[컴퓨터월드] 클라우드 네이티브 애플리케이션 보호 플랫폼(Cloud Native Application Protection Platform, 이하 CNAPP)이 주목받고 있다. 그동안 클라우드 도입이 확대되고 애플리케이션 개발 시의 보안 위협이 늘어나면서 각 위협에 대응하는 각각의 솔루션들이 발달해왔다. 클라우드 서버 워크로드 및 컨테이너 보안을 담당하는 CWPP, 클라우드 규정을 관리하는 CSPM, 클라우드 ID와 접근 등을 관리하는 CIEM 등의 솔루션이다. 하지만 이제는 이러한 솔루션들을 통합해 보다 간편하고 일관된 시점에서 클라우드와 애플리케이션 개발 시의 보안 위협을 효율적으로 관리하려는 움직임이 일어나고 있다. CNAPP에 대해 알아본다.

도입 확대되는 클라우드, 가시성 문제로 CNAPP 주목

클라우드 채택은 지난 10년 동안 꾸준히 증가해왔지만, 최근 2년 사이 한층 급격히 빨라지고 있다. 팔로알토네트웍스의 위협 조사 연구소 유닛42(Unit42)에 따르면, 코로나19 팬데믹 이후 클라우드 채택 속도는 25% 이상 빨라졌다. 하지만 대부분의 조직들이 포괄적인 보안환경 구축, 규정 준수 및 기술적 복잡성으로 인해 어려움을 겪은 것으로 나타났다. 팔로알토네트웍스는 호스트 가상머신(VM), 컨테이너, 쿠버네티스(Kubernetes), 서비스형 컨테이너(Container as a Service, CaaS) 및 서버리스 기능의 조합을 사용하는 상황에서 보안 조직이 소프트웨어 수명 주기 전체에 걸쳐 모든 클라우드에서 호스트, 컨테이너 및 서버리스 배포를 총체적으로 보호할 수 있어야 한다고 설명했다.

팔로알토네트웍스코리아 이희만 지사장은 “클라우드 보안에 대한 중요성이 높아졌음에도 불구하고, 역설적으로 클라우드 보안에 대한 개별적인 문제들을 해결하기 위해 포인트 솔루션을 과도하게 도입하게 되면서 이 과정에서 제한적인 가시성으로 인해 ‘사각지대’가 발생하는 것이다. 개발, 배포, 런타임 등 애플리케이션 수명주기 전체에 걸쳐 일관된 보안 체인을 마련해 보안 위험성을 추적하고 관리할 수 있는 경로가 필요했기 때문에 CNAPP이 주목받게 됐다”고 말했다.

통합 요구를 만족

CNAPP은 기업이 클라우드 네이티브 생태계의 이점을 전체적으로 누릴 수 있도록 하는 간소화된 보안 아키텍처라고 정의할 수 있다. 글로벌 시장조사기관 가트너(Gartner)는 클라우드 네이티브 애플리케이션의 보안 문제에 대해 “기업은 개발과 런타임을 별도의 도구 모음으로 보호하고 스캔하는 별개의 문제로 취급해서는 안 된다. 그보다는 개발 및 운영 전반에 걸쳐 보안과 컴플라이언스를 연속체로 인식하고, 가능한 경우 도구를 통합해야 한다”고 조언한다.

CNAPP는 이러한 통합의 요구를 만족하는 솔루션이다. 클라우드 네이티브 환경에 완전한 엔드투엔드(End-to-End) 보안을 제공하는 것을 목표로, 일부 문제만을 해결하는 포인트 솔루션이 아닌 통합적 플랫폼상에서의 접근 방식을 제공하는 것이 CNAPP라는 설명이다. 이에 따라 가트너는 CNAPP를 “개발 및 프로덕션 전반에 걸쳐 클라우드 네이티브 애플리케이션을 보호하고, 보안을 강화하도록 설계된 보안 및 컴플라이언스의 통합 세트”라고 정의하고 있다. 팔로알토네트웍스코리아 이희만 지사장도 CNAPP에 대해 “클라우드 네이티브 애플리케이션의 개발과 운영 전반을 안전하게 보호하도록 설계된 보안 및 컴플라이언스에 대한 기능 세트”라고 가트너와 거의 유사하게 설명했다.

가트너는 여기에 더해 △아티팩트 스캐닝(Artifact scanning) △클라우드 인프라스트럭처 권한 권리(Cloud Infrastructure Entitlements Management, CIEM) △클라우드 보안 형상 관리(Cloud Security Posture Management, CSPM) & 쿠버네티스 보안 형상 관리(Kubernetes Security Posture Management) △코드형 인프라 스캐닝(IaC scanning) △클라우드 워크로드 보호 플랫폼(Cloud Workload Protection Platform) 등의 기능이 통합된 플랫폼을 CNAPP라고 설명한다.

아쿠아시큐리티코리아 이은옥 지사장은 “CNAPP의 목표는 클라우드 네이티브 환경에 완벽한 종단간 보안을 제공하는 것이다. 특정 보안 문제만 해결하고 수동으로 결합해야 하는 서로 다른 포인트를 커버하는 솔루션을 사용하는 대신, 통합 플랫폼 접근 방식을 사용해야 한다”고 밝혔다.

< 가트너가 언급한 CNAPP의 구성 요소 >

◆ 아티팩트 스캐닝(Artifact scanning)
패키지, 컨테이너, 구성 파일, 이미지 등 소프트웨어 개발 프로세스에 의해 생성된 파일에 대해 SAST/ DAST, API 스캐닝, 소프트웨어 구성 분석, CVE, 기밀·민감정보, 멀웨어 탐지, 공격 경로 분석 등 노출 검사(Exposure Scanning)를 수행함.

◆ 클라우드 인프라스트럭처 권한 관리(CIEM)
과도한 클라우드 인프라 권한을 줄이고 최소 권한의 액세스 제어를 시행하도록 설계된 ID및 액세스 거버넌스 제어 기능을 제공함. 동적·분산 클라우드 환경에서 구현된 최소 권한 액세스 제어를 간소화함.

◆ CSPM & KSPM
CSPM은 클라우드 서비스 구성, 보안 설정, 규정 준수, 클라우드 거버넌스 등 클라우드 문제를 기록, 감지, 보고함. CSPM 도구는 모니터링, 분석, 인벤토리, 자산 분류, 비용 관리 및 리소스 구성 등의 기능을 제공함. KSPM은 쿠버네티스와 도커의 CIS 벤치마크, 최소 권한 RBAC, 침투 테스트 및 Pod 배포 정책을 통해 지속적인 보안 구성을 보장함.

◆ IaC 스캐닝
일반적인 클라우드 네이티브 템플릿 형식을 구문 분석한 후 보안 모범 사례를 기반으로 규칙을 적용함. 환경의 보안을 강화하기 위해 추가적인 강화가 필요할 수 있는 부분에 대한 이해를 사용자에게 제공함.

◆ CWPP
조직이 클라우드 전반에서 워크로드를 지속적으로 보호하고 관리해 복잡한 클라우드 환경을 보호할 수 있도록 지원함. CWP는 관리 및 보안정책 정의를 중앙집중화하고 환경 전반에 걸쳐 가시성을 유지하며 확장된 보안 제어를 제공함. CWPP 시스템의 일반적인 기능에는 시스템 무결성 모니터링, 취약성 관리, 시스템 강화 및 호스트 기반 세분화가 포함됨.

 CIEM·CSPM에 CWPP까지 모두 통합

트렌드마이크로는 CNAPP를 CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)와 CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리) 같은 기존의 솔루션과 함께 설명했다. 참고로 CWPP는 클라우드 환경에서 생성 및 운영되는 워크로드를 보호하기 위한 보안 플랫폼으로, 일반적으로 워크로드는 클라우드 인스턴스나 컨테이너에 해당되는 경우가 많다.

이러한 워크로드를 보호하기 위해 CWPP는 위협 탐지, 침입 방어, 악성코드 검사, 애플리케이션 제어, 취약점 진단 등 다양한 보안 기능들을 활용할 수 있는 플랫폼으로서의 역할을 한다. 또한 CSPM은 클라우드를 사용하는 데 있어 인프라, 런타임, 애플리케이션, 계정 관리 등 전체 범위에 대한 보안 규정을 준수해 위험 요소들을 체크하고 사용자가 클라우드를 안전하게 사용하기 위한 권고 사항 또는 조치할 수 있는 방안을 제시해주는 보안 서비스다.

한국트렌드마이크로 김석주 이사는 “CWPP, CSPM의 경우 전반적으로 보안 팀 또는 보안 담당자가 정책이나 모니터링에 대한 책임을 가지고 관리하는 반면, CNAPP는 클라우드 인프라, 클라우드를 활용한 애플리케이션 빌드, 그리고 CI/CD 파이프라인에 관계된 확장된 범위까지 보안 정책을 세우고 위협 이벤트에 대한 공유해 대응할 수 있도록 하는 보안 플랫폼”이라고 설명했다. 

김석주 이사는 또 “현재는 CWPP, CSPM, CNAPP 세 기술이 점차 통합되고 있는 추세를 보이고 있으며, 그 이유는 클라우드를 사용하는 사용자들의 경험, 그리고 이로부터의 피드백 등이 클라우드 서비스 사업자에게 계속해서 환경 및 서비스의 효율적인 변화를 가져가도록 하고 있기 때문이다. 이제는 클라우드 사용 범위가 점점 클라우드 워크로드에서 다양한 네이티브 애플리케이션 런타임 서비스로, 그리고 서버리스(Serverless)까지 늘어나 이에 대한 보안이 필요해지면서 전체적인 CI/CD의 모든 요소에 보안이 적용되고, 규정 준수에 대한 감사까지 통합 모니터링을 통해 가시성 확보와 관리를 추구하고 있다”고 덧붙였다.

CNAPP 선두 업체들 간 경쟁 이미 시작

가파르게 성장하고 있는 CNAPP 시장은 향후 더욱 주목받을 전망이다. 이미 업계 선두 업체들은 새로운 개념인 CNAPP 솔루션을 발 빠르게 선보이며 고객을 확보해나가고 있다.

팔로알토네트웍스는 자사의 CNAPP 플랫폼 ‘프리즈마 클라우드(Prisma Cloud)’의 경우, 2018년 AI기반 클라우드 보안 기업 레드록(RedLock)과 퍼블릭 클라우드 인프라 보안기업 에비던트.아이오(Evident.io) 인수를 시작으로 4년 만에 2,700곳 이상의 고객을 확보했다고 밝혔다. 그리고 여기에는 포춘(Fortune) 100대 기업 중 74%가 포함돼 있다는 설명이다.

특히 가트너에서는 ‘클라우드 기반 애플리케이션의 최적의 보안’을 위한 ‘통합 접근 방식’의 이점에 초점을 두고 CNAPP 범주를 정의했는데, 팔로알토네트웍스는 자사의 ‘프리즈마 클라우드’가 스태틱 애플리케이션 보안 테스팅, API 보안 테스팅, 다이내믹 애플리케이션 보안 테스팅, IaC 스캐닝, 위협 모델링 등 가트너가 제시한 5가지 범주를 가장 포괄적으로 만족시키는 공급업체라고 강조했다.

팔로알토네트웍스코리아 이희만 지사장은 “클라우드 네이티브 컴퓨팅 플랫폼의 부상에 따라 사이버 보안 프로세스에 근본적인 변화가 필요하며, 이것은 IT 팀의 모든 구성원에게 영향을 미치게 된다”면서 “대부분의 기업이 어느 정도 두려움을 갖고 새로운 플랫폼에 접근하고 있지만, 클라우드 네이티브 컴퓨팅의 부상으로 인해 기업이 최고의 데브섹옵스(DevSecOps) 프로세스를 수용할 수 있는 고유한 기회를 제공하게 된다는 것은 가장 큰 이점이라고 할 수 있다”고 말했다.

이희만 지사장은 이어 “이런 목표를 달성하려면 기업은 먼저 전체 IT 환경에 걸쳐 데이터를 선제적으로 수집한 다음, 그 데이터를 사용해 머신 러닝 알고리즘이 주입된 자동화 프레임워크에 정보를 제공함으로써 이상이 감지되고 검증될 때마다 규정에 따른 통제를 활성화해야 한다. 현재 목표는 최고의 데브섹옵스 프로세스를 활용해 여전히 중앙에서 관리할 수 있는 방식으로 이종 IT 환경에 걸쳐 사이버 보안을 보장하기 위한 제로 트러스트 프레임워크를 구현하는 것이다. CNAPP는 이러한 목표 달성의 효과적인 도구로서 발전해 나갈 것으로 전망된다”고 덧붙였다.

클라우드 보안 서비스 부문에서 글로벌 리더 기업 중 하나로 꼽히는 트렌드마이크로는 멀티 클라우드, 하이브리드 클라우드에서 CWPP, CSPM, CNAPP등 넓은 범위에서 필요로 하는 보안 플랫폼을 제공한다. 회사는 현재 ‘클라우드원(Cloud One)’이라는 보안 서비스로 클라우드 워크로드 보안, 네트워크 보안, 컨테이너 보안, 애플리케이션 보안, 오픈 소스 보안, 파일 스토리지 보안, 보안 규정 준수 검사를 고객의 클라우드 환경에 사용할 수 있도록 제공하고 있다.

한국트렌드마이크로 김석주 이사는 “앞으로 변화하는 환경에 필요한 보안 구성 방법을 지속적으로 업데이트할 계획이며 XDR이라는 통합 위협 가시성 및 대응 솔루션과 연계해 공격에 대한 사전 대비와 공격 체인 형태 등 풍부한 정보 확인이 가능하도록 지원할 예정”이라면서 “회사가 목표로 하는 비즈니스 서비스를 위한 최적의 클라우드 환경을 예측하고, 그 환경에 적합한 보안 서비스 형태를 구분해 우선순위를 가져 가는게 먼저 필요하다. 이후 클라우드 서비스 사업자와의 보안에 대한 책임 범위 확인, 서비스 종류 및 지역에 따른 보안 규정 준수 검증, 그리고 신뢰할 수 있는 보안 전문 벤더를 통한 가이드를 받고 사전에 위협 관리 방안을 세우기를 권고드린다”고 덧붙였다.

아쿠아시큐리티도 마이크로서비스 아키텍처(MSA) 채택이 줄 수 있는 비즈니스 경쟁력 측면에서의 이점과 관련해 CNAPP 솔루션이 지원 역할을 할 수 있다고 설명하면서 중요성을 강조하고 있다. 아쿠아시큐리티코리아 이은옥 지사장은 “현재 많은 국내외 기업들이 MSA를 비즈니스 지원모델로 채택해 운영하면서 MSA의 확대 및 전환을 시도하고 있다. 현대의 비즈니스 경쟁력은 타임투마켓(Time-To-Market)이 중요하며, 이는 서비스가 안전하고 유연하게 확장되고 개선돼 고객들의 요구사항의 맞는 서비스를 빠르게 제공하는 것에 의미가 있다”면서 “아쿠아시큐리티의 CNAPP솔루션은 서비스 전 생명주기에서 보안을 통합한 서비스를 지원해, 수시로 변경되고 업데이트되는 서비스들로 인한 보안 문제와 취약요소 개선을 위한 시간을 단축시킨다. 이를 통해 안전한 비즈니스 서비스가 빠르게 제공되도록 돕는다”고 설명했다.

아쿠아시큐리티는 클라우드 네이티브 환경에 대한 보안을 목적으로 설립된 회사로, 전 세계에서 가장 점유율이 높은 클라우드 네이티브 보안 오픈소스를 개발하고 제공하는 벤더다. 전 세계 1억 명 이상의 사용자를 보유하고 있으며 하버(Harbor), 깃랩(GitLab), 아티팩트허브(ArtifactHUB)의 기본 스캐너로 채택되는 등 마켓 리더로 평가받고 있다. 국내에도 지난해 지사를 설립, 한국 고객의 요구사항에 맞춘 서비스를 제공하기 위해 비즈니스와 인력을 확대해 나가고 있다.

아쿠아시큐리티는 특히 고객의 정보보호를 위한 법령과 가이드가 가장 상세하게 적용되는 국내 금융권에서 최근 클라우드의 사용과 개발 환경 측면에서 망분리 규제 개선 방안을 발표했다는 점에 주목하고 있다. 아쿠아시큐리티코리아 이은옥 지사장은 “업무의 디지털 전환 가속화는 특정 산업군에만 해당되는 내용이 아니며, 특히 개발/테스트분야는 중요 혁신 기술임에도 보안의 이유로 효율성이 저하되는 환경에서 수행되고 있었다”면서 “이러한 규제의 완화는 아쿠아시큐리티와 같은 CNAPP솔루션 업체가 제공하는 보안성이 기업의 중요 정보와 자산을 충분히 보호할 수 있다는 큰 메시지가 될 것이며, 보안에 대한 효울성으로 서비스 환경이 개선되는 기업들의 비즈니스 경쟁력도 크게 향상될 것으로 판단하고 있다”고 덧붙였다.