클라우드

아쿠아시큐리티 “클라우드 노리는 해커 급증··· ‘CNAPP’로 대응해야”

이종현
아미르 저비 아쿠아시큐리티 CTO
아미르 저비 아쿠아시큐리티 CTO
[디지털데일리 이종현기자] 정보기술(IT)의 무게축이 전통적인 방식의 온프레미스에서 클라우드로 옮겨가고 있다. 사용한 만큼의 비용 지불, 빠른 애플리케이션(앱) 개발 및 배포 등 여러 이점을 제공하고 있지만 그 이면에는 새로운 유형의 사이버위협 증가라는 위험도 안고 있다.

클라우드 네이티브 보안기업 아쿠아시큐리티의 공동 창업자이자 최고기술책임자(CTO)인 아미르 저비(Amir Jerbi)는 3일 한국을 방문해 클라우드를 노린 위협 트렌드와 이를 해결하는 자사 솔루션을 소개했다.

아쿠아시큐리티가 강조하는 것은 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)이다. CNAPP는 정보기술(IT) 시장조사기관 가트너가 제시한 개념이다. 클라우드 보안을 위한 각각의 요소 솔루션을 단일 플랫폼 기반으로 묶은 제품이다.

전통적인 보안 솔루션을 제공 중인 기업들도 클라우드 전환을 추진하는 가운데 아쿠아시큐리티는 순수(Pure-play) 클라우드 네이티브 보안 기업을 표방한다. 클라우드 네이티브 보안 하나에만 집중한다는 의미다.

아미르 저비 CTO는 “조직이 클라우드를 도입한다는 것은 앱의 형태가 모놀리스 아키텍처에서 마이크로서비스 아키텍처(MSA)로 변하는 것이다. 이는 새로운 기술의 도입이 쉬워지고, 개발자들이 코딩 완료에서부터 고객이 서비스를 사용할 때까지 평균 2.5일밖에 소요되지 않는 혁신이 이뤄지고 있다”며 “문제는 이런 변화를 해커들도 인지하고 있다는 점”이라고 말했다.

그는 “클라우드를 노리는 해커들의 움직임은 점점 더 활발해지고 있다. 왜 이렇게 클라우드를 노리까. 클라우드가 안전하지 않은 환경이라서? 그렇지 않다. 아마존웹서비스(AWS), 애저(Azure), 구글클라우드, 네이버클라우드 등 모두 다 안전한 환경을 조성했다. 문제는 사람이다. 사람에 의한 실수가 거의 모든 클라우드 보안사고의 원인”이라고 전했다.

실제 가트너는 2025년까지 클라우드 보안 실패 사례의 99%는 고객사의 잘못으로 인해 발생할 것이라고 전망했다. 보안수칙을 준수하지 않은 설정 오류나 취약한 오픈소스를 사용하고, 중요한 서비스를 인터넷에 노출시키는 것 등이 클라우드 보안사고를 일으키는 대표적인 실수다.

아미르 저비 CTO는 “이런 위협에 가장 효과적으로 대응하는 것은 보다 많은 보안 전문가를 충원하는 것이다. 하지만 많은 기업들은 보안 전문가 채용에 어려움을 겪고 있다. 통상 개발자와 보안 전문가의 비율은 100대 1이다”라며 “다음으로 논의되는 것이 앱 라이프사이클 곳곳에 보안 솔루션을 도입하는 것인데, 너무 많은 솔루션으로 인한 복잡성이라는 다른 문제가 생긴다”고 밝혔다.

이런 가운데 아쿠아시큐리티가 제시하는 것은 클라우드 네이티브에 대한 통합적인 보안이다. 클라우드 보안 형상 관리(Cloud Security Posture Management, 이하 CSPM)와 클라우드 워크로드 보호 플랫폼(Cloud Workload Protection Platform, 이하 CWPP), 앱 스캐닝(App Scanning), 공급망 보안(Supply Chain Security), 소프트웨어 자재명새서(Software Bill of Materials, 이하 SBOM) 등을 ‘아쿠아 CNAPP’로 통합 제공한다.

아쿠아시큐리티는 자사 CSPM을 두고 ‘CSPM+’라고 표현한다. 클라우드 전반에 대한 가시성을 제공하는 CSPM에 워크로드의 취약점 및 악성코드을 잡아내고 발견된 취약점에 대한 우선순위를 책정해 제시하는 등의 기능을 더한 것이 특징이다.

소프트웨어 개발 수명주기 관점에서 왼쪽에 있는, 시프트 레프트(Shift-Left) 보안 기능도 제공한다. 오픈소스 활용이 표준으로 자리한 현재 취약점이 있는 오픈소스가 쓰이지는 않았는지, 또 SBOM을 통해 쓰인 소프트웨어(SW)는 어떤 것들이 쓰였는지 등 보안 SW 개발 프레임워크를 수립하도록 돕는다.

최근 시프트 레프트 보안의 중요성이 부각되고 있으나 그것이 시프트 라이트(Shift-Right) 보안이 중요하지 않다는 의미는 아니다. 아쿠아시큐리티는 런타임 보안을 위한 3개 보호층을 형성한다. 보안침해지표(IoC)를 통해 초기 단계에 공격을 감지하고, 이후 공격자의 침입 차단을 위해 불변성 및 격리를 확인한 뒤 정책을 컨트롤함으로써 앱을 보호한다는 것이 그 골자다.

아미르 저비 CTO는 “아쿠아 CNAPP를 구성하는 각각의 기능을 따로 이용하는 것도 가능하다. 하지만 우리가 제공하는 기술의 이점을 온전히 누리기 위해서는 하나의 플랫폼으로 모든 기능을 활용하는 것이 효과적”이라며 “실제로 많은 고객들이 CSPM+ 모듈부터 도입한 뒤 공급망 보안 모듈과 CWPP 모듈을 추가하는 방식으로 확장하고 있다”고 피력했다.

한편 2021년 한국 시장에 진출한 아쿠아시큐리티는 금융 및 엔터프라이즈 시장을 주요 타깃으로 삼고 있다. 아쿠아시큐리티 코리아 이은옥 지사장은 올해 클라우드 보안인증(CSAP) 취득을 통해 공공까지 사업 범위를 확장한다는 계획이다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널