< CWPP 솔루션의 8가지 주요 기능 >

가트너는 하이브리드/멀티 클라우드 데이터센터에서의 워크로드 보호를 위해 중요한 기능을 8개 레이어로 설명한다.

1. 보안 강화 및 설정/취약점 관리(Hardening, Configuration and Vulnerability Management)
워크로드 이미지는 필요한 코드와 소프트웨어로만 구성된다. 텔넷/FTP, 브라우저 등 불필요한 애플리케이션이 제거됐는지, 산업 표준이나 기업 가이드라인 등에 맞게 시스템 보안 설정이 구성됐는지, 취약점이 존재하는지 등을 점검하고 관리한다.

2. ID 세그멘테이션 및 네트워크 가시성(Identity-based segmentation and Network Visibility)
워크로드별 방화벽 및 세그멘테이션 기능으로 각 워크로드를 보호하고 네트워크 가시성을 제공한다. 사용자는 CSP(클라우드 서비스 제공 기업)가 기본적으로 제공하는 세그멘테이션(AWS Security group, Azure Network Security Group 등)을 활용하거나 CWPP가 제공하는 보안 기능을 이용할 수도 있다. 이스트-웨스트(East-West) 통신에서의 네트워크 공격 탐지를 위해 요구되고 있다.

3. 시스템 무결성 보장(System Integrity Assurance)
워크로드를 인스턴스화(시작)하는 동안 무결한지 검증하거나, 워크로드가 부팅된 후 시스템 파일 및 구성에 주요한 변경사항이 있는지 실시간으로 모니터링한다. 일반적으로 FIM(File Integrity Monitoring, 파일 무결성 모니터링)과 같이 중요 파일에서 레지스트리, 시작폴더, 부트로더(Boot loader) 등을 모니터링한다.

4. 애플리케이션 제어(Application Control/Whitelisting)
일반적으로 서버는 단일(Single) 애플리케이션을 구동한다. 서버에서 무슨 실행 파일을 구동할 것인지 제어함으로써 보안을 강화할 수 있으며, 자동거부(Default Deny) 또는 제로트러스트 보안 형상(Zero-Trust Security Posture)을 적용할 수 있다.

5. 익스플로잇 예방 및 메모리 보호(Exploit Prevention/Memory Protection)
운영체제 및 실행 가능한 애플리케이션 취약점에 대응하며, 메모리상 악성코드 실행 등 파일리스 공격으로부터 서버 워크로드를 보호한다.

6. 서버 워크로드 EDR, 행위 모니터링 및 위협 탐지/대응(Server Workload EDR, Behavioral Monitoring and Threat Detection/Response)
워크로드의 네트워크 통신, 프로세스 시작, 파일 오픈, 로그 등을 모니터링해 의심스러운 행위를 탐지하고 이에 대응한다. 또는 허용된 애플리케이션 행위에서 벗어난 비정상적인 행위가 있는지 탐지하는 형태이기도 하다. 호스트 기반 에이전트 방식으로 탐지되거나, 네트워크 또는 클라우드 베이스 기반으로 탐지되는 형태도 존재한다.

7. 호스트 기반 침입 탐지 시스템(Host-Based IPS With Vulnerability Shielding)
워크로드 환경으로 유입되는 네트워크 트래픽을 분석해 알려진 취약점에 대한 공격을 탐지/차단한다. 네트워크 기반 IPS만으로는 워크로드 보호 외에 가상머신 간(Inter-VM), 컨테이너 간(Inter-Container-Based) 공격으로부터의 보호는 어렵다. 반면 HIPS(호스트 기반 IPS)는 패치되지 않거나 또는 패치될 수 없는 호스트를 제로데이 취약점 공격로부터 보호하며, 서버 워크로드를 보호하는 데 중요한 역할을 수행할 수 있다.

8. 안티 멀웨어 스캐닝(Anti-malware Scanning)
시그니처 기반의 안티 멀웨어 스캐닝을 말한다. 일반적으로 관리되고 있는 서버 워크로드에서는 필요성이 크지 않으며, NFS 서버나 FTP 서버 등의 파일 공유가 진행되는 저장소(Repository) 서버를 대상으로 활용된다. 컴플라이언스 요구사항 중 하나로 제시될 수 있는 기능이다.

[인터뷰]

“고객이 필요로 하는 CWPP 솔루션 역량 지속 강화할 것”

안랩 조태희 부장

국내 클라우드 보안 시장 변화에 대해 어떻게 체감하고 있나.

CWPP 시장의 빠른 성장과 함께, 최근 글로벌 IT·보안 기업들의 한국 시장 진출 또한 증가하고 있다. 국내에서도 ‘안랩 CPP’를 비롯해 다양한 클라우드 보안 솔루션이 등장하고 있어 국내 클라우드 보안 솔루션 내 경쟁이 더 심화될 것으로 보인다.

국내 시장 변화에 대해 어떻게 전망하고 있는지.

현재까지 국내 시장은 IaaS(Infrastructure as a Service) 중심으로 클라우드 전환이 진행되고 있어 가상머신(VM) 보호에 대한 수요가 크다. 그동안 기존 엔드포인트 보안 솔루션을 확장 적용해 서버까지 보호했다면, 최근은 클라우드 전환과 함께 서버 중심의 보호를 위해 CWPP 솔루션을 검토하는 추세이다. 하지만 백신 프로그램만을 도입하길 원하는 사용자의 경우 기존 엔드포인트 보안 솔루션을 함께 고려하기도 한다.

하지만 최근에는 가상머신보다 컨테이너 형태로의 서비스 제공이 증가하는 추세다. 대부분 리눅스 호스트를 기반으로 하기 때문에 리눅스 서버에서의 악성코드와 랜섬웨어에 대응할 수 있는 보안솔루션에 대한 수요가 증가하고 있다. 또한, 컨테이너가 존재하는 호스트에 대한 보호를 비롯해 컨테이너가 개발/배포되는 CI/CD 파이프라인에서 컨테이너 이미지를 사전에 스캐닝하고 안전하게 배포하기 위한 보안솔루션에 대한 수요가 증가하고 있다.

안랩은 어떤 변화를 계획하고 있나.

올해 조직 개편의 주요 내용은 △전사 통합 대응 조직 구축을 위한 ACSC(안랩 사이버 시큐리티 센터) 신설 △제품별 개발 중심 연구소 조직 재편 △OT보안 개발조직 신설 및 클라우드 보안 조직 강화 등이다.

특히 안랩은 클라우드 보안 조직을 강화해 기존의 솔루션을 고도화하고, CWPP 솔루션 역량을 강화해 클라우드 환경 변화에 대응한다. 또한, 제품개발과 지원에서의 통합 대응을 위한 기술지원 조직을 개편했다. 이처럼 클라우드 보안에 대한 전사적인 조직 강화를 바탕으로 고객이 필요한 기능을 보다 빠르게 파악하고 제품에 반영하고자 한다.

CWPP 솔루션 ‘안랩 CPP’ 고객 현황과 향후 계획은?

안랩은 국내 CSP 마켓플레이스를 기반으로 다양한 고객사에게 ‘안랩 CPP’를 제공하고 있다. 또한, 클라우드 서버 보호를 원하는 금융권과 공공 분야의 고객을 확보한 바 있다.

‘안랩 CPP’는 출시 이후 지원 운영체제(OS)를 확대하고 무결성 모니터링(Integrity Monitoring) 및 컨테이너에 대한 위협 탐지 기능을 강화해 왔다. 올해에도 데비안(Debian), 수세(SUSE) 등 지원 운영체제 확대와 함께 서버 보호를 위한 로그 모니터링(Log Monitoring), 회사 규정, 컴플라이언스와 관련된 보안 설정 관리(Security Configuration Management) 기능을 지원해 CWPP 솔루션으로의 역량을 강화해갈 계획이다. 향후, CI/CD 단에서의 컨테이너 이미지에 대한 스캐닝 솔루션을 제공해 변화하는 국내 서버 환경 대응을 목표로 하고 있다.

국산 대표 CWPP 솔루션 – ‘안랩 CPP(AhnLab CPP)’

‘안랩 CPP’는 물리·가상머신·클라우드 환경에서의 윈도우 및 리눅스 서버 워크로드를 보호하는 보안 솔루션이다. 물리, 가상머신(VM), 컨테이너가 존재하는 호스트에 대한 필수적인 서버에서의 런타임 보안을 지원한다.

안랩 CPP는 ▲신뢰하는 애플리케이션만 실행하도록 하는 화이트리스트 기반 애플리케이션 제어(Application Control) ▲시스템 내 중요 파일, 폴더, 레지스트리, 사용자, 그룹, 서비스, 포트, 시작 프로그램 등의 변경을 감시하는 무결성 모니터링(Integrity Monitoring) ▲IP/포트(Port)/프로토콜 기반의 방화벽(Firewall) ▲안랩의 축적된 보안위협 분석/대응 노하우를 반영한 네트워크 침입 공격 탐지/방지(Host IPS) ▲악성코드 탐지/대응(Anti-malware) 등의 기능을 제공한다.

‘안랩 CPP’는 물리, 가상, 클라우드 환경의 서버에 대한 가시성을 제공하며 일관된 통합 보안을 지원한다. 대시보드를 기반으로 클라우드 및 하이브리드 환경의 서버 워크로드에 대한 보안 상태를 직관적으로 보여주며, Syslog 전송을 지원해 SIEM 연동 관제가 가능하다.

고객은 ‘안랩 CPP’를 이용해 필요로 하는 기능만을 선별적으로 설치 및 관리할 수 있으며, 적용 기능간 연계 규칙을 설정해 능동적인 보안 대응이 가능하다. 현재 아마존웹서비스(AWS), 애저(Azure) 뿐만 아니라 네이버 클라우드, NHN클라우드, 카카오아이(i)클라우드 등 국내 CSP 환경에서도 검증을 마쳤으며, 각 제공사의 마켓플레이스에서 제공되고 있다.

‘안랩 CPP’는 운영 중인 서버 가용성을 고려해 다양한 운영모드를 지원하며 서버 자원 점유율에 맞춰 보안 기능을 운영할 수 있는 옵션 기능을 제공한다. 또한, 호스트 서버를 비롯해 컨테이너 내 악성코드, 컨테이너로부터의 네트워크 침입 공격을 탐지하고 차단할 수 있다.

안랩은 다양한 보안 위협에 대응하며 축적한 노하우와 분석, 인프라, 기술지원 등의 역량을 기반으로 국내 환경에 최적화된 보안 위협대응 체계를 지원하고 있다.