"클라우드 환경에서 보안 관리에 미흡하면 고객 데이터를 유출당하거나, 서비스 애플리케이션 취약점을 공격당해 서비스가 중단되거나, 보안 관리자 계정이 유출당해 핵심 서비스를 해커에게 장악당할 수 있다. 클라우드의 신속한 비즈니스 대응 이점, 운영 효율성과 무관하게 기업 전체에 타격을 입을 수 있다."
노영진 안랩 상무는 최근 온라인으로 진행된 '안랩 ISF 2020 버추얼' 컨퍼런스를 통해 이같이 말했다. 기존 서버 시스템을 그대로 이전하는 '리프트 앤드 시프트(lift and shift)' 방식이나 새로운 환경에 맞춰 워크로드를 재설계하는 '클라우드 네이티브' 전환 방식, 어느 쪽이든 보안을 고려하지 않고는 클라우드의 이점을 누릴 수 없다는 메시지다.
노 상무는 "클라우드에서 서비스가 효율적으로 운영되려면 개별적으로 설계되고 독립적으로 실행될 수 있는 마이크로서비스로 구성돼야 한다"며 "잘 설계된 마이크로서비스는 비즈니스 로직에 따라 독립적인 컨테이너로 배포되고 지속적 통합·배포(CI/CD) 방식으로 고품질 서비스를 제공하게 된다"고 말했다.
그는 "기존 IT인프라를 운영하는 조직에서 항상 (마이크로서비스 기반의) 클라우드네이티브로 재설계하고 전환하는 것이 항상 좋은 방법은 아니며 운영 중인 소프트웨어를 클라우드 데이터센터에 그대로 옮기는 게 효과적일 때도 있다"면서 "어느 쪽이든 비즈니스를 잘 지원할 방법을 선택하되 보안을 빠뜨리지 말아야 한다"고 지적했다.
이어서 "가트너의 정의에 따르면 클라우드 보안 환경에서 인프라의 운영 단위는 '클라우드 워크로드'로 취급되고 각 워크로드 특성에 따라 세부적인 보안 가이드라인이 제시되고 있다"면서 "클라우드네이티브 환경에 적용돼야 하는 보안은 전통적인 보안과 조금 다르다"고 설명했다.
노 상무는 "다양한 요구사항에 적절히 대응하기 위해 서비스를 자동화 처리하는 'CI/CD 파이프라인'이라는 순환구조가 있다"며 "개발자가 개발 완료한 소스코드를 커밋하면, 이를 자동으로 빌드하고 테스트한 뒤, 문제가 없을 경우 운영용 바이너리 이미지를 만들어 관리하고, 실행 단계에서 소규모 가동한 후 전체 프로세스에 자동 적용하는 방식"이라고 말했다.
이에 더해 "각 단계별로 자동화된 보안 적용이 이뤄져야 전체적으로 안전한 보안 프레임워크를 구성할 수 있다"며 "컨테이너간 통신에도 침입탐지, 차단 기능을 수행하고 방화벽으로 불필요한 포트 오픈 상태를 모니터링하는 등 보안 정책을 수립해야 한다"고 조언했다.
그는 또 "CD/CD 각 단계별 보안을 적용하려면 데브섹옵스(DevSecOps)라 불리는 보안 패러다임으로의 전환이 이뤄져야 하는데, 이는 단순히 업무지원 시스템뿐만이 아니라 이를 지원하는 회사의 문화도 함께 변화해야 성공할 수 있다"고 말했다. 클라우드네이티브 보안에 신기술 적용보단 새로운 개발프로세스를 고려하는 게 더 중요하단 지적이다.
안랩에선 클라우드 네이티브 보안 제품 '안랩 CPP'를 출시했다. 안랩의 다양한 기술을 적용해 클라우드 환경에서 서버와 워크로드를 동시에 보호한다. 가트너 정의와 방법론에 회사의 보안 노하우를 접목한 '클라우드 워크로드 프로텍션 플랫폼(CWPP)' 솔루션이다. 안랩은 CWPP 솔루션을 기반으로 변화가 빠른 클라우드 환경을 보호하는 제품을 제공할 예정이다.
노 상무의 컨퍼런스 강연 주제는 '변화하는 클라우드에 적합한 구축 전략과 합리적인 보안 방안'이었다. 이밖에 지난 21일부터 22일까지 2일간 진행된 안랩 ISF 2020에선 위협 탐지·대응 관점에서의 보안 우선순위 파악 가이드, 공격동향 변화와 효과적인 대응방안, 클라우드 기반 웹 위협 대응방안과 데이터 보안 강화 방안, 주요 보안제품 활용 사례가 소개됐다.
23일 안랩은 코로나19 확산 방지를 위해 온라인 방식으로 개최한 이번 컨퍼런스에 2일간 누적 시청자 1400여명이 참가했고, 각 강연 발표자가 직접 실시간으로 질의에 응답하는 '라이브토크' 세션이 호응을 얻었다고 밝혔다. 안랩은 회사 공식 유튜브 채널과 별도 웹페이지에서 컨퍼런스 다시보기를 제공할 예정이다.
강석균 안랩 대표는 행사 인사말을 통해 "코로나19 상황에서도 안랩 ISF를 국내 최대 보안지식 공유 플랫폼으로 발전시키기 위해 버추얼 컨퍼런스를 시도하게 됐다"며 "앞으로도 보안과 관련한 새로운 기술과 변화를 주제로 고객과의 소통을 지속하기 위해 노력할 것"이라고 말했다.
노영진 안랩 상무는 최근 온라인으로 진행된 '안랩 ISF 2020 버추얼' 컨퍼런스를 통해 이같이 말했다. 기존 서버 시스템을 그대로 이전하는 '리프트 앤드 시프트(lift and shift)' 방식이나 새로운 환경에 맞춰 워크로드를 재설계하는 '클라우드 네이티브' 전환 방식, 어느 쪽이든 보안을 고려하지 않고는 클라우드의 이점을 누릴 수 없다는 메시지다.
노영진 안랩 상무. [사진=안랩 ISF 2020 중계영상]
노 상무는 "클라우드에서 서비스가 효율적으로 운영되려면 개별적으로 설계되고 독립적으로 실행될 수 있는 마이크로서비스로 구성돼야 한다"며 "잘 설계된 마이크로서비스는 비즈니스 로직에 따라 독립적인 컨테이너로 배포되고 지속적 통합·배포(CI/CD) 방식으로 고품질 서비스를 제공하게 된다"고 말했다.
그는 "기존 IT인프라를 운영하는 조직에서 항상 (마이크로서비스 기반의) 클라우드네이티브로 재설계하고 전환하는 것이 항상 좋은 방법은 아니며 운영 중인 소프트웨어를 클라우드 데이터센터에 그대로 옮기는 게 효과적일 때도 있다"면서 "어느 쪽이든 비즈니스를 잘 지원할 방법을 선택하되 보안을 빠뜨리지 말아야 한다"고 지적했다.
이어서 "가트너의 정의에 따르면 클라우드 보안 환경에서 인프라의 운영 단위는 '클라우드 워크로드'로 취급되고 각 워크로드 특성에 따라 세부적인 보안 가이드라인이 제시되고 있다"면서 "클라우드네이티브 환경에 적용돼야 하는 보안은 전통적인 보안과 조금 다르다"고 설명했다.
노 상무는 "다양한 요구사항에 적절히 대응하기 위해 서비스를 자동화 처리하는 'CI/CD 파이프라인'이라는 순환구조가 있다"며 "개발자가 개발 완료한 소스코드를 커밋하면, 이를 자동으로 빌드하고 테스트한 뒤, 문제가 없을 경우 운영용 바이너리 이미지를 만들어 관리하고, 실행 단계에서 소규모 가동한 후 전체 프로세스에 자동 적용하는 방식"이라고 말했다.
이에 더해 "각 단계별로 자동화된 보안 적용이 이뤄져야 전체적으로 안전한 보안 프레임워크를 구성할 수 있다"며 "컨테이너간 통신에도 침입탐지, 차단 기능을 수행하고 방화벽으로 불필요한 포트 오픈 상태를 모니터링하는 등 보안 정책을 수립해야 한다"고 조언했다.
그는 또 "CD/CD 각 단계별 보안을 적용하려면 데브섹옵스(DevSecOps)라 불리는 보안 패러다임으로의 전환이 이뤄져야 하는데, 이는 단순히 업무지원 시스템뿐만이 아니라 이를 지원하는 회사의 문화도 함께 변화해야 성공할 수 있다"고 말했다. 클라우드네이티브 보안에 신기술 적용보단 새로운 개발프로세스를 고려하는 게 더 중요하단 지적이다.
강석균 안랩 대표가 21일 ISF2020 컨퍼런스 첫날 인사말을 하고 있다. [사진=안랩 제공]
안랩에선 클라우드 네이티브 보안 제품 '안랩 CPP'를 출시했다. 안랩의 다양한 기술을 적용해 클라우드 환경에서 서버와 워크로드를 동시에 보호한다. 가트너 정의와 방법론에 회사의 보안 노하우를 접목한 '클라우드 워크로드 프로텍션 플랫폼(CWPP)' 솔루션이다. 안랩은 CWPP 솔루션을 기반으로 변화가 빠른 클라우드 환경을 보호하는 제품을 제공할 예정이다.
노 상무의 컨퍼런스 강연 주제는 '변화하는 클라우드에 적합한 구축 전략과 합리적인 보안 방안'이었다. 이밖에 지난 21일부터 22일까지 2일간 진행된 안랩 ISF 2020에선 위협 탐지·대응 관점에서의 보안 우선순위 파악 가이드, 공격동향 변화와 효과적인 대응방안, 클라우드 기반 웹 위협 대응방안과 데이터 보안 강화 방안, 주요 보안제품 활용 사례가 소개됐다.
23일 안랩은 코로나19 확산 방지를 위해 온라인 방식으로 개최한 이번 컨퍼런스에 2일간 누적 시청자 1400여명이 참가했고, 각 강연 발표자가 직접 실시간으로 질의에 응답하는 '라이브토크' 세션이 호응을 얻었다고 밝혔다. 안랩은 회사 공식 유튜브 채널과 별도 웹페이지에서 컨퍼런스 다시보기를 제공할 예정이다.
강석균 안랩 대표는 행사 인사말을 통해 "코로나19 상황에서도 안랩 ISF를 국내 최대 보안지식 공유 플랫폼으로 발전시키기 위해 버추얼 컨퍼런스를 시도하게 됐다"며 "앞으로도 보안과 관련한 새로운 기술과 변화를 주제로 고객과의 소통을 지속하기 위해 노력할 것"이라고 말했다.
