2022년 초 클라우드 보안 관련 흥미로운 리포트가 발간되었다. 리포트의 제목은 “The State of Cloud Native Security Report 2022”다. 매년 기업의 클라우드 활용현황에 대한 포괄적인 보고서를 발간하는 플렉세라 리포트(Flexera, “State of the Cloud Report”, 2022)와 제목이 유사하여 같은 곳에서 출간한 것으로 오해할 수 있는데 본 리포트는 사이버 보안 전문회사인 팔로알토 네트웍스에서 출간한 것이다. 보고서의 제목에 “클라우드 네이티브”라는 단어가 들어있는 것도 다소 오해의 소지가 있다. “클라우드 네이티브”에 특화된 보안 이슈를 다룬 것이라기보다는 일반적인 클라우드 보안에 관한 종합 보고서에 더 가깝다.
어쨌든, 이 조사 결과는 클라우드 확산을 염두에 둔 조직에서 참고할 만한 새로운 시각의 인사이트를 제공한다. 이에 보안 이슈 부분을 중심으로 본 기고문에서 정리해 보고자 한다. 참고로 이 보고서는 2021년 5월부터 6월까지 약 한 달 동안 미국, 영국, 독일, 브라질, 일본에서 3,000여 명의 응답자를 대상으로 한 조사 결과다.
1. 클라우드 확산 현황
보안 관련 조사 결과를 살펴보기 전 클라우드 확산 현황을 살펴보면, 우선 클라우드로의 워크로드 전환이 두드러지는 것으로 드러났다. 전체 워크로드의 59%를 클라우드에서 실행하는 것으로 나왔으며, 이는 2020년 조사의 46%와 비교하면 엄청난 증가세임을 알 수 있다. 워크로드의 반 이상을 클라우드에 의존하고 있는 회사는 69%로 조사되었는데, 2020년 조사 결과인 31%와 비교하면 두 배 이상 증가한 것이다. 이는 조사 대상 회사의 2/3 이상이 클라우드 비중이 더 높다는 것으로, 회사의 주류 컴퓨팅 자원을 클라우드로 이미 전환했음을 의미한다.
흥미로운 사실은 2020년보다 2021년에 프라이빗 클라우드 사용 비중이 더 늘었다는 것이다. 2020년은 퍼블릭 클라우드 사용 비중이 프라이빗 클라우드보다 약간 높은 52%인데 2021년에는 프라이빗 클라우드가 55%로 비중이 많이 늘었다. 퍼블릭 클라우드의 편리함을 그대로 담는 대신 전용 클라우드로 활용함으로써 보안 및 성능 이슈를 해소하는 전략에 기반한 클라우드 전환 사례가 많았음을 시사한다. 코로나19 팬데믹으로 인한 원격 근무 확산도 프라이빗 클라우드 확대에 한몫했을 것으로 생각한다. 민감한 회사 업무의 경우 원격 근무자들이 퍼블릭 클라우드보다는 비슷한 환경의 전용 프라이빗 클라우드를 통해 접근하도록 하는 사례가 많았을 것이다.
한편, 클라우드에서 실행되는 워크로드 타입 중 PaaS(Platform as a Service)와 서버리스(Serverless) 타입의 비중이 2020년 22%에서 2021년 42%까지 크게 늘었는데, 이젠 클라우드의 활용 방식이 기존 인프라 운영 위주의 서비스(IaaS)에서 개발자 중심의 클라우드 활용으로 확대되고 있음을 시사한다. 사내 업무 혹은 대외 사용자용 서비스를 개발할 때 PaaS를 활용함으로써 완성도도 높이고 개발에 걸리는 시간도 줄일 수 있기 때문이다. 인프라에 대한 고민은 전혀 없이 기능(Function)만 따로 개발하여 필요할 경우, 즉 특정 이벤트나 환경 조건이 갖추어지면 자동으로 실행되는 서버리스 컴퓨팅도 클라우드의 주류로 등장한 것이다. 이러한 트렌드의 변화는 클라우드 확대 필요성에 대한 조사에서 잘 드러난다.
클라우드 활용을 확대해야 하는 이유 중 가장 많은 답이 애플리케이션 현대화다. ‘현대화'(modernization)가 최근 여러 분야에서 자주 언급되고 있는데, 대표적인 것이 미국 정부의 “소프트웨어 현대화” 전략이다. 클라우드 퍼스트에서 클라우드 스마트, 그리고 이런 기조가 발전한 것이 소프트웨어 현대화이다. 특히 미국 국방부에서 주도적으로 이끄는 소프트웨어 현대화의 핵심은 클라우드 컴퓨팅의 역할을 최대한 끌어 올리면서 이에 걸맞는 보안체계와 소프트웨어 개발 체계를 갖추는 것이다. PaaS 및 서버리스 컴퓨팅을 적극적으로 활용함으로써 클라우드에 최적화된 애플리케이션을 개발하는 것이 곧 소프트웨어 현대화이며, 이런 추세가 아래 그래프에 나타나 있다.
2. 클라우드 전환에 따른 보안 과제
클라우드 전환에 가장 걸림돌, 즉 해결해야 할 중요한 도전과제가 무엇이냐는 질문에 대해서 지난 수년간 한결같이 ‘보안’을 들어왔다. 이는 지금도 마찬가지이다. 즉, 클라우드 전환 확대에 따라 보안에 대한 투자도 함께 늘어갈 수밖에 없음을 알 수 있다. 특히, 클라우드 전환이 어느 정도 궤도를 넘어 안정화 단계에 접어들 경우, 클라우드 자체에 대한 투자는 제자리 수준이더라도 보안에 대한 투자는 계속 늘고 있다. 애플리케이션 현대화에 따른 새로운 보안 이슈들이 등장하기도 하지만, 취약점을 노리는 침해 시도는 새로운 모습으로 발전해 나아가기 때문이다. 팔로알토 네트웍스 보고서에 의하면 총 클라우드 예산의 20% 이상을 보안에 할애하는 회사가 2020년에는 4%였던 반면 2021년에는 15%로 늘었다고 한다.
이 사실이 앞서 얘기한 보안 투자가 클라우드 예산 전반에서 점점 더 많은 비중을 차지하고 있음을 방증한다. 클라우드 보안 투자 관점에 나타나는 특이한 트렌드의 하나는 보안 투자 비용은 커지지만, 한 회사에서 활용하는 보안 도구를 제공하는 공급자 수는 줄고 있다는 사실이다. 1개에서 5개의 보안 서비스/솔루션 공급자를 두고 있는 회사와 6개에서 10개의 공급자를 두고 있는 회사로 구분한 조사에서, 2020년에는 전자가(1~5개 공급자) 41%, 후자가 39%였던 반면 2021년에는 전자 68% 후자가 20%로 변한 것이다. 5개 이하의 보안 공급자를 두고 있는 회사가 27%나 늘었다는 사실이 특히 주목할 만한데, 클라우드에서의 보안에 대한 요구는 높아지지만, 그렇다고 해서 무작정 새로운 보안 도구를 도입해 활용하는 추세는 아니라는 뜻이다.
다양한 공급자의 보안 서비스·도구를 활용할 경우 완전히 분리된 도구들 사이의 틈새에서 잠재적 위협 요소들이 생길 가능성이 있다. 이에 가능한 공급자를 줄이면서 여러 기능이 통합된 형태의 서비스나 솔루션을 활용하는 추세란 뜻인데, 물론 직관적으로 공감이 가기는 하지만, 본 보고서를 작성한 주체가 팔로알토 네트웍스라는 보안 서비스 공급자라는 것도 감안할 필요는 있다.
2.1 보안 태세 및 마찰 (Security Posture and Friction)
소프트웨어 개발 업무나 서비스 운영 업무를 오래 해오다 보면 간혹 보안 요구사항 때문에 업무 진행이 지체되거나 서비스 운영에 영향을 받는 경험을 하게 된다. 확장성 및 생산성 증대를 위한 클라우드 전환에 속도를 내는 데에도 마찬가지로 보안 및 컴플라이언스 이슈가 발목을 잡을 수 있다. 이렇게 서로 “연관되는 것 같은” 두 속성을 보안 태세 및 마찰이라고 정의하였는데 클라우드 관점에서 각각을 분리하여 설명하면 다음과 같다.
- 보안 태세(Security Posture): 보안에 들이는 노력이 얼마나 효과가 있는지를 기업의 관점에서 매기는 수준/등급
- 보안 마찰(Security Friction): 보안이 원활하고 속도감 있게 기업 활동을 돕고 있는지 아니면 제한하고 있는지를 판단하는 정도
직관적으로 이 두 속성은 서로 모순되는 것처럼 보이기도 하나, 클라우드 확대 전략을 어떻게 가져가느냐에 따라 높은 수준의 보안 태세가 보안 마찰을 오히려 줄일 수 있다. 이 리포트에서는 이와 관련하여 여러 관점에서 조사한 결과를 보여준다. 우선 보안 태세를 결정하는 요인은 다음과 같다.
- 모든 클라우드 계정과 자원에 대해 가시성을 확보하고 있는가?
- 조직의 위험 및 취약점에 대한 우선순위가 제대로 정의되어 있으며 이에 따라 운영되고 있는가?
- 자동화된 런타임 보호장치가 동작하며, 워크로드에 대한 강력한 보안 요건을 만족하는가?
- 클라우드 네이티브 애플리케이션 및 자원에 대한 튼튼한 거버넌스 정책을 제공하는가?
- 조직의 컴플라이언스 준수 및 감사 보고서 작성이 쉽게 되어있는가?
- 관련 이슈 발생 시 이에 대한 조사와 대응이 용이한가?
팔로알토 네트웍스의 조사에서는 위 6가지 수준 전반에 대해 얼마나 동의하는가를 질문하여 이 대답이 긍정 또는 강한 긍정일 경우를 강한(Strong) 보안 태세를 갖춘 것으로 분류하고, 그렇지 않은 나머지를 약한(Weak) 보안 태세를 갖춘 것으로 분류했다. 조사 결과는 아래 그림과 같다.
보안 마찰에 대한 질문은 다음 두 가지로 제시되었다.
- 클라우드 보안 관련 이슈들로 인해 지출하는 클라우드 비용 대비 ROI(투자수익률)가 떨어지는가?
- 보안 프로세스로 인해 프로젝트 일정을 제대로 맞추지 못하고 있나?
조사 결과는 다음과 같다.
클라우드 전환 시 가장 도전적인 과제는 언제나 보안이었기 때문에 수준에 따른 차이는 있겠지만, 클라우드 보안 마찰이 아예 없는 상황은 상상하긴 어렵다. 조사 결과에서 낮은 마찰 수준(Low Friction) 아래 제로 마찰 항목이 없는 것으로 보아 누구나 일정 수준의 클라우드 보안 마찰은 있다고 보는 것이 타당하다. 보고서에서는 보안 태세 등급과 보안 마찰 수준의 상관관계에 대해서도 조사하였다. 언뜻 서로 연관성이 높을 것으로 보이는 보안 태세와 보안 마찰은 오히려 상반되는 것으로 나타났다.
강한 보안 태세를 갖출수록 보안 마찰이 적은 것으로 나타났는데, 조사대상 기업 중 보안 마찰 수준이 낮다고 답한 기업의 71%가 강한 보안 태세를 갖춘 것으로 답했다. 이를 기업의 활동 결과 척도인 생산성과 만족도로 본 결과가 아래 그래프다. 이 그래프에 의하면 전반적으로 만족도와 생산성은 모두 보안 태세 수준에 비례하여 증가하는 것으로 나온다. 다만, 보안 태세 등급이 “매우 강한”다고 응답한 기업의 경우 생산성은 살짝 떨어지는 것으로 나오는데, 전반적인 추세에 크게 반하는 것으로 보기는 어렵다.
이 조사에서는 클라우드 전환 시 강한 보안 준비 태세가 보안 마찰을 확대하지 않고 오히려 생산성과 만족도를 모두 높일 수 있다는 점을 확인한 것이 중요하다. 그리고 클라우드 전환 시 보안 태세와 보안 마찰의 관점에서 보안 요건을 전략적으로 검토하는 것이 필요하다는 점을 시사한다. 한편, 매우 낮은 보안 마찰 수준을 가지면서도 전반적으로 높은 보안 준비 태세를 갖춘 기업들을 따로 분석해 본 결과 데브섹옵스(DevSecOps) 적용 및 자동화 분야에서 최고 수준을 가진 것으로 나타났다. 클라우드 전환에서 데브섹옵스 및 자동화의 중요성을 다시금 확인할 수 있다.
2.2 클라우드 도입 수준에 따른 분석
팔로알토 네트웍스 보고서에는 클라우드 도입 수준에 따른 보안 태세와 마찰, 데브섹옵스 적용, 자동화 현황에 대해서도 분석하였다. 코로나19 팬데믹 전후로 구분하여 팬데믹 전이나 후에도 특별히 클라우드 확산에 크게 관심을 두지 않은 “일반그룹”, 팬데믹 전 대비 급속도로 클라우드 전환이 늘어난 “확장그룹”, 그리고 팬데믹 이전에 이미 클라우드 전환이 잘 이루어진 “성숙그룹”이 셋으로 구분하였다.
조사에 따르면 전체 응답의 39%가 일반그룹, 33%는 확장그룹, 28%는 성숙그룹으로 분류된다. 이들 모든 그룹에 속한 기업이 클라우드 전환을 계속 확대하고 있기는 하지만, 확대 규모 및 기업의 전략 우선순위에 따라 클라우드 전환 전략이 차이 날 수 있다. 일반그룹, 확장그룹, 성숙그룹의 조사 시점의 클라우드 전환율, 즉 클라우드에서 실행되는 워크로드 비율은 각각, 49%, 59%, 74%이며, 향후, 62%, 62%, 85%로 높이는 목표를 가지고 있다.
팬데믹 이전 대비 급속하게 클라우드 워크로드가 늘어난 확장그룹의 경우 팬데믹 이후 상반된 클라우드 전략을 가지고 있는 부류도 있는 것으로 나타났다. 확장그룹의 74%는 여전히 조사 시점 2년 이후에도 클라우드 비중이 높아진다고 답했지만, 26%는 오히려 2년 이후에 클라우드 비중이 줄어들 것이라고 답했다. 팔로알토 네트웍스 보고서에서는 클라우드 비중이 역행하는 확장그룹과 성공적으로 클라우드 비중을 높여가는 성공적인 확장그룹으로 분류하였는데 본 기고문에서는 확장그룹A를 클라우드 비중이 향후 2년 뒤 줄어드는, 즉, 클라우드 전환에 아직 많은 도전과제를 안고 있는 그룹, 확장그룹B를 성공적으로 클라우드 비중을 늘리고 있는 그룹으로 표시하였다. 일반그룹, 확장그룹A, 확장그룹B, 성숙그룹 별 보안 태세 수준과 보안 마찰 수준은 각각 다음과 같다.
확장그룹B가 성숙그룹보다도 오히려 보안 태세 수준이 높은 것이 눈에 뜨인다. 급속하게 클라우드 비중을 늘려갈 수 있었던 요인으로 높은 수준의 보안 태세를 들 수 있음을 의미한다. 확장그룹B의 경우 보안 마찰이 낮은 기업이 많이 포진해 있는 것도 같은 맥락으로 해석될 수 있다. 반면 확장그룹A는 보안 태세 수준이 가장 낮고, 보안 마찰 수준도 매우 높다. 클라우드 비중을 확대해 나아가는 과정에 어려움을 많이 겪으며 결과적으로 클라우드 비중을 낮출 수밖에 없는 상황이라고 볼 수 있다. 데브섹옵스 적용 및 자동화 수준에서도 같은 결과를 보여준다. 가장 높은 데브섹옵스 적용 및 자동화 수준은 확장그룹B에서 찾아볼 수 있다.
2.3 오픈소스 활용도
클라우드 보안 분야에서도 오픈소스 활용이 활발한 편이다. 그러나 퍼블릭 클라우드에 많이 의존하는 특성상 클라우드서비스 제공자(CSP)나 제3의 보안 전문 서비스를 받는 비율도 무시하지 못한다. 오픈소스 의존도가 높은 회사는 일정 수준 이상의 전문 보안 팀이 구성되어 있다. 대체로 30명 이상의 보안 전문 팀을 보유한 기업의 경우 오픈소스 활용이 더 활발한 경향이 있다. 클라우드 도입 수준별로 보면 확장그룹B는 CSP나 제3의 보안 전문회사를 주로 활용하는 비율이 87%로 다른 그룹에 비해 매우 높다. 반면, 오픈소스를 주로 활용하는 비율은 매우 낮은 편이다.
공격적인 클라우드 확장계획을 가지고 있는 기업의 경우 가능한 리스크를 최소화하기 위해 전문 보안 서비스를 주로 활용하는 것으로 이해된다. 확장그룹B가 보안 태세 수준이 높은 것이 전문서비스의 적극 활용과 깊은 연관이 있다는 점을 시사하는 것으로 보인다. 그러나 앞서도 언급했듯이 본 조사의 주체가 사이버 보안 전문회사라는 점을 감안하여 해석하는 것이 바람직할 것이다.
클라우드 전환 확대의 과제 ‘보안 태세’와 ‘보안 마찰’
팔로알토 네트웍스 보고서에서 가장 흥미로운 점은 클라우드 전환 확대 시 극복해야 할 가장 도전적인 과제인 보안 이슈를 “보안 태세(Security Posture)”와 “보안 마찰(Security Friction)”이라는 각기 다른 속성을 기준으로 분석한 것이다. 그리고 이들 수준을 수치화된 지표가 아니라 각 응답자가 판단하는 “정성적” 판단에 따라 구분했다는 사실도 특이한 점이다. 물론 “정량화”하기 어려운 점도 있겠으나, 현업에서 활동하는 구성원들이 느끼는 정성적 판단이 오히려 클라우드 전환 및 확산 전략을 수립하려는 당사자에게는 직관적인 도움이 될 수 있을 것으로 생각된다.
클라우드 확대를 계획하고 있는 조직의 경우 현 조직의 클라우드 도입 수준을 우선 파악한 후, 클라우드 도입 확대 및 이에 따른 보안 수준을 동시에 확보하는 전략이 함께 이루어져야 한다는 점이 이 보고서가 재차 강조하고 있는 점이다. 특히 급격한 클라우드 전환 확대가 불가피한 경우 “보안 마찰”을 최소화하며 성공적인 클라우드 도입을 이룩하기 위해서는 CSP나 보안 전문회사의 보안 서비스 옵션을 충분히 검토할 필요가 있다. 아울러 클라우드에 최적화된 애플리케이션 개발 및 확산을 위해서는 데브섹옵스의 적용과 자동화가 반드시 수반되어야 한다는 점도 강조하고 싶다.
[divide style=”2″]
[box type=”note”]
본 글은 한국지능정보사회진흥원의 지원을 받아 작성되었으며, 디지털서비스 이용지원시스템에 동시 게재합니다.
[/box]
