기사 공유하기

크고 작은 다양한 클라우드 보안 사고는 끊임없이 발생하고 있다. 많은 기업의 IT전략이 클라우드 중심으로 수립되고, 주로 퍼블릭 클라우드의 비중이 늘어나는 방향으로 펼쳐지고 있는 상황에서 클라우드 보안 사고는 앞으로도 꾸준히 늘어갈 수밖에 없다.

클라우드를 통한 편리성, 특히 무한에 가까운 규모의 확장성 때문에 이런 보안 사고에도 불구하고 클라우드 활용 비중은 점점 더 높아지게 될 것이다. 이와 같은 클라우드 활용 비중 확대에 비례하여 증가하는 클라우드 보안 위협을 예측하고 대비하는 것이 기업 IT 전략의 매우 중요한 부분이다.

2025년까지 발생하는 클라우드 보안 침해 사고의 99%는 고객 기업의 잘못에서 원인을 찾게 될 것이라는 가트너의 예측을 주목해 볼 필요가 있다. 클라우드 활용 확대를 도모하는 기업의 CIO(Chief Information Officer; 최고 정보 책임자)가 결국 클라우드 보안 위협을 예측하고 준비하는 책임을 질 수밖에 없다는 얘기이기도 하다.

즉, 클라우드 활용 전반에 대한 분명한 거버넌스와 함께 클라우드 워크로드의 라이프 사이클을 관리하고 모니터링 하는 체계를 갖추는 것이 중요함을 강조한 것이다. 최근 급부상하는 멀티클라우드 환경에서 더욱 더 복잡한 양상을 띠게 될 것은 두말할 필요가 없다. 특히 클라우드 네이티브 컴퓨팅이 확산되면서 보안과 관련된 거버넌스의 중요성이 더욱 대두되기도 한다.

가트너는 2025년까지 일어나는 클라우드 보안 침해 사건의 99%는 고객의 책임일 것으로 예측했다.
가트너는 2025년까지 일어나는 클라우드 보안 침해 사건의 99%는 고객의 잘못에서 원인을 찾게 될 것으로 예측했다.

주요 클라우드 컴퓨팅 서비스 기업은 자체적으로 다양한 보안 관련 서비스들을 제공하고 있다. 인증 및 접근 제어, 모니터링, 인프라 보호, 데이터 보호, 그리고 컴플라이언스 준수와 관련된 서비스들이 여기에 해당한다. 또한 대부분 클라우드 벤더들은 공인된 인증기관을 통해 국내외 다양한 보안 관련 인증을 보유함으로써 고객들, 특히 공공분야에서의 고객들을 유치하기 위한 노력을 경주하고 있다.

클라우드 벤더들이 제공하는 보안 관련 서비스 및 다양한 보안 인증에도 불구하고, 접근성 침해 및 정보의 유출 등 각 기업의 비즈니스에 직접적인 타격을 줄 수 있는 보안 위협에 대해서는 결국 각 기업이 직접 대처해야 한다. 이를 위해 보안 전문 회사의 관리된(managed) 서비스를 받거나 혹은 자체적으로 보안 도구를 활용하는 방안을 강구하여야 한다. 관련하여 이런 전문 보안 회사 그리고 오픈소스 기반 보안 도구들에 대해 살펴보려 한다.

클라우드 보안 유형

우선 일반적으로 클라우드 기반의 보안 이슈로는 어떤 유형들이 있는지 알아볼 필요가 있다. 이들 대부분은 클라우드에서뿐만 아니라 온프레미스 컴퓨팅 환경에서도 매우 중요한 보안 유형들이다. 클라우드를 활용한다고 하더라도 결국 동일한 보안 위협이 존재하기 때문에 어떤 유형의 보안 서비스들이 필요한지 정의하는 것이 위협에 대응하는 첫 단계라 할 수 있다. 컴퓨터 위클리(Comp uter Weekly)의 한 기사에 항목들이 잘 열거되어 있어 이 기준으로 설명해 보겠다.

신원확인 및 접근제어 관리(IAM: Identity and Access Management)

계정관리 및 인증은 사용자 대상 모든 서비스나 애플리케이션에서 필요한 핵심 기능이며, 보안 위협에 특히 많이 노출된 부분이다. 많은 대형 보안 사고들이 관리자나 사용자 계정의 유출을 통해 발생한다. 특히 최근에는 다양한 소셜 미디어 서비스들과 연계되는 사용자 인증 서비스가 보편화되어 이런 ‘유연함’을 약점으로 파고드는 침해 사고가 빈번하게 일어나기도 한다.

한편 클라우드 기반의 싱글사인온(SSO) 기능 역시 대부분의 기업에서 채택하는 방식이다. 이를 API(Application Programming Interface)화 하여 여러 서비스에서 편리하게 동일한 계정을 사용할 수 있도록 하는 것도 이젠 일반적이다. 안전한 인증(authentication)과 권한 부여(authorization)가 필수적으로 뒷받침되어야 한다.

개인정보 생체인식정보 얼굴인식 정보 비밀 정보 4차산업혁명

데이터 유실 방지(DLP: Data Loss Prevention)

데이터의 유출, 비 인가된 자의 데이터 접근, 데이터의 변형, 허용되지 않은 용도로의 데이터 전용 등이 모두 여기에 해당한다. 다양한 유형의 침해 형태만큼이나 원인 또한 무척 다양하다. 실제 실행 모듈을 담고 있는 데이터의 경우만일 불순한 의도로 변형이 되었다면 그 위험성은 더욱 심각할 수 있다. 데이터의 분류 및 전송, 사용 이력, 변경 이력 등의 체계적인 모니터링이 필요한 분야이다. 하지만 워낙 다양하고 범위가 넓기 때문에 모든 케이스를 실시간으로 모니터링하는 것은 불가능하다. 이에 빅 데이터 분석, 인공지능 기술을 적극적으로 활용하는 것이 최근 추세이다.

luckey_sun, "big data", CC BY SA https://flic.kr/p/bx1jvU
luckey_sun, “big data”, CC BY SA

웹 보안

웹 접속을 통해 멀웨어(Malware)나 스파이웨어(Spyware), 그리고 악성 봇(Bot)들이 전파되는 것이 가장 흔한 보안 침해 유형이다. 피싱(Phishing)이나 바이러스 전파도 웹을 통해 많이 이루어진다. 접속한 사용자와 디바이스를 확실하게 구분하고 요청된 접속 경로들을 파악하는 것이 웹 보안에서의 중요 과정이다. 또한, 결제 행위와 같은 민감한 개인정보들이 오가는 경우 전체 세션을 암호화하는 것도 웹 보안에서 중요한 기능이다. 이 밖에도 쿠키나 웹 로그들을 안전하게 관리하는 것도 데이터 유실 방지와 함께 웹 보안에서 다루어야 할 이슈다.

보안

 

이메일 보안

웹 보안에서 나오는 대부분의 문제가 이메일 보안에서도 다루어진다. 대표적인 것이 피싱과 같은 침입 유형이다. 특히 이메일에서는 누군가 나인 것처럼 위장하여 메일을 주고받는 행위가 가장 자주 발생하는 침해 사고이다. 대개 피싱 이후 사용자 이메일을 가로채는 일들이 발생하며, 부적절한 개별 암호 관리로 인해 계정이 털리는 경우도 흔히 발견되는 케이스이다.

편지 이메일 메일 뉴스레터

침입 탐지

다양한 접속경로를 통한 악의적 침입 시도를 탐지하여 막아 내는 기능이다. 그러나 수많은 접속 이벤트를 모두 감시할 수는 없기 때문에 문제가 될 만한 이벤트들을 골라낼 수 있는 능력이 핵심이다. 최근 SSL 접속이 일반화되어 거의 모든 접속 시도가 암호화 된 점도 침입 탐지를 어렵게 하는 요소 중 하나이다.

보안 전문가들의 역량이 가장 필요한 부분인데, 최근에는 인공지능을 이용한 필터링 기술이 적극적으로 시도되고 있다. 만일 퍼블릭 클라우드를 사용하는 경우라면, 많은 부분 클라우드 서비스 벤더가 책임을 지는 영역이지만, 고객의 애플리케이션 레벨에서 도메인 특화된 탐지 방식을 활용한다면 오히려 더 효과를 볼 수 있는 분야이기도 하다. 따라서 클라우드에 입점해 있는 고객들도 일부 책임을 지고 대응해야 하는 보안 위협이다.

이 밖에도 보안 관련 정보 및 이벤트의 관리, 암호화 수준 관리 등도 클라우드 기반 보안 서비스를 고려할 때 관심을 가져야 할 주제이다. 특히 암호화 부분은 저장된 데이터의 암호화뿐만 아니라 최종 활용되기 직전까지 어떻게 보호될 수 있는지 전반적인 암호화 과정에 대한 고려도 필요하다.

데이터 보안 자료 인공지능 컴퓨터

클라우드 보안 서비스 기업 현황

클라우드 보안을 위해 우선 고를 수 있는 선택지는 전문 서비스를 제공하는 기업을 활용하는 것이다. 여기에는 전문적인 매니지드(managed) 서비스를 턴키로 제공하는 회사도 있고 특정 영역에서 특화된 솔루션과 서비스를 제공하는 벤더들도 있다. 마침 최근 이런 기업에 대한 정보를 업데이트하여 정리한 자료가 있어 이를 참조하여 어떤 기업이 주요 플레이어로서 향후 고려 대상이 될 만한지 정리해 보았다.

이런 기업과의 파트너십을 통해 국내 서비스도 가능할 것으로 판단되나, 국내에서 바로 서비스가 가능한지는 좀 더 확인이 필요하다. 서비스 분야와 고객들을 참조하면서 내가 필요로 하는 보안 서비스들을 가늠해 볼 수 있다는 점에서 의미가 있다.

ScienceSoft-logo-profile

사이언스소프트(ScienceSoft)

2003년부터 사이버 보안 분야에서 서비스해 오던 회사로 IT 인프라스트럭처 상의 다양한 수준의 보안 위협을 점검하고 컨설팅하는 것을 주요 비즈니스로 하고 있다. 특히 이 회사의 경우 회사 내부의 전문가 그룹인 “공인”된 화이트 해커들이 다양한 해킹 도구를 활용하여 전반적인 보안 위협에 대한 선제적 테스트 서비스를 제공한다. 실제 동작하는 시스템에는 아무런 영향 없이 다양한 해킹 시도를 통해 보안 위협 요소를 찾아내는 것이 이 회사의 강점이라고 볼 수 있다.

사이언스소프트 https://www.scnsoft.com/
사이언스소프트
  • 주요 활용 방안: 새로운 시스템을 구축하거나 예상하지 못한 보안 위협으로부터 피해를 사전 예방하기 위한 차원에서 전반적인 시스템 안정성을 미리 테스트할 필요가 있을 때 적합한 파트너이다. 온프레미스에서 클라우드로 넘어가는 고객의 경우 클라우드 도입에 따른 잠재적 보안 이슈들을 사전 파악하고 이를 선제적으로 대응할 때 활용할 수 있다.
  • 주요 파트너: IBM에서 제공하는 IBM QRadar SIEM이라는 온프레미스 및 클라우드 보안 서비스 전체 라인업을 실제 운영하는 회사로 알려져 있다. 포드자동차, 나사(NASA), RBC 로열뱅크, 딜로이트, 네슬레, 이베이 등을 주요 고객으로 한 프로젝트를 진행했다.

해커원(HackerOne)

해커원은 해커들이 시작한 일종의 해커 기반 보안 플랫폼이다. 글로벌 해커 커뮤니티를 통해 보안 이슈들을 찾아내는 것이 서비스의 핵심이다. 사이언스소프트와 유사한 개념의 화이트 해커 서비스를 제공하며 동시에 보안 소프트웨어 개발 서비스, 컴플라이언스 이슈 대응 서비스 등도 함께 수행한다. 샌프란시스코에 본사를 두고, 런던, 뉴욕, 싱가포르, 네덜란드에서도 사무실을 운영하고 있다.

해커원 https://www.hackerone.com/
해커원
  • 주요 활용 방안: 새로 클라우드 서비스를 도입하는 기업의 경우 기존의 컴플라이언스 이슈 대응, 알려지지 않은 보안 위협에 대한 사전 분석 등 클라우드 도입 시 우려되는 보안 이슈를 우선 풀어야 한다. 이럴 경우 해커원의 전문 서비스가 활용될 수 있다. 특히 SaaS로 넘어가는 경우 데이터 유출이나 안정성 등에 대한 사전 테스트로도 적합한 서비스이다. 예를 들어 세일즈포스닷컴과 같은 SaaS 기반 CRM 서비스를 도입한다면 사전에 내 고객 데이터에 대한 안정성은 어느 정도 담보가 되는지 확인하기 위해 이 회사의 서비스를 활용할 수 있다.
  • 주요 파트너: 미 국방성, 유럽 위원회와 같은 공공기관, 구글 플레이, 스포티파이, 페이팔, 트위터와 같은 서비스 기업, 도요다, GM과 같은 제조사, HBO, 버라이즌, 스타벅스 등 다양한 분야의 고객 스펙트럼을 보유하고 있다.

소포스(Sophos)

퍼블릭 클라우드를 활용하는 경우, 더 나아가 SaaS를 활용하는 경우라 할지라도 전반적인 보안에 대한 책임은 고객과 클라우드가 함께 가져가기 마련이다. 특히 기업의 컴플라이언스 이슈는 상당 부분 고객이 직접 감당해야 할 부분이다. 이런 고객의 필요성에 의해 클라우드에 특화된 방화벽과 같은 솔루션과 서비스를 제공하는 기업이 소포스이다. 특히 하이브리드 멀티 클라우드 환경에서의 엔드투엔드 보안을 위해 필요한 다양한 서비스를 제공한다.

소포스 https://www.sophos.com/en-us.aspx
소포스
  • 주요 활용 방안: 아마존 AWS, MS 애저, GCP(구글 클라우드 플랫폼)로의 전환을 계획하는 기업으로서, 엔드투엔드 보안에 특별히 민감한 기업이 고려해 볼 수 있는 서비스이다.
  • 주요 파트너: 아마존, MS, 구글과 같은 글로벌 클라우드 서비스 벤더들과의 파트너십을 통한 서비스가 제공된다.

하이트러스트(Hytrust)

클라우드의 데이터 보안에 특화된 기술과 서비스를 제공하는 회사이다. 퍼블릭클라우드 활용을 통한 워크로드의 분산과 확대에서 가장 우려되는 부분이 워크로드의 안정성이다. 외부 노출에 대한 우려 또는 중간에 위변조나 탈취될 가능성으로 인해 기업의 민감한 워크로드의 클라우드 확장은 늘 조심스럽다. 클라우드로 전환하는 가장 중요한 목표 중 하나인 유연한 확장을 위해서는 워크로드, 즉 데이터 보안이 담보되어야 한다. 하이트러스트는 암호화를 통해 데이터를 보호함으로써 다양한 수준의 자동화된 보안 제어를 가능하게 한다.

하이트러스트 https://www.hytrust.com/
하이트러스트
  • 주요 활용 방안: 멀티 클라우드 환경에서의 워크로드 확장을 염두에 두고 있다면 이 회사의 기술 활용을 고려해 볼 필요가 있다. 특히 클라우드 네이티브를 지향하는 기업이라면 안전한 워크로드 분산을 위해서 적극적으로 검토해 볼 필요가 있다.
  • 주요 파트너: 아마존 AWS, IBM, 델, 시스코, HP엔터프라이즈, 브이엠웨어(VMWare), 넷앱(NetApp)과 같은 기업을 주요 파트너로 두고 있다.

사이퍼클라우드(CyperCloud)

CASB(Cloud Acess security Broker)+ 플랫폼을 주력 제품으로 엔드투엔드 데이터 보호를 지향하는 회사이다. 특히 클라우드 기반 기업용 애플리케이션 데이터가 의도하지 않게 외부로 유출되거나 잘못 사용되는 것을 막아주는 것을 주목적으로 하고 있다. 인기 있는 클라우드 서비스인 구글 드라이브, 드롭박스, 원드라이브, 오피스365, SAP 등을 모두 지원한다.

사이퍼클라우드 https://www.ciphercloud.com/
사이퍼클라우드
  • 주요 활용 방안: 민감한 데이터를 다루는 기업용 SaaS를 도입할 경우 우선 고려해 볼 수 있다. 이메일 데이터 보호도 활용 범주에 포함될 수 있다.
  • 주요 파트너: SaaS를 도입하여 활용하는 다양한 분야의 회사들을 고객사 군으로 가지고 있다. 민간 부문뿐만 아니라 공공부문, 의료부문, 금융부문 등 민감한 데이터를 다루는 다수의 고객을 확보하고 있다. 또한, 일반 클라우드 스토리지 및 SaaS를 제공하는 기업을 파트너로 두고 있는데, 여기에는 세일즈포스, 구글(G Suite), 드롭박스 등이 포함된다.

트위스트락(Twistlock)

이 회사는 클라우드 네이티브 환경에서의 사이버 보안을 핵심 슬로건으로 내건 점에서 주목할 만하다. 특히 데브옵스의 보안 확장 개념인 데브섹옵스(DevSecOps) 전 라이프사이클에 걸쳐 보안 서비스를 제공하는 것을 특장점으로 내세우고 있다. 트위스트락 자체가 컨테이너 기반으로 되어 있다는 것도 특징이다.

즉, 트위스트락이 하나의 마이크로서비스화 되어 있어서 API호출을 통해 필요할 때 마다 보안과 관련된 기능을 수행할 수 있다는 뜻이다. 자동화된 CI(Continuous Integration)/CD(Continuous Deployment)와 연계될 경우 (컨테이너화된) 애플리케이션의 빌드/배포 확장 단계에서의 보안 취약점을 찾아 더 큰 보안 사고를 미리 방지할 수 있도록 한다.

트위스트락 https://www.paloaltonetworks.com/prisma/cloud/compute-security/container-security
트위스트락 
  • 주요 활용 방안: 클라우드 네이티브 환경, 자동화된 DevSecOps 환경에서 컨테이너 보호/보안을 위해 쓰일 수 있다. 클라우드 네이티브를 고려하는 기업이이라면 우선 검토해 볼 만한 회사다. 참고로 PCI, HIPAA, NIST 컴플라이언스 이슈 대응이 가능하다.
  • 주요 파트너: DBS, 디스커버, 버라이즌, 페이팔, CDC, 월그린과 같은 기업이 대표적인 고객들이다.

기타 

이 밖에도 시만텍, 팔로앨토 네트워크(Palo Alto Network) 같은 전통적인 사이버보안 회사들도 물론 주요 클라우드 보안 서비스 회사 리스트에 포함된다. 클라우드에 특화된 보안 서비스 회사를 일컬어 CASB (Cloud Access Service Broker)라고도 부른다. 앞서 언급한 사이퍼클라우드도 CASB의 하나이며 데이터 보안을 위한 암호화 기술에 기반하는 것도 그 특징이다. 클라우드 활용 시 기업의 민감한 데이터가 관리/권한 밖에 있어도 안전하게 보호될 수 있도록 하는 것이 사실상 CASB의 핵심 목표라 할 수 있다.

클라우드로 전환 시 보안 관련 체크해야 중요한 포인트 중 하나는 컴플라이언스 이슈 대응이다. 대부분 사이버보안 관련 회사들이 PCI, HIPAA, GDPR, NIST와 같은 컴플라이언스 이슈를 언급하는 이유이다. 클라우드 보안 서비스를 도입할 때는 고객이 늘 높은 우선순위로 챙겨 보아야 할 부분이다.

 

클라우드 보안을 위한 오픈소스 현황

주요 클라우드 벤더들이 기본적으로 제공하는 보안도구도 매우 유용하지만, 많은 기업에서 요구하는 높은 수준의 보안을 지원하는 데에는 충분하지 않을 수 있다. 예를 들면, 퍼블릭 클라우드를 쓰는 경우 보안 이슈에 대한 가시성 확보, 기업에서 자체적으로 수행할 수 있는 보안 점검 및 테스트, 그리고 발생 상황에 대한 즉각적인 대응 등 클라우드 서비스만 가지고는 충족될 수 없는 요구사항이 있을 수 있다.

이런 이유로, 일부 기업에서는 자체적으로 이런 기능들을 수행하는 소프트웨어를 개발/운용하고 있으며 또 이 중 일부는 공개되어 오픈소스 생태계 내에서 발전하는 것들도 있다. 이 중 눈여겨 볼만한 오픈소스 프로젝트들은 다음과 같다.

i_18

클라우드 커스토디안(Cloud Custodian)

기업에서 필요로 하는 다양한 컴플라이언스 정책을 스크립트로 작성. 일종의 규칙 엔진에서 실행시킬 수 있도록 하는 것이 핵심 기능이다. 형상관리에 많이 쓰이는 YAML이란 스크립트 언어를 사용하여 필요한 보안 정책을 기술한다. 예를 들면 “모든 아마존 S3 버킷은 암호화 한다”와 같은 정책을 항상 체크하고 실행 할 수 있도록 하는 것이다.

또한, 클라우드에서 제공하는 기본 서비스와도 자동으로 연계되어 함께 실행시킬 수 있다는 것도 장점 중 하나이다. 캐피털원(Capital One)의 한 엔지니어가 개발하여 오픈소스로 기여하였으며, 아마존 AWS, MS 애저, GCP 모두에서 활용할 수 있다.

클라우드 커스토디안 https://cloudcustodian.io/
클라우드 커스토디안

카토그라피(Cartography)

클라우드 내 사용 자원에 대한 현황을 쉽게 모니터링할 수 있도록 자동으로 시각화 해주는 도구이다. 퍼블릭 클라우드 사용 시 미흡한 가시성 확보를 위해 사용되는 도구로 클라우드 활용 전반에 대한 리포트 생성뿐만 아니라 모니터링을 통해 잠재적 침입 위협을 감지하고 필요한 개선을 하도록 도울 수 있다. 리프트(Lyft) 엔지니어가 파이썬을 이용해 개발하였으며, AWS, 애저, GCP 모두 지원 가능하다.

디피(Diffy)

디지털 포렌식 및 대응(DFIR: Digital Forensics and Incident Response)은 디지털 기술에 많은 부분을 의존하는 현대의 거의 모든 기업의 비즈니스 활동에서 매우 중요한 분야이다. 본 리포트에서 소개되는 보안 관련 서비스나 기술들도 넓은 의미에선 DFIR의 일부분을 대부분 포함한다고 볼 수 있다.

디피는 DFIR을 위한 일종의 테스트 도구이다. 기업내 DFIR을 담당하는 부서에서는 디피를 이용하여 클라우드 내 컴퓨팅 자원과 관련된 이상 징후를 찾아낼 수 있다. 넷플릭스의 보안팀에서 파이썬으로 개발되었으며 오픈소스로서는 아직 초기 단계로 현재 AWS의 가상 머신을 지원하는 수준이라고 한다.

깃릭스(Gitleaks) / 깃시크릿(Git-secrets)

이 두 도구는 각각 별도로 개발된 것이지만 깃(Git) 저장소(repository) 스캔을 통해 공개할 수 없는 기밀(secrets) 정보들이 있는지를 찾아내 리포팅 해주는 도구라는 점에서 공통점을 가지고 있다. API 사용을 위한 키(key) 값이나, 토큰 등을 스캔하여 부정한 방식으로 API를 호출하는 것을 방지하고, 또한 커밋(commit)시 작성되는 메시지까지 스캔함으로써 불필요하게 민감한 정보가 노출되는 것을 방지하도록 한다. 민감한 정보를 걸러내는 것뿐만 아니라, 부적절한 커밋으로 인한 향후 잠재적 보안 위협을 걸러 내려는 목적도 포함된다.

gitleaks5

최근 IT 보안의 패러다임이 DevSecOps의 단계에서 ‘좌경화(shifted left)’되는 추세를 반영한 도구라고도 볼 수 있다. 전통적으로 인프라 운영 단에서 이루어지던 보안 탐지 및 대응이 개발 단까지, 즉 DevSecOps의 맨 좌측까지 움직이고 있음을 빗댄 표현이다. 유닛테스트 자동화까지 연계될 경우 개발에서 통합 운영까지 애플리케이션 전 라이프사이클에서의 보안을 구현하는 기술이라 볼 수 있다. 깃릭스는 깃랩의 엔지니어가 고(Go)언어를 사용해 개발했고, 깃시크릿은 AWS 랩에서 개발되었다.

오섹(OSSEC) 

OSSEC는 호스트 기반의 침입탐지 기능, 로그 모니터링 기능, SIEM(Security Information and Event Mangement) 기능들을 합쳐 놓은 보안 플랫폼이다. SIEM은 보안정보 관리기능과 보안이벤트 관리 기능이 합쳐진 형태의 보안 서비스를 일반적으로 일컫는 용어이다.

오섹 https://www.ossec.net/
오섹

대표적인 예로 들 수 있는 IBM QRadar SIEM처럼 온프레미스용으로 활용되었으나 현재는 클라우드 기반의 가상머신 용으로도 활용되고 있다. 따라서 AWS, 애저, GCP 모두를 지원할 뿐만 아니라, 리눅스, 윈도, 맥OS, 솔라리스 같은 일반 OS 환경에서도 동작한다. 현재 이 오픈소스 프로젝트는 OSSEC 재단에서 유지보수하고 있다.

팩봇(PacBot)

팩봇은 컴플라이언스 모니터링을 지원하는 플랫폼으로, 컴플라이언스 정책을 코드로 구현하여 모니터링할 수 있다는 점에서 앞서 소개한 클라우드 커스터디안과 유사하다. 컴플라이언스 정책이 코드로 작성되기 때문에 자동으로 실행되며 단순 모니터링으로 끝나는 것이 아니라, 이슈를 발견하고, 이 이슈에 대해 미리 정의된 해결책까지 바로 적용할 수 있다는 것이 강점이다. T-모바일에서 개발되었으며 지금도 T-모바일에 계속 관리하는 오픈소스이다. AWS와 애저를 지원한다.

팩봇 https://cloudsecops.com/pacbot-open-source-compliance-automation-tool/
팩봇

파쿠(PACU)

AWS 환경에서의 침입 테스팅 툴킷으로 제공되며 시스템 보안 강화를 위한 모의 침투 훈련을 할 때 해커가 활용할 수 있는 다양한 기능들을 제공한다. 현재 36개의 플러그인 모듈이 제공되고 있다고 하며, 실제 침투 테스트 전문 회사인 라이노 시큐리티(Rhino Security)사가 개발하고 지금도 계속 유지보수를 하고 있다. 파이썬으로 개발되었다.

파쿠

프라울러(Prowler)

아마존 AWS에서 운영하는 CIS(Center for Internet Security) 벤치마크 프로그램은 AWS에 입주해 있는 고객이 보안 관련 감사를 수행하고 또 개선을 위해 참조할 수 있는 우수 사례를 제공하는 서비스이다. 프라울러는 바로 이 CIS 벤치마크 프로그램에 기반 하여 고객의 IT 인프라를 감사할 수 있도록 하는 도구이다. 보안과 직접 연관이 있는 벤치마크뿐만 아니라 GDPR이나 HIPAA 컴플라이언스도 체크할 수 있다. AWS 시큐리티 허브에 통합되어 있어서 AWS 고객은 바로 활용할 수 있다.

프라울러 https://github.com/toniblyx/prowler
프라울러

시큐리티 몽키(Security Monkey)

시큐리티 몽키는 클라우드에서의 형상관리 변화, 정책 변경 등을 모니터링하는 도구이다. 퍼블릭 클라우드 서비스인 AWS, 애저, GCP는 물론, 오픈스택(OpenStack) 환경도 지원하여 하이브리드 멀티-클라우드 환경에서도 활용될 수 있다. 시스템 접근 권한의 변경, IAM(Identity and Access Management)의 변경 등이 대표적인 모니터링 대상으로, 부적절한 클라우드 자원의 접근·활용을 사전에 방지하고자 하는 것이 주목적이다. 넷플릭스에서 개발하여 지금은 제한적으로 오류 수정 정도의 유지보수가 이루어지고 있다.

시큐리티 몽키

 

정리하며

클라우드로의 전환 혹은 워크로드 확대를 계획하는 대부분의 기업이 제일 먼저 풀어야 할 숙제가 보안 및 컴플라이언스 이슈이다. 글로벌 클라우드 벤더들이 이미 다양한 솔루션과 서비스를 갖춰 놓고 이런 고객들의 고민 해결을 주장하고 있지만, 회사별로 천차만별인 보안 요구사항을 클라우드 벤더의 기본 서비스로 해결하는 것은 사실상 불가능하다.

회사 입장에서는 크게 두 가지 선택지를 가지게 된다. 전문 회사로부터 “관리된” 서비스나 기술지원을 받는 것, 또 하나는 자체 DevSecOps 인력을 활용하여 스스로 해결책을 찾는 것이다. 이 글에서 언급된 회사, 그리고 오픈소스를 좀 더 깊이 살펴봄으로써 최소한 고민의 일부라도 해결될 수 있을 것으로 기대해 본다.

 

클라우드 보안 서비스

 

[divide style=”2″]

[box type=”note”]

본 글은 한국정보화진흥원의 지원을 받아 작성되었으며, 클라우드스토어 씨앗 이슈리포트에 동시 게재합니다.

[/box]

관련 글