주요기능(출처: 시스코)

먼저 ‘보안 강화 및 설정/취약점 관리’는 서버 워크로드 운영에 있어 불필요한 컴포넌트를 삭제하고, 산업 기준 및 조직 가이드 라인에 맞춰 시스템이 구성돼 있는지를 검사하는 기능을 의미한다. 일반적으로 스캐닝 툴로 제공되며, 일부 CWPP 솔루션에서는 시스템 구성 및 취약점 분석 기능을 제공한다.

‘네트워크 방화벽, 가시성 확보 및 마이크로세그멘테이션’ 기능은 마이크로세그멘테이션을 통해 워크로드 별로 세분화된 방화벽을 구축하고 가시성을 확보한다. CWPP 솔루션에서는 별도의 방화벽을 제공하거나, OS의 방화벽 또는 CSP에서 기본으로 제공하는 보안 그룹 등을 제어하는 형태로 기능을 제공한다.

‘시스템 무결성 보장’ 기능은 VM 및 컨테이너에서 이미지가 마운트 되기 전에 무결성을 확인하거나 워크로드가 부팅/구동된 상태에서 시스템 파일이나 구성에 대한 무결성을 실시간으로 모니터링한다.

‘애플리케이션 제어’는 애플리케이션 실행을 제어함으로써 보안을 강화한다. 일반적으로 클라우드의 서버 워크로드는 하나의 애플리케이션만 구동하는 특성을 갖고 있다. 이런 특성을 고려해 제로트러스트 관점에서 화이트리스트 기반으로 애플리케이션 실행을 제어한다.

‘익스플로잇 예방 및 메모리 보호’ 기능은 OS 및 실행이 가능한 애플리케이션의 취악점에 대응한다. 악성코드가 메모리에서 구동되는 등의 파일리스 공격 등으로부터 서버 워크로드를 보호한다. ‘서버 워크로드 EDR’ 기능은 네트워크 통신, 프로세스 시작 등을 모니터링해 의심스러운 행위를 탐지하고 대응한다. 호스트 기반의 에이전트 방식으로 탐지하거나, 클라우드 사업자가 제공하는 네트워크 데이터 등의 정보를 기반으로 탐지 및 대응하는 형태로 구성돼 있다.

‘호스트 기반 침입 탐지 시스템’ 기능은 유입되는 네트워크 트래픽을 분석해 공격을 탐지, 차단한다. 호스트 기반으로 동작해 VM 및 컨테이너 환경에서 발생하는 네트워크 공격에도 대응할 수 있으며, 제로데이 취약점 공격으로부터 서버를 방어하는 용도로도 사용할 수 있다.

마지막으로 ‘안티 멀웨어’ 기능은 시그니처 기반으로 멀웨어를 탐지, 차단한다. 주로 파일을 보관 및 공유하는 파일 서버를 검사하거나 컴플라이언스를 충족하기 위해 활용한다.

현재 서비스되고 있는 CWPP 솔루션을 살펴보면 가트너가 정의한 8가지 기능을 모두 제공하는 제품도 있으며, 일부만 제공하는 경우도 있다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지