자동화한 클라우드 네이티브 위험 관리 플랫폼으로 보안 누수 최소화
아쿠아 시큐리티가 지난 3일 클라우드 기반의 정보기술(IT)시스템 개발 초기단계부터 애플리케이션 운용의 라이프사이클에 이르기까지 전 단계에 걸친 완벽한 보안을 단일 플랫폼으로 제공한다고 밝혔다.
클라우드 산업은 폭발적인 증가를 예고하고 있다. 클라우드 도입 기업 역시 지속해서 늘어나는 추세다. 카트너는 2025년까지 기업들이 전체 예산의 50%를 IT·클라우드에 사용할 것이라고 예측했다. 이에 따라, 클라우드 보안 시장도 자연스럽게 상승곡선을 그릴 것으로 보인다.
아쿠아 시큐리티의 공동 창업자이자 CTO인 아미르 저비(Amir Jerbi)는 이날 기자간담회에 참석해 클라우드 개발환경 전체를 단일 플랫폼으로 보호해주는 CNAPP(Cloud Native Application Protection Platform)의 세부적인 CNAPP 활용 방안을 발표했다.
아미르 저비 아쿠아 시큐리티 CTO는 "클라우드 보안 실패의 99%는 기업의 잘못된 보안 위험관리로 발생한다. 구체적으로는 보안 구성의 오류, 오픈소스의 사용, 인터넷에 노출된 어플리케이션이다"고 지적한 뒤 "기업 및 기관의 개발자들은 소스코드 작성에서부터 개발도구, 빌드, 워크로드 런타임까지 전체 애플리케이션 생명주기에서 위험을 식별해야 한다"고 조언했다.
이어 그는 "하지만 대부분의 보안조직은 이러한 방대한 보안 업무 범위를 수행하기에는 적은 인력을 보유하고 있기에 자동화한 클라우드 네이티브 위험 관리 플랫폼이 필요하다. 대부분의 기업이 직면한 어려움 중 하나는 보안 전문가의 부족이다. 한 예로, 개발자와 보안 전문가의 비율이 100 대 1 정도다"며 “이를 아쿠아 시큐리티의 CNAPP이 해결한다”고 대안을 제시했다.
아미르 저비 CTO는 "기업은 CNAPP을 통해 워크로드와 인프라 코드를 지속적으로 스캔하고, 상세한 위험 평가와 보안 인사이트를 확보하며, 개발 생명 주기의 보안은 왼쪽으로 이동하고(시프트- 레프트), 알려지지 않은 공격을 탐지하고 중단하는 시프트-라이트 보안을 해야 한다"는 상세 로드맵을 제시했다.
아쿠아 CNAPP 플랫폼은 클라우드 네이티브 애플리케이션을 보호하고, 클라우드 네이티브 공격을 차단하도록 설계된 아쿠아 시큐리티의 포괄적인 보안 툴이다. 특히 이 솔루션은 한국 정부가 규정하는 컴플라이언스 요건을 충족한다.
우리나라 정부는 정보통신망법과 개인정보보호법에 의거해 정보보호를 위한 일련의 조치와 활동을 인증하는 ISMS-P(정보보호관리체계)를 운영하고 있다. ISMS-P는 과학기술정보통신부 산하 한국인터넷진흥원(KISA)이 인증을 주관하고 있다.
아쿠아 CNAPP 플랫폼은 금융보안원의 가이드도 지원해 금융권만의 고유한 컴플라이언스도 점검한다. 금융보안원은 민법 제32조에 의거해 금융권의 보안 전담기구 역할을 하기 위해 만들어진 비영리사단법인으로, 금융위원회 주도로 금융권 사이버 위협정보를 원활하게 공유하고 금융보안을 전담하기 위해 기존 금융결제원의 은행ISAC, 코스콤의 증권ISAC, 금융보안연구원을 통합해 만든 기관이다.
아미르 저비 CTO는 "아쿠아의 CNAPP 플랫폼은 소프트웨어 공급망 보안에서부터 이미지 스캐닝, xSPM(CSPM, KSPM 등), 워크로드 보호에 이르기까지 애플리케이션 라이프사이클에 걸친 보안 도구 구현을 단일 플랫폼으로 구현해준다"고 말했다.
이어 그는 "자사의 CNAPP 플랫폼은 단일한 플랫폼으로 여러 기능을 제공한다. 개발자에게는 공급망 보안이나 SBOM을 지원하고, 보안팀에는 워크로드 프로텍션 등을 지원한다. 고객은 CSPM+을 먼저 도입해서 가시성을 확보하고 개발팀에 시프트 레프트 기능을 추가한 뒤 런타임 보호를 위해 시프트 라이트를 추가한다. 한 번에 모든 기능을 도입할 필요는 없다"고 조언했다.
또한, "실제로, 전체 직원 25만 명에, 개발자만 4만 명에 이르는 미국의 한 금융기관도 아쿠아 CNAPP 플랫폼을 도입해 미국의 '행정명령14028'를 준수하며 성공적으로 클라우드 시스템의 보안요건을 갖추게 됐다"는 도입 사례를 소개했다.
한편, 이날 기자간담회에서는 아쿠아 시큐리티의 이은옥 지사장이 지난 2021년 9월 한국법인 설립 이후 아쿠아시큐리티 한국지사의 성과를 공유했다. 아쿠아 시큐리티 한국지사는 2021년 9월 이후 지금까지 금융 및 엔터프라이즈 부문의 기업고객을 다수 확보해 최근 본사로부터 아시아태평양지역 신규 최고매출상을 수상할 정도로 사업에 탄력을 받고 있다.
이은옥 지사장은 “지난해까지 매출 성장률 1200%를 달성할 정도로 아쿠아 시큐리티에 대한 국내 주요 기업 및 금융기관들의 관심이 높다”며 “지금 같은 추세를 반영하면 올해도 무난히 매출 성장률을 견인할 수 있을 것으로 예상된다”고 밝혔다.
이 지사장은 "우리는 우선 로컬 컴플라이언스에 초점을 맞추고 있다. 현재 우리 솔루션에 통합된 상황이다. CSAP도 준비 중이다. 국내 고객사가 필요로 하는 컴플라이언스 준수에 도움을 주도록 접근하고 있다. 국내 금융사도 SaaS로 가고 있다. 어떻게 가능하냐면, 우리가 SaaS 테넌트가 독립적으로 가능하다"고 말했다.
이어 그는 "CSPM+가 현재 CSPM에서 미설정된 부분을 잡아준다면, 우리는 상관관계를 분석한다. 설정으로 인한 취약점 발생, 어떤 위협이 발생할 수 있는지 고객사 보안을 지원할 수 있기에 그렇다. CNAPP은 앞으로 보안 트렌드를 주도할 것으로 보인다"고 덧붙였다.
향후 계획에 대해 이은옥 지사장은 "아쿠아 시큐리티는 현재 클라우드 이전을 고려하는 다수의 기업과 논의 중이다. 국내 CSP 기업과도 파트너십을 고려 중이며, MSP 기업의 경우 경쟁보다 협업할 대상으로서 접근하고 있다. 또한, CNAPP에 새로운 기능이 요구된다면, 우리가 직접 개발하거나 솔루션을 보유한 기업과 손을 잡을 계획도 있다"고 말했다.
헬로티 서재창 기자 |