[아이티데일리] 2023 클라우드 컨퍼런스 오후 첫 세션은 안랩의 김용수 부장이 ‘클라우드 워크로드 보안과 위협 대응’을 주제로 발표를 진행했다. 김용수 부장은 클라우드 전환 동향과 클라우드 네이티브에 대한 개념, 컨테이너로 구현된 서버 워크로드 환경에서의 보안 위협에 대해 설명했다.

김 부장은 먼저 클라우드 전환 동향에 대해 소개했다. 최근 많은 기업과 기관들이 클라우드 환경으로 빠르게 전환하고 있다. 공공기관은 2025년까지 정부 주도 하에 클라우드로 정보시스템을 이관하고 있다. 특히 클라우드로 전환하는 기업의 70%가 리프트앤시프트(Lift&Shift)를 채택하고 있다. 나머지 30%는 클라우드 네이티브에 가까운 리플랫폼과 리팩토링을 채택하고 있다. 또한 클라우드 전환이 끝난 후에는 업무 효율성과 비즈니스 민첩성을 확보하기 위해 고심하고 있다.

업무 효율성과 비즈니스 민첩성을 확보할 수 있는 해결책으로 클라우드 네이티브가 꼽힌다. 김용수 부장은 “클라우드 네이티브 환경은 ‘컨테이너 그리고 CI/CD’로 정의할 수 있다. 컨테이너 기반에서 애플리케이션을 지속적으로 개발하고 통합, 배포할 수 있도록 자동화 프로세스를 구성하는 것이 핵심이다. 하지만 이에 앞서 선행돼야 하는 것은 MSA 환경으로 애플리케이션 아키텍처를 구성하는 것”이라면서, “기존의 크고 거대한 애플리케이션 아키텍처를 마이크로서비스화해 컨테이너에 올려야 한다”고 설명했다.

또한 김용수 부장은 클라우드 네이티브에서도 보안에 역점을 둬야 한다고 강조했다. 클라우드 네이티브 환경에서의 보안은 기존 온프레미스에서의 보안과는 다르게 구성해야 한다. 특히 CI/CD 전 단계에서 보안을 고려해야 한다.

아티팩트 스캐닝(Artifact Scanning) 영역에서는 컨테이너 이미지에 대한 보안부터 정적분석(SAST), 동적분석(DAST), API 스캐닝 등이 필요하다. 런타임 보호 영역에서는 웹 애플리케이션, 애플리케이션 모니터링, 클라우드 워크로드 보호 플랫폼, 네트워크 세그먼테이션 등이 고려돼야 한다. 클라우드 형상 영역에서는 IaC에 대한 스캐닝과 네트워크 형태와 보안 정책, 클라우드 인프라 권한 관리, 쿠버네티스/클라우드 보안 관리 등에 신경써야 한다.

컨테이너 환경에서의 보안 위협 사례도 공유했다. 먼저 김 부장은 도커 레스트(REST API)에 대한 취약점 사례를 소개했다. 그는 “도커 컨테이너 환경을 구성해 운영할 경우 CLI나 GUI로 로컬에 명령한다. 또 도커를 도커 허브 및 저장소에서 불러와 운영하면서 서비스를 구현할 수 있다. 레스트 API 포트를 통해 원격지에서 도커 환경과 도커 컨테이너 환경을 구성할 수도 있다”면서, “하지만 공격자 입장에서 API 포트 스캐닝을 통해 레스트 API로 연결된 포트를 체크한 후 리턴 값을 받고, 취약점을 확인해 진입할 수 있게 된다. 공격자들이 악의를 품고 악성 코드를 담은 컨테이너를 생성할 수도 있다. AESDOS, Doki, Kinsing(H2Miner), xanthe(LoggerMiner), kaijiDDos, Muhstick 등의 악성코드가 대표 적이다. 고객사가 이를 빠르게 인지하지 못하면 막대한 피해를 입게 된다. 이를 방지하기 위해 컨테이너 내부에 존재하는 악성 코드를 모두 검사하고 탐지하며, 즉각 대응할 수 있는 환경을 구성해야 한다”고 말했다.

김용수 부장은 이러한 위협에 대응할 수 있는 ‘안랩 CPP(Cloud Protection Platform)’을 소개했다. 안랩 CPP는 클라우드 엔드포인트 통합 보안을 위해 △안티-멀웨어(Anti-Malware) 컨테이너 및 쿠버네티스 환경 보호 △호스트 IPS(Host IPS) 컨테이너 및 쿠버네티스 환경 보호 △애플리케이션 컨트롤(Application Control) △서버 서비스 가용성 유지관리 등 보안 모듈을 보유하고 있다.