‘디지털 트랜스포메이션’이 성장의 필수 조건이 되면서 현재는 물론 미래까지 포괄할 수 있는 차세대 기술 선택이 중요한 요소가 됐다. 이에 따라 소프트웨어 정의, 클라우드, 가상화, IoT의 실제 성공사례가 입증되고 있으며, IT 인프라의 체질 개선도 본격화 되고 있다. 본지는 디지털 트랜스포메이션을 가속화하고 4차 산업혁명 시대를 앞당기고 있는 ICT 기술을 평가하고 전망해본다.<편집자>

우리나라에서 클라우드가 확산되기 어렵다는 분석은 이제 통하지 않게 됐다. IDG 조사 결과 우리나라 기업의 39%가 클라우드를 사용하고 있으며, 74%가 도입 계획이 있고, 82%는 멀티클라우드를 사용하게 될 것이라고 밝혔다. 또한 기업들은 하나의 클라우드만을 이용하는 것이 아니라, 여러 클라우드를 동시에 사용하며, 프라이빗 클라우드와 퍼블릭 클라우드를 사용해 업무 유연성을 극대화하고 있다.

클라우드 사용이 확산되면서 보안문제도 불거지고 있다. 블루코트(현 시만텍)가 지난해 발간한 보고서에 따르면 업무에서 사용하는 클라우드 앱 중 99%가 비즈니스에 적합하지 않으며, 클라우드에 저장된 파일 중 23%가 광범위하게 공유되고 있고, 이 중 12%가 기밀데이터를 포함하고 있는 것으로 나타났다.

CASB로 클라우드 가시성 확보·보안 통제 제공

클라우드의 보안위협은 ‘가시성’을 확보하지 못하는 것에서 비롯된다. 보이지 않으면 대응할 수 없다. 누가, 어떤 업무를 위해, 어떤 클라우드를 사용하고 있으며, 이 과정에서 보안위배가 일어나는지 투명하게 보고 관리할 수 없다면 클라우드는 공격에 최적화된 환경이 될 수 밖에 없다.

멀티 클라우드 가시성 확보를 위해 반드시 필요한 솔루션으로 클라우드 접근 보안 중개(CASB)를 꼽는다. CASB는 클라우드 접속과 사용에 대한 가시성을 제공하는 솔루션으로, 클라우드에 접속하는 사용자와 애플리케이션, 공유되는 파일의 중요도와 보안정책 준수 여부 등을 통제한다.

CASB는 프락시 방식과 API 방식으로 나뉜다. 프락시 방식은 구축이 까다롭고 속도에 영향을 미치지만 정책을 세밀하게 제어할 수 있다. 반면 API 방식은 구축과 운영이 용이하지만 지원하는 SaaS 애플리케이션이 제한돼 있다. 대표적인 프락시 방식이 시만텍(블루코트)의 ‘엘라스티카’이며, API 방식은 IBM의 ‘클라우드 시큐리티 브로커’이다. 최근에는 각 진영에서 상대의 기술을 접목시켜 고객 환경에 맞는 방식을 선택하거나, 두 방식을 혼용해 보안을 더욱 강화할 수 있도록 한다.

시만텍의 엘라스티카는 보안 웹 게이트웨이(SWG), DLP, SSL 가시성, APT 방어 솔루션, 위협 인텔리전스 등 시만텍의 보안 솔루션과 연동해 온프레미스-클라우드를 아우르는 보안 전략을 제공할 수 있도록 한다.

또한 시만텍은 다중인증 기술 ‘VIP’를 연동해 클라우드 통제를 강화할 수 있다고 설명한다. VIP는 온사이트·클라우드 전반에서 액세스 정책을 적용할 수 있으며, 모든 SaaS 애플리케이션에 SSO 포털을 제공해 로그인을 간소화 할 수 있다.

시스코 역시 ‘클라우드락’을 인수하며 시장 공략을 강화한다. 클라우드락은 API 기반 통제 기술을 제공하며, 사용자의 행동을 분석하고(UEBA), SaaS 내부 민감한 데이터 트래킹과 관리를 제공하고 보안 정책을 적용할 수 있다. 보호되지 않은 디바이스에서 SaaS 애플리케이션으로 접속할 때에도 보호할 수 있다.

미국의 클라우드 보안(SECaaS) 서비스 지스케일러는 CASB, SWG, URL 필터링, 샌드박스, 스파이웨어, 차세대 방화벽(NGFW) 등의 기능을 통합 제공하면서 호평을 받고 있다.

국내기업들도 CASB 시장에 뛰어들었다. SK인포섹은 국내 SECaaS 기업과 함께 CASB를 제공할 계획이다. SK인포섹의 CASB 플랫폼을 이용하면 어떤 클라우드 서비스를 이용하던지 보안 정책을 현행화 하고 유지하는 문제를 해결할 수 있다.

“클라우드의 데이터는 안전한가”

클라우드를 이용하는 고객이 흔히 저지르기 쉬운 오해가 ‘클라우드는 안전하다’는 것이다. 클라우드 인프라 자체는 안전하다고 말할 수 있지만, 클라우드에서 운영되는 데이터가 안전한지는 살펴봐야 한다. 예를 들어 호스팅 기업이 랜섬웨어 공격을 당해 고객의 데이터를 유실하게 됐다면 호스팅 기업의 책임이지만, 호스팅 서비스에서 가상서버를 이용하는 고객의 실수로 자사 데이터를 유실하게 됐다면 그것은 고객의 책임이다.

베리타스 조사 결과, 우리나라 기업의 56%가 클라우드의 데이터를 사업자가 책임져야 한다고 생각하는 것으로 나타났다. 명심해야 할 것은 클라우드에 저장하고 운영하는 데이터는 고객의 책임이다. 클라우드 데이터 백업 역시 별도의 서비스 계약을 체결하지 않았다면 고객이 직접 백업 정책을 마련해야 한다.

베리타스는 ‘360 데이터 관리 포트폴리오’가 이 같은 멀티클라우드 데이터 관리 문제를 해결할 수 있다고 소개한다. ▲클라우드 기반 데이터 시각화를 지원하는 ‘인포메이션 맵’ ‘S3 커넥터’ ▲멀티 클라우드 워크로드 마이크레이션을 지원하는 ‘클라우드 모빌리티’ ▲클라우드 기반 워크로드를 보호하는 ‘클라우드 포인트’ 등이 포함돼 있으며, IT 서비스 연속성 솔루션 ‘레질리언시 플랫폼’을 추가했다. 이 플랫폼은 여러 클라우드의 데이터 이동을 자동화하고 애플리케이션 복원력을 보장한다.

MSSP, 클라우드 지원 ‘주목’

클라우드 운영의 효율성을 극대화하는 모델 중 하나로 전문업체를 통한 보안관리 서비스(MSSP)가 꼽힌다. MSSP는 기업에 필요한 보안 기능을 통합 제공해 보안 관리업무를 크게 줄일 수 있고 초기 투자가 필요 없어 보안 예산을 효율적으로 사용할 수 있다. 보안컨설팅·관제 기업, 통신사 등이 이 시장을 주도하고 있으며, 보안 솔루션 기업들은 MSSP를 위한 보안 솔루션과 특별 할인 가격을 제시하면서 서비스 매출 비중을 높이고자 한다.

MSSP 기업들은 병·의원, 교육기관 등 보안 투자에 인색한 기관을 ‘블루오션’으로 보고 공격적인 영업을 전개하고 있다. 이들은 ISMS 인증 의무화 대상으로, 보안 정책을 수립하고 관리해야 하지만, 보안 예산이 적고 전문인력 채용도 쉽지 않다는 이유를 들어 보안에 잘 투자하려 하지 않는다. MSSP는 각 기관의 특징에 맞춘 보안 패키지 서비스를 조합해 제공하며 월 과금 형식으로 기관의 보안 예산 부담을 줄여나가는 방식을 채택하고 있다.

MSSP는 클라우드 관리를 위해서도 선택 가능한 대안이 될 수 있다. 글로벌 통신사들은 다양한 클라우드까지 관리할 수 있는 통합보안 서비스를 출시하고 시장을 개척해나가고 있으며, SMB는 물론이고 엔터프라이즈까지 확대되고 있다.

안랩, SK인포섹 등 국내 보안관제업체들은 퍼블릭 클라우드와 멀티클라우드를 이용하는 고객을 위한 원격보안관제 서비스를 새로운 성장시장으로 보고 아낌없이 투자하고 있다. 클라우드 이용 시 발생할 수 있는 보안위협을 자사에서 축적한 관제 노하우를 통해 관리할 수 있다는 점을 강조한다.

SECaaS로 글로벌 시장 진출

클라우드 보안은 ‘클라우드를 보호’하는 기술과 ‘클라우드로 보안을 서비스’하는 기술로 나뉜다. 앞서 설명한 것은 클라우드를 보호하는 기술이었으며, 이외에도 다양한 보안 기술이 멀티클라우드를 위해 제안되고 있다.

기존의 보안 솔루션을 클라우드로 제공하는 것은 어렵지 않게 볼 수 있지만, 서비스의 안전성과 사용자 편의성을 어떻게 보장하느냐에 따라 서비스의 신뢰 수준은 크게 달라진다. 클라우드는 누구나 인터넷에서 다운받아 설치해 사용할 수 있어야 한다. 서비스가 제공하는 기술과 보호하는 범위가 명확하게 기록돼 있어야 하고, 간편하게 설치하고 자동으로 운영될 수 있어야 한다. 24시간 고객 지원 서비스도 마련해 해외 사용자도 시간의 제약 없이 언제나 지원 요청과 상담을 할 수 있어야 한다. 또한 국내와 해외 사용자를 위한 결제 시스템을 만들고 수익에 따른 세금을 내는 것도 해결해야 한다.

지니언스는 미국 법인을 통해 ‘지니안NAC 클라우드’를 제공한다. NAC 제품의 다운로드, 설치, 업그레이드, 패치 등을 자동화했으며, 미주대륙은 물론, 유럽, 아프리카, 아시아 전 지역을 대상으로 적극적으로 홍보·마케팅 활동을 전개하고 있다.

SECaaS 분야에서 성과를 내고 있는 벤더가 펜타시큐리티로, 웹 보안 서비스 ‘클라우드브릭’의 사용자를 빠르게 확대해나가고 있다. 모니터랩, 파이오링크도 웹방화벽을 퍼블릭 클라우드 사업자를 통해 제공하면서 서비스 영역을 넓히고 있다.

IoT 보안 내재화 필수

IoT는 올해 본격적인 시장 개화를 맞은 만큼 IoT 위협도 본격화됐다. 이미 지난해 미국의 DNS 서비스 기업 딘(Dyn)이 IoT 기기를 동원한 미라이 봇넷의 디도스 공격으로 심각한 피해를 입었으며, 국내외에서는 가정용 IP카메라가 해킹당해 심각한 사생활 유출 피해가 발생하고 있다. 자율주행자동차, 커넥티드카 보안위협도 실제로 존재하는 것으로, 다수의 차량이 이미 소프트웨어 결함이 발견되면서 대규모 리콜을 단행한 바 있다.

펜타시큐리티는 IoT 보안에도 주력하고 있는데, 스마트카와 스마트팩토리 보안을 위해 국내외 제조사와 협력하고 있다.

IoT 보안을 위해 가장 먼저 해결돼야 하는 것이 IoT 기기와 서비스를 설계할 때 보안을 고려해 내재화해야 한다는 것이다. 한국인터넷진흥원은 업계 자율적인 IoT 보안인증제를 시행하고 있으며, 인증을 획득한 제품과 서비스에 대해 다양한 인센티브를 제공할 계획이다.

IoT 기기의 보안 내재화를 위해 가장 필수적인 기술은 보안칩과 보안OS이다. 시큐리티플랫폼은 보안칩 벤더와 공동으로 하드웨어 보안을 위한 SOC를 만들어 공급하면서 시장을 확대하고 있다.