[컴퓨터월드] 시계 시장에서 클라우드는 이미 대세로 자리잡았다. 클라우드를 도입하려는 기업들이 늘어나면서 국내에서도 클라우드가 빠르게 확산되고 있다. 이처럼 확산되고 있는 클라우드 환경에서 간과하지 말아야 할 부분이 있는데 바로 보안이다. 방화벽, 침입탐지 및 방지(IDS/IPS) 등의 기초적인 보안 기능은 클라우드 서비스 사업자(CSP: Cloud Service Provider)가 기본으로 제공하지만, 이 기능만으로는 충분하지 않다.

기업에서 클라우드 도입을 꺼려하는 가장 큰 이유 중 하나는 자신들의 자산, 데이터가 정확히 어디에 존재하는지 알 수가 없다는 점이다. 특히 서비스형 소프트웨어(Software as a Service)의 경우 더욱 그렇다.

보안 업계는 이런 문제를 해결할 수 있는 대안으로 ‘클라우드접근보안중개(CASB: Cloud Access Security Broker)’ 솔루션을 제시한다. ‘CASB’는 SaaS와 API 또는 프록시 방식으로 연동해 사용자 접근 통제 및 데이터 유출 방지, 모니터링 등의 기능을 제공한다. 클라우드 환경에서는 기존의 방식과 다른 새로운 보안 체계를 구축해야한다. 클라우드 보안 트렌드 중 최근 관심의 표적이 되고 있는 CASB 솔루션에 대해 알아본다.

클라우드 확산에 따라 CASB 솔루션 관심 증가

최근 국내 IT 업계에서 가장 큰 화두 중 하나는 역시 클라우드다. 정부는 올해 말까지 공공기관의 40%가 민간 클라우드 서비스를 이용할 수 있도록 하겠다고 밝혔다. 정부는 2015년부터 제 1차 K-ICT 클라우드 컴퓨팅 활성화 기본 계획을 수립해 추진하고 있으며, 최근 대통령 직속 4차산업혁명위원회에서 ‘제2차 클라우드 컴퓨팅 기본계획’을 심의 조정했다.

공공기관은 물론 일반기업에서도 클라우드에 대한 관심은 나날이 증가하고 있다. 하지만 클라우드 도입하려는 기업들은 여전히 보안 문제를 거론하면 도입을 망설이게 된다. 클라우드를 도입할 경우 자신들의 자산 또는 데이터가 안전하게 보호될 수 있다는 확신이 없기 때문이다.

실제 IDG가 발표한 ‘2018년 클라우드 컴퓨팅’에 따르면, 기업들이 클라우드 도입을 주저하는 가장 큰 이유는 ‘보안 및 규정 준수에 대한 우려(63%)’때문인 것으로 나타났다. 특히 SaaS를 도입할 경우 보안에 대한 우려가 심큰 것으로 조사됐다. 클라우드 상에 데이터가 직접 올라가기 때문이다. 서비스형 인프라스트럭처(IaaS: Infrastructure as a Service)나 서비스형 플랫폼(PaaS: Platform as a Service)의 경우 데이터는 기업이 관리하는 영역에 속하지만, SaaS는 데이터가 서비스로 제공되는 영역에 저장돼, 기업으로서는 정보유출을 걱정하지 않을 수 없다.

이런 문제를 해결할 수 있는 대안으로 ‘CASB’ 솔루션이 주목받고 있다. ‘CASB’는 2012년 가트너가 제시한 것으로, 기업이 이용하는 클라우드 및 애플리케이션에 대해 가시화 그리고 데이터 보호 및 거버넌스를 실현하는 서비스를 말한다. 클라우드 내 데이터에 대한 가시성을 확보하고, 사용자 접근 통제를 적용함으로써 기업의 자산을 보호하겠다는 취지다.

멀티 클라우드 보안 트렌드로 자리잡는 ‘CASB’

클라우드 환경에서 보안을 구축하는 방식 중 현재 각광받고 있는 것은 ‘서비스형 보안(Security as a Service)’과 ‘CASB’다. SECaaS는 SaaS의 한 종류로 클라우드를 이용해 보안 솔루션을 서비스로 제공하는 것을 뜻한다.

SECaaS는 CSP가 보안서비스를 플랫폼 단에서 제공함으로써 보안에 대한 비용절감 및 운영 효율성을 기대할 수 있다. 보안 서비스 공급자는 각 CSP가 운영하는 클라우드에 보안 솔루션을 제공하고 CSP가 서비스를 운영하게 된다. 클라우드 사용자는 CSP에 클라우드 사용료 및 보안 서비스 비용을 함께 지불해 서비스를 이용할 수 있다.

SECaaS의 장점은 기업에서 원하는 보안 서비스를 보안장비를 도입하지 않고 활용할 수 있다는 점이다. 보안 전문인력을 확보하지 않아도 되며, 유지보수나 장비관리 등에 신경 쓸 필요도 없다. 또한 초기 구축비용이 많이 들지 않는다는 것도 장점으로 꼽힌다.

SECaaS의 단점은 단일 클라우드 환경마다 서비스가 적용돼야 한다는 점이다. 한 기업이 2개 이상의 클라우드를 활용하는 멀티 클라우드 환경을 구성한다면, SECaaS는 각각 클라우드마다 보안 서비스를 적용해야 하는 것이다.

SECaaS 형태로 많이 제공되는 솔루션은 ▲웹 애플리케이션 방화벽(WAF: Web Application Firewall) ▲이메일 보안 서비스 ▲안티바이러스 등이다. 주로 기존의 보안 솔루션을 서비스화해 제공하고 있다.

또 다른 방식으로 주목받고 있는 ‘CASB’는 멀티 클라우드 사용자가 각 CSP가 제공하는 SECaaS를 사용할 경우 다양한 보안 서비스 공급자의 솔루션을 운영해야 한다는 이슈가 발생해, 이 대안으로 가트너에서 제시한 방식이다.

구체적으로 멀티 클라우드 서비스 이용자와 CSP 사이에 CASB를 배치하고 단일 통제 포인트를 설정해, 인증, 접근 제어, 데이터 유출방지, 로그 모니터링, 멀웨어 대응 등 클라우드 리소스에 대한 접근과 보안 정책을 적용하는 것을 한 예로 들 수 있다.

CASB의 등장은 멀티 클라우드 활용과 모바일 디바이스의 다양화가 큰 영향을 끼쳤다. 복수의 SaaS를 사용하면서 PC나 스마트폰, 태블릿 등을 이용하는 디바이스 종류가 늘어나고 있다. 또 사무실 이외에서 직접 클라우드 서비스를 이용하는 경우도 증가하고 있다. 이런 경우 기존의 방화벽과 같은 보안 솔루션으로는 보안과 거버넌스를 관리하는 데 어려움이 따르게 된다. 이는 기존의 경계 보안 모델로는 대응할 수 없으며, 기업 IT 담당자가 관리할 수 없는 섀도우(Shadow) IT가 증가하고 있다는 것을 의미한다.

이와 같은 문제를 해결하고 직원의 업무효율과 편리함까지 고려하면서 일관된 보안 정책을 준수해 클라우드를 이용할 수 있도록 지원하는 솔루션이 CASB다. 가트너는 CASB 개념을 제시하며 4가지 기준을 세웠다. CASB는 멀티 클라우드 보안을 위한 새로운 보안 계층(Layer) ▲가시성(Visibility) ▲규정 준수(Compliance) ▲데이터 보안(Data Security) ▲위협 방지(Threat Protection) 등 4가지 핵심 기능을 제공해야 한다.

SK인포섹 관계자는 “기존의 경계 보안에서 보안의 기준점이 방화벽이었다면, 클라우드 보안의 기준점은 CASB라 할 수 있다”며, “CASB는 클라우드에 올라가는 기업의 자산에 일괄적인 보안 정책을 적용하고 가시성을 확보할 수 있으며, 클라우드로 접속하는 사용자의 행위 분석(UEBA: User Entity Behavior Analytics)을 위한 로우데이터를 확보할 수 있다”고 설명했다.

김민석 팔로알토네트웍스 이사는 “클라우드 보안에는 3가지 방식이 고려되고 있는데, 먼저 초기에는 각 파트마다 논리적 방화벽을 설치해 기존의 경계 보안과 유사한 방식을 고려했으며, API 연동을 통해 가시성을 확보하는 방식도 나타났다”면서, “최근에는 서버리스 영역에 대한 보안이 강조되고 있으며, VM 영역에서 데이터 및 사용자의 행위를 관리하는 방식이 주목받고 있다”고 말했다.

API, 프록시 방식 모두 지원해야 기준요건 만족

CASB는 초기 API 방식과 프론트 프록시, 리버스 프록시 등 크게 3가지 방식으로 제공됐다. 하지만 가트너가 제시한 4가지 요건을 충족하기 위해서는 모든 방식을 활용할 필요가 있었으며, 현재는 거의 모든 CASB 벤더들이 API, 프록시 방식 모두를 제공하고 있다.

프론트 프록시는 클라우드에 접속하기 이전에 필수적으로 CASB를 통하게 함으로써 클라우드 환경 내 기업 자산을 보호한다. 리버스 프록시는 SaaS에 접속하면 CASB에서 인증정보를 검증한 후 서비스를 이용할 수 있도록 한다. API 방식은 애플리케이션과 API로 연동한다.

프록시 방식은 접근 통제 및 데이터 유출 방지에 효과적이고 실시간으로 기능을 활용할 수 있다는 게 장점이지만, 클라우드 내에서 데이터의 이동 및 사용자의 행위 등 가시성 확보에는 한계가 있다. 반대로 API 방식은 애플리케이션과 연동되기 때문에 클라우드 내에서 진행되는 사용자의 행위, 데이터 기록에 대해서 가시성을 확보할 수 있다는 게 장점이다. 다만 API 방식은 실시간으로 제공되기에는 무리가 있다. 이에 CASB 벤더들은 방식을 혼합해 CASB 기준 요건을 만족하도록 구성하고 있다.

최재우 시만텍코리아 SE본부 이사는 “프론트 프록시와 같은 게이트웨이 방식은 다양한 디바이스 환경에서 강제로 할 수 없다는 단점이 있어, 최근에는 리버스 프록시와 API 연동 방식을 함께 제공하고 있다”고 설명했다.

CASB의 발전 상황을 살펴보면, 초기 가트너에서 정의한 후 2014년, 2015년에는 전세계 많은 벤처 및 보안 기업들이 프로토 타입의 CASB를 개발했다. 이후 2016년에 출시된 1세대 CASB는 에이전트 설치 방식으로 개발돼 초기 시장을 형성했으나, 다양한 문제가 제기돼 현재 에이전트리스(AgentLess) 방식의 CASB 솔루션이 제공되고 있다.

업계 전문가들은 고객의 요구와 성능향상이 수시로 이뤄지는 SaaS 기반 서비스에서 데이터와 사용자를 효과적으로 보호할 수 있다는 점을 들어 CASB 솔루션이 발전할 수밖에 없다고 주장한다.

2025년 167억 달러 규모 시장 전망

시장조사기관 와이즈가이리포트의 자료에 따르면 2016년 38억 달러(약 4조 2,900억 원)규모였던 CASB 글로벌 시장은 2025년까지 연평균 18% 성장, 167억 달러(약 18조 8,500억 원)시장을 형성할 것으로 예상된다.

가트너 매직쿼드런트 CASB 부문을 살펴보면, 리더기업에 맥아피(McAfee), 넷스코프(Netskope), 시만텍(Symantec), 비트글라스(Bitglass)가 속하며, 도전자에 마이크로소프트(Microsoft), 오라클(Oracle)이 위치해 있다.

비저너리즈(Visionaries) 부문에는 시퍼클라우드(CiPherCloud)와 프루프포인트(Proofpoint)가 속해 있으며, 니치 플레이어(Niche Players)부문에 포스포인트(Forcepoint), 시스코(Cisco), Savyint, 팔로알토네트웍스(PaloAltoNetworks), 센서넷(CensorNet) 등이 포함됐다.

CASB 시장에서는 인수합병이 활발하게 이루어지고 있다. 2012년 CASB 정의가 정립되고 14개 벤더가 나타났는데, 그중 10개가 인수합병됐다. 가트너 매직쿼드런트 보고서의 13개 기업 중 8개는 기업 인수를 통해 리스트에 이름을 올렸다.

업계 전문가들은 “이런 글로벌 보안 기업의 클라우드 보안 포트폴리오 구축을 위한 인수합병은 CASB가 클라우드 보안을 위한 핵심 솔루션으로 자리매김하고 있다는 것을 보여주는 반증”이라고 설명했다.

실제 2015년 마이크로소프트가 아달롬(Adallom)을 인수했으며, 2016년에는 시스코가 클라우드락(CloudLock)을, 시만텍이 블루코트(BlueCoat)를, 오라클이 팔레라(Palerra)를, 프루프포인트가 파이어레이어(FireLayers)를 인수했다. 2017년에는 포스포인트에 스카이펜스(Skyfense)가, 맥아피에 스카이하이네트웍스(Skyhigh Networks)가 인수됐으며, 2018년에는 사이버아크가 볼티브(Vaultive)를, 팔로알토네트웍스가 레드락(RedLock)과 에비던트(Evident)를 인수했다. 기업들이 활발한 인수합병을 통해 CASB 역량을 강화하고 있는 것이다.

국내 시장, 본격 형상 단계

CASB 벤더들은 조만간 국내 시장이 본격적으로 개화될 것으로 전망하고 있다. 전문가들은 “최근 국내 시장은 클라우드 서비스 활성화를 위한 정책, 각 산업별 클라우드 사용 가이드가 발표되면서 기관 및 기업의 인식이 많이 개선되고 있는 상황”이라며, “클라우드를 도입하려는 기업들이 보안대책을 고민하고 있어 CASB 시장도 활성화 될 것으로 보인다”고 입을 모았다.

SK인포섹 관계자는 “국내시장과 글로벌 시장에서 기술적 차이는 거의 없다고 판단된다. 굳이 차이점을 찾자면 글로벌 시장은 클라우드 서비스가 활성화되고 CASB가 도입되는 추세라면, 국내는 보안에 대한 인식이 강해 클라우드 서비스 도입과 동시에 CASB 도입을 검토하고 있다”고 설명했다.

업계 관계자들은 국내 시장이 해외 선진국에 비해 CASB 시장이 활성화되지 않은 것에 대해 2가지 이유를 꼽는다. 당연한 얘기겠지만 국내 클라우드 시장의 활성화가 더디기 때문이다. 국내에서 CASB가 본격적으로 주목받기 시작한 것은 지난 6월부터다. 2012년 가트너가 CASB를 정의한 이후로 2016년 1세대 CASB 상용화 등 진행상황과 비교할 을 살펴볼 때 국내 시장이 매우 늦다는 것을 알 수 있다.

또 다른 이유는 CASB에 대한 이해가 부족하기 때문이다. 관계자들은 CASB에 대해 이해하고 있는 담당자가 없어 고객사를 만나도 CASB가 무엇인지부터 설명하고 있다고 토로한다. 다만 멀티 클라우드 보안을 위한 솔루션으로 담당자들이 점차 CASB에 대한 인식이 보편화되고, 관심도 높아지고 있어 내년부터 도입이 활발해질 것으로 전망된다.

업계 관계자들은 국내시장에서 클라우드가 활성화되고 있어 CASB 시장도 본격적으로 성장할 것으로 전망한다. 기존 경계보안에서 IP와 포트를 제어하는 방화벽이 보안의 기준이 됐다면, 클라우드 환경에서의 보안의 기준은 사용자와 데이터를 제어할 수 있는 CASB가 될 것이라고 강조한다.
 

CASB, 클라우드 보안의 기준점이 될 것

보안 전문가들은 CASB가 클라우드 보안의 기준점이 될 것이라고 주장한다. 다만 CASB 도입이 완벽한 보안체계 구축을 의미한 것은 아니라고 말한다. CASB는 멀티 클라우드 환경에서의 보안 개념을 제시하는 솔루션으로, SECaaS와 클라우드 딥 시큐리티 등 타 솔루션과 역할이 다르다는 점을 이해해야 한다는 얘기다.

CASB 도입에 있어 가장 먼저 고려해야할 사항은 클라우드 환경을 구축할 때 기업의 데이터가 클라우드에 올라가느냐다. 데이터가 올라가지 않는다면 CASB의 활용도가 현저히 낮아지게 된다. 이럴 경우 굳이 CASB를 도입할 필요가 없다.

맥아피 총판을 맡고 있는 유클릭의 김영기 차장은 “CASB는 데이터의 위치를 특정할 수 없는 퍼블릭 클라우드에 적용했을 때 가장 효과적인 솔루션”이라며, “프라이빗 클라우드와 같이 데이터의 위치를 특정할 수 있다면 CASB의 도입효과는 감소한다”고 설명했다.

업계 관계자들은 한 목소리로 기존의 경계보안을 통한 외부 침입에 대응하는 방식은 클라우드 환경에는 맞지 않다고 얘기한다. 클라우드, 특히 SaaS에 올라가는 데이터를 보호함에 있어 경계보안만으로는 부족하다는 것이다. 이에 데이터를 어떻게 보호할 것인가에 초점을 맞춰 새로운 보안체계를 구상한 것이 CASB다.

국내와 달리 글로벌 시장에서는 SaaS 도입이 더욱 활발해지고 있다. 국내에서는 기존 클라우드를 도입했다고 한다면, IaaS나 PaaS에 애플리케이션을 올리는 방식이 대세를 이뤘다. IaaS나 PaaS는 기존 가상 IPS, 서버백신, WAF 등의 솔루션을 서비스화한 SECaaS만으로 보호가 가능하지만, 이를 SaaS에 적용하는 것은 어렵다. SaaS 내부 데이터의 이동에 대한 가시성을 확보할 수가 없기 때문이다.

국내에서 클라우드라고 한다면 SaaS보다 IaaS나 PaaS를 먼저 연상한다. 하지만 진정한 의미의 클라우드 활용은 SaaS라는 게 업계 다수 의견이다. 클라우드는 기존의 인프라와 달리 공유 등의 새로운 개념을 포함하고 있다. 이에 보안에서도 클라우드 환경을 위한 새로운 관점이 필요하다는 지적이다.

<솔루션 소개> 마이크로소프트 ‘MCAS’ 마이크로소프트는 2015년 이스라엘 클라우드 보안기업인 아달롬을 인수해 CASB 솔루션 ‘MCAS(Microsoft Cloud App Security)’를 출시했다. ‘MCAS’는 클라우드 애플리케이션 사용에 대한 가시성을 제공하고, 세분화된 제어와 향상된 위협 탐지 기능을 통해 정보 유출이나 기타 사이버 보안 위협으로부터 기업의 데이터를 보호한다. 또한 비정상적인 사용자 활동을 감지하고, 운영자가 실시간으로 이용현황을 모니터링해 기업 입장에서 클라우드에 저장되는 기업 기밀이나 데이터를 통제하는 것이 가능하다. 이를 통해 보다 안전하게 비즈니스 데이터를 활용하고 추가 투자를 최소화할 수 있다. 특히 애저(Azure)와 완벽한 연동 및 통합을 지원한다. 뿐만 아니라 Z스케일러(Zscaler), 아이보스(iboss) 등과 같은 서드파티 솔루션과도 통합돼 광범위한 지원을 보장하고 있다. 맥아피·스카이하이네트웍스 ‘스카이하이 시큐리티 클라우드’ 맥아피는 지난해 12월 클라우드 보안 전문기업 스카이하이네트웍스를 인수해 CASB 솔루션 ‘스카이하이 시큐리티 클라우드(Skyhigh Security Cloud)’를 제공하고 있다. 스카이하이네트웍스는 가트너, IDC, 포레스터 등 3대 평가기관에서 모두 CASB 부문 리더로 선정된 바 있다. ‘스카이하이 시큐리티 클라우드’는 보안을 클라우드 상에서 처리할 수 있도록 단일 플랫폼을 제공하는 것이 특징이다. 타 CASB 제품에 비해 빠른 응답속도를 가진 API 기술을 보유하고 있으며, 대용량 트래픽 처리 성능도 좋은 평가를 받고 있다. 기존 DLP 솔루션 수준의 상세한 DLP 정책 설정과 머신러닝 기술을 이용한 이상징후 분석 기능도 제공한다. 뿐만 아니라 자체 커넥트 API를 통해 서비스형 인프라(IaaS) 또는 서비스형 플랫폼(PaaS)에도 적용할 수 있다는 것도 장점이다. 시만텍 ‘시만텍 클라우드SOC’ 시만텍의 CASB 솔루션 ‘시만텍 클라우드SOC(CloudSOC)’는 ▲섀도우 IT에 대한 가시성을 확보하고 ▲민감한 데이터에 대한 세분화된 제어와 거버넌스를 수행하며 ▲클라우드 계정을 노리는 악의적인 보안 위협으로부터 보호한다. ‘시만텍 클라우드SOC’는 일반적인 CASB 기능은 물론, 시만텍 DLP, 웹 보안, 엔드포인트 보호 등 많은 시만텍 솔루션과의 직접 통합을 지원하고, 이런 통합 솔루션을 통해 클라우드 애플리케이션을 확장된 엔터프라이즈 환경의 일부로 안전하게 도입할 수 있게 해준다. 더불어 공인 및 비공인 클라우드 애플리케이션을 위해 섀도우 IT에 대한 클라우드 감사를 지원할 뿐 아니라 세부적인 트랜잭션 가시성, 사용자 행동 분석(UBA), 보안 위협 탐지, 데이터 거버넌스 및 DLP, 보안 제어 및 포렌삭 분석 기능까지 제공한다. ‘시만텍 클라우드SOC’는 게이트웨이(Gateway) 방식과 API(Securelet) 방식을 모두 제공해 다양한 클라우드 앱과 데이터 사용 환경을 포괄적으로 지원한다. SK인포섹·비트글라스 ‘비트글라스 CASB’ SK인포섹은 클라우드 시장 활성화에 대비해 클라우드 보안 대응책을 준비하고 있으며, 그 일환으로 올해 초부터 비트글라스와 함께 국내 CASB 솔루션을 선보이고 있다. 비트글라스 역시 시만텍, 맥아피(스카이하이네트웍스), 넷스코프와 함께 가트너 매직쿼드런트 CASB 부문 리더에 위치해 있다. ‘비트글라스 CASB’는 차세대 CASB 솔루션으로, ▲클라우드를 포함해 모든 장치에서 데이터 및 위협 방지 ▲관리 클라우드 애플리케이션에서 민감한 데이터 보호 ▲관리되지 않는 클라우드 애플리케이션으로의 데이터 유출 차단 ▲관리되지 않는 응용프로그램 검색 및 제어 ▲MDM 설치 없이 BYOD(Bring Your One Device) 보호 ▲의심스러운 사용자 활동 감지 및 대응 ▲에이전트리스 적용으로 대규모 배포 가능 ▲클라우드 모바일 장치 및 인터넷 어디서나 데이터 보호 등의 기능을 제공한다. ‘비트글래스 CASB’의 특징은 에이전트리스를 통한 실시간 대응이다. 비트글라스는 대응 능력을 강화하기 위해 머신러닝, 빅데이터, 클라우드 맞춤형 정책 및 성능 등의 기술을 적용했다. 팔로알토네트웍스 ‘VM시리즈’ 팔로알토네트웍스의 ‘VM시리즈’는 프라이빗 및 퍼블릭 클라우드환경을 보호하는 차세대 방화벽의 가상화 버전이다. 트래픽은 포트가 아닌 애플리케이션을 기반으로 분류돼 위협 노출에 대한 전체적인 가시성을 제공하며, 이런 가시성은 조직이 애플리케이션 기반 정책을 통해 위협 풋프린트(threat footprint)를 줄이고 위협과 데이터 유출을 방지하도록 지원한다. 특히 ‘VM 시리즈’를 애플리케이션 개발 라이프사이클에 적용해 네이티브 보안 서비스를 보강함으로써 데이터 유출과 비즈니스 중단을 방지하고 퍼블릭 클라우드 마이그레이션을 가속화할 수 있다. 팔로알토네트웍스는 에비던트와 레드락을 인수함으로써 API 연동을 강화하고 있다. 에비던트는 API 컨트롤 플레인을 사용해 퍼블릭 클라우드를 지속적으로 모니터링하도록 설계됐다. 리스크와 정책 위반을 분석하고 우선순위화 함으로써 보안 팀과 데브옵스(DevOps) 팀은 애플리케이션 라이프사이클 전반을 통해 지속적으로 클라우드 환경 내의 리스크에 대한 가시성을 확보할 수 있다.