"클라우드 보안의 기본값은 불신, ID 기반 제어 체계 필수"
“과거의 보안은 나의 네트워크를 철저히 보호하면 됐지만, 클라우드 영역의 경우 네트워크를 신뢰할 수 없다. 제로트러스트는 모든 행위에 명시적 승인과 인증이 있어야 하고, 기본값을 부인으로 둬서 앱의 데이터베이스 접근을 제어하며, 정적인 IP 기반 제어 대신 아이덴티티 기반 제어 체계를 갖춰야 한다.” 인프라 자동화 소프트웨어 선도기업인 하시코프는 12일 서울 인터컨티넨탈호텔 서울 파르나스에서 기자 간담회를 개최하고 클라우드 도입으로 발생하는 보안 문제점의 해결방안을 제시했다. 아몬 데드가 하시코프 공동창업자 겸 최고기술책임자(CTO)는 간단회에서 하시코프의 제품과 기술을 소개하고, 클라우드 도입으로 인해 발생하는 새로운 보안, 네트워킹, 인프라 프로비저닝 및 애플리케이션 딜리버리 문제를 어떻게 해결할지 설명했다. 아몬 데드가 CTO에 따르면, 클라우드 전환은 “전통적 데이터센터를 클라우드로 전환하면 인프라, 보안, 네트워킹, 애플리케이션 등 각각의 계층별로 사용하는 접근법과 철학이 달라져야 한다는 문제가 생긴다”며 “인프라는 정적인 서버에서 동적인 인프라로 이전하며 코드형 인프라로 전환하게 되고, 보안과 네트워킹은 정적인 IP 기반에서 아이덴티티로 전환되는 근본적 변화를 보이며, 앱 계층도 컨테이너나 서버리스 등 멀티 환경으로 바뀐다”고 설명했다. 그는 “이런 변화 문제를 해결하기 위해 각 클라우드 프로바이더는 계층마다 각자의 도구를 제공하는데, 그렇게 되면서 활용해야 하는 기술과 툴의 다양성과 복잡성이 더해진다”며 “표준화된 도구를 각 계층에 적용하며 다른 환경에서도 일관되게 툴을 사용하게 하는 게 필요하다”고 밝혔다. 민첩성, 안정성, 보안을 극대화하고 우수한 비즈니스 성과를 제공하기 위해 인프라 및 애플리케이션에 대한 새로운 접근 방식을 요구하고 있으며, 하시코프는 이를 클라우드 운영 모델, 즉 클라우드 서비스 도입을 위한 프레임워크로 정의하고 있다. 멀티클라우드 환경으로 계속 이동하고 운영함에 따라, 클라우드 성공을 지원하는 데 중요한 역할을 하는 '플랫폼 팀'의 출현을 목격하고 있다. 아몬 데드가 CTO는 “클라우드 운영 모델은 본질적으로 아무것도 신뢰하지 않고 모든 것을 검증하는 기업 보안 방향성, 즉 제로 트러스트 보안(ZTS)으로 전환해야 할 필요성을 인식하고 있다”며, “이런 보안 접근 방식과 하시코프가 지원하는 제로 트러스트 보안솔루션은 전 세계 조직에서 채택하고 있다”고 설명했다. 하시코프는 클라우드 운영 모델 채택의 성숙도를 세 단계로 설정한다. 1단계는 각 개발팀과 사업부서가 임의로 클라우드를 사용하는 단계다. 2단계로 진화하면 공통의 접근법을 가진 플랫폼팀이 설정돼 조직 전반의 운영 모델을 표준화하게 된다. 3단계에 이르면 중앙화된 플랫폼팀의 접근법을 클라우드뿐 아니라 프라이빗 데이터센터에도 적용하는 것이다. 아몬 데드가 CTO는 “한국의 많은 조직이 아직 1단계에서 2단계 초기에 있다”며 “플랫폼팀의 존재는 개발팀의 개발 속도를 더 높이고, 인프라 상의 보안을 철저하게 만들며, 보안 패턴을 구축해 활동 패턴에 대한 비용을 절감하게 해준다”고 말했다. 가트너는는 플랫폼 엔지니어링을 2023년의 주요 전략 트렌드 중 하나로 선정했다. 플랫폼 팀은 조직 전체에 걸쳐 표준 운영을 지원하고 조직 전체의 보안에 대한 일관된 접근 방식을 추진할 뿐만 아니라 더 나은 정책을 통해 클라우드 비용을 제어하는 데 도움을 준다. 가트너에 따르면 2026년까지 소프트웨어 엔지니어링 조직의 80%가 애플리케이션 제공을 위한 재사용 가능한 서비스, 구성 요소 및 도구의 내부 제공 주체로 플랫폼 팀을 설립할 예정이다. 하시코프가 자체적으로 실시한 클라우드 전략 현황 설문조사에 따르면, 아태지역 조직의 87%가 이미 플랫폼 팀 기능을 사용하고 있다. 아몬 데드가는 “지난 며칠 간 한국 고객과 만나며 주요 화두가 제로트러스트 보안이었다”며 “성을 쌓고 정문을 막아 전통적인 네트워킹과 보안의 방법은 기본적으로 내부 네트워크를 완전히 신뢰하고 외부 네트워크를 차단하는 이분법이지만, 클라우드 영역이 되면서 이제 이게 어려워지고 있다”고 설명했다. 그는 “클라우드 환경은 철저하게 닫혀있기보다 각각의 점이 서로 연결되며 슈퍼네트워크를 형성한다”며 “전통적인 보안의 개념을 클라우드에도 적용하려 하는데 클라우드의 운영방식은 다르기에 80~90% 수준의 보안을 전제로 언제든 공격자가 나의 네트워크 안에 이미 있을 수 있다는 것을 상정해야 한다”고 강조했다. 하시코프는 제로트러스트 보안을 위한 네가지 축의 아이덴티티를 설정한다. 머신 아이덴티티와 휴먼 아이덴티티를 양 축으로 머신투머신, 휴먼투머신 등의 아이덴티티 제어를 구축한다. 하시코프 볼트는 머신 아이덴티티를, 하시코프 컨설은 머신투머신 아이덴티티를, 하시코프 바운더리는 머신투휴먼 아이덴티티를 지원하는 제품이다. 볼트는 앱의 데이터 접근 방식에 ID 기반 접근법을 제공하고, 컨설은 애플리케이션과 서비스 간 네트워크 트래픽을 보호한다. 바운더리는 적절한 사용자가 필요한 시간 동안만 적절한 시스템과 서비스에 접근할 수 있도록 보장한다. 하시코프는 기업 비즈니스에 새로운 클라우드 기술을 성공적으로 도입하기 위해 다섯가지 필수 요소를 꼽았다. 워크플로우 표준화, 인프라 통합 관리, 개발 단계부터 보안 강화, 자동화, 그리고 비용 최적화이다. 이를 위해 하시코프는 테라폼, 볼트, 컨설, 노마드 등을 통해 종속 없는 클라우드 운영 모델을 지원한다. 하시코프는 2018년 한국에 진출하여 한국 기업들의 클라우드 전환을을 지원하고 있다. 한국 고객사로는 삼성과 LG유플러스 등이 있으며, 전 세계 4,000개 이상의 기업 고객을 보유하고 있다. 한편 하시코프는 간담회 전날 11일 서울 양재엘타워에서 연례행사인 '하시코프 스트레티지 데이 2023'을 진행했다. 약 500명이 참석한 하시코프 스트레티지 데이 2023은 하시코프의 비전과 솔루션을 통해 멀티/하이브리드 클라우드 운영과 제로트러스트 보안을 달성하는 방안에 대해 소개하는 자리로 하시코프와 함께 클라우드 혁신을 이뤄내고 있는 국내 고객사와 파트너가 직접 유스케이스를 공유하고 한국 IT 환경에 맞는 이야기를 전달했다.