세상 바꾸는 클라우드, 보안도 바꿀 수 있을까?

가시성은 보안의 화폐... 보안 환경 바뀌어도 잃을 수 없어
분산화 되는 개발 과정과 IT 문화... 보안 자동화 도입 불가피

국제부 문가용 기자  globoan@boannews.com
글 : 마이크 콘버티노(Mike Convertino)
[2016.8.26.]

[보안뉴스 문가용] 최근 네트워크 전문가 및 종사자들이 대부분 그렇지만, 클라우드의 영향력에 새삼 놀랄 때가 많다. 클라우드가 바꾼 생활의 방식과 업무 환경은 생각하면 할수록 놀랍다. 동시에 클라우드 때문에 새로 생긴 네트워크 보안 문제 때문에 잠을 설치는 일도 늘어났다. 클라우드라는 낯선 환경에서 매일 발생하는 위험들과 발생할 수 있는 위험요소들을 미리 조사하고 파악하고 평가하고 그에 맞는 방어책을 적용하느라 하루가 빠듯하다. 그러나 일이 바빠서 잠을 설치는 건 아니다. 그렇게 걱정할 게 많은데 아직도 클라우드에서 무슨 일이 일어나는지 CISO로서 완전히 파악하고 있지 못하다는 자각이 나를 깨운다. 흔히들 말하는 가시성 말이다.

점점 더 많은 기업들이 데이터와 앱을 클라우드로 옮기고 있다. 그런 움직임이 있기 때문에 새로운 기술을 적용하는 것도 빨라진다. 문화가 빠르게 변한다. 그 ‘빨라짐’ 때문에 가시성에 문제가 생긴다. CISO들이 근성으로 노력하고 땀을 흘린다고 해서 따라잡을 수 있는 성격의 ‘빨라짐’이 아니다. 그래서 문제다. 정보 보안이 우리의 직무라면, 가시성과 지식은 우리의 화폐다. 어떠한 직무든 수행을 위해서는 최소한의 돈이 필요한데, 우리에겐 그것이 바로 가시성과 앎이라는 것이다. 지켜야 할 네트워크의 어떤 부분에서 해당 시간에 무슨 일이 일어나는지 다 알고 있어야 개운한데, 클라우드 때문에 그렇지 못하다.

클라우드 시대는 이미 시작되었는데, 우리는 준비를 채 못 마쳤다. 여기서 두 가지 현실적인 문제가 나타난다. 하나, 클라우드가 사용자들에게 제공하는 유연성, 속도, 확장성에 대한 비용이 발생하고 있다. 현재는 그 비용이 가시성과 지식으로 충당된다. 그것도 적잖은 비용이 나가고 있다.

<중략>

둘째, ‘나와바리’와 같았던 네트워크가 클라우드로 바뀌는 것과 동시에 ‘중앙에서 통제’하던 업무 환경이 분야별, 기능별로 독립하고 있다. 여기에 기기들의 다양한 발전도 한 몫 하고 있다. 외곽의 경계선이 흐려지고 있고, 안에 들어있는 것들은 더 노출되고 있다. 안에 있는 것들이 무엇인가? 애플리케이션들이다. 그래서 요즘 네트워크보다 애플리케이션을 통한 침투가 극성을 부리는 것이다. 그럼에도 아직 보안에 대한 투자나 연구는 네트워크에 머물러 있다.

<중략>

이 상황에서 우리가 할 수 있는 일은 무엇인가? 당연하지만, 어떻게 해서든 이 클라우드로의 전환기에 적응해야 한다. 네트워크를 지켰듯이 이 불분명한 환절기도 버텨내야 한다. 똑똑한 CISO들은 1) 취약점을 파악하고 2) 구멍을 알아내 3) 강력한 리스크 관리 계획을 짜고 4) 그것을 회사 전체에 효과적으로 적용한다. 이걸 지금 시대에 맞게 해야 한다. 많은 기업들이 점점 데브옵스(DevOps) 모델을 도입하고 있다. 보안 담당자 혼자서 기능별로 독립해서 진행되는 수많은 개발과정을 일일이 돌아볼 수 없다는 뜻이다. 자동화가 필요하다. 각각의 기능을 실험해보는 것에는 ‘보안’도 포함되어야 한다. 표준 보안 실험 정책을 마련해서 데브옵스의 모든 요소요소에서마다 독립적으로 진행되도록 해야 한다.

클라우드는 멈추거나 여기서 정체되지 않을 것이다. 언젠가는 완전히 클라우드가 정착할 것이고, 우리가 아는 네트워크는 기록으로만 남을 것이다. 우리는 그 발전과정을 쫓아 그때 그때마다 필요한 보안의 기능을 다 해주어야 한다. 또한 어떤 보안의 기능이 필요한지 파악해 요구할 수 있어야 한다. 모호하게 ‘잘 해보자’가 아니다. 아까 우리가 내는 비용이 무엇이라고 했는가? 가시성과 지식이다. 이걸 적게 내도록 해야 한다. 즉 클라우드의 발전 과정에 있어 우리에게 필요한 가시성을 항상 주장하고 보장받을 수 있도록 움직여야 한다는 것이다.

<중략>

기사 상세 내용 보기_클릭