공공 클라우드 네이티브 사업에서 보안 취약성이 잇따라 드러났다. 이는 사업 발주(RFP 작성)을 기관(발주처)에만 전적으로 맡긴 것이 가장 큰 요인으로 분석된다.
기관별 발주 및 IT 담당자가 클라우드 성숙도 최고 단계인 클라우드 네이티브의 보안 이해도가 낮다보니 발주 단계부터 포함돼야 할 보안 규정을 불비했고, 허점으로 이어졌다는 것이다.
문제는 이같은 발주처 인식 탓에 초기 단계인 국내 클라우드 네이티브 보안 시장이 좀처럼 활성화되지 못하고 있다는 점이다.
정부는 오는 2030년까지 대다수 시스템을 클라우드 네이티브로 전환할 계획이다. 클라우드 네이티브 수요 확대가 명백한 만큼 보안 가이드라인을 공공에 전파, '발주 확대→국내 클라우드 서비스 제공사(CSP)와 보안 업체 협력 강화→클라우드 네이티브 보안 생태계 확대'를 이끌어야 한다는 목소리가 나온다.
◇클라우드 네이티브 보안은
클라우드 네이티브는 클라우드 성숙도 최고 단계다. 클라우드 기능과 장점을 최대한 활용해서 애플리케이션(앱)을 구축·실행하는 것을 의미한다.
클라우드는 온프레미스(구축형) 환경보다 보안 위협에 더욱 노출돼 있어 높은 보안이 요구된다. 이보다 강화된 보안을 요구하는 것이 '클라우드 네이티브 보안'이다.
![클라우드 보안 주요 준수 원칙 - [자료= 업계 취합]](https://img.etnews.com/news/article/2024/01/19/news-t.v1.20240119.c2dcfd8b41da431499fa8b40bc8a98ba_P1.png)
이를 위해 통용되는 기본 보안 원칙은 크게 세 가지다. △클라우드 서비스 제공업체(CSP)와 클라우드 사용자(발주처) 간 책임 영역 구분과 공유 △CSP 보안과 클라우드 사용자 보안 통합·운영 △클라우드 내 서비스 접근 권한 최소 유지다.
클라우드 네이티브를 구성하는 핵심 요소는 개발운영(DevOps), 지속 통합/지속 배포(CI/CD), 마이크로서비스 아키텍처(MSA), 컨테이너 등이다. 이를 바탕으로 클라우드 네이티브 보안 특징은 크게 △자산관리 △계정 관리 △컨테이너 보안 세 가지로 요약된다.
먼저 클라우드에서는 자산이 늘 변경되기 때문에 오토스케일링을 통해 자산 생성·삭제 등을 실시간 관리해야 한다. 또 클라우드에서는 해커와 관리자가 같은 조건에서 권한 행사를 할 수 있어서 계정권한 관리와 보안 설정이 중요하다. 아울러 DevOps 환경과 MSA 구조에서는 매일 많은 업데이트가 CI/CD로 이뤄지는 만큼 단계별 보안이 필수다.
한 보안 업체 대표는 “CSP가 고객사로 관리하는 클라우드에는 수많은 기관과 기업이 있다”면서 “CSP는 경계 보안만 담당하고, CSP가 알 수 없는 고객별 △서비스 △계정관리 정책 △DevOps 운영 방식에 따른 CI/CD 등에 해당되는 보안은 고객이 직접 환경에 맞게 구축해야 할 영역”이라고 설명했다.
◇문제는
문제는 클라우드 네이티브 기본 보안 원칙과 특징을 이해하지 못한 공공기관이 클라우드 네이티브 사업 발주서에 이같은 내용을 포함하지 않거나 요건을 제대로 제시하지 않으면서 보안에 구멍이 생기는 것이다.
일부에서는 정부가 이미 진행됐거나 진행 중인 클라우드 네이티브 사업을 대상으로 전수 조사에 나서야 한다는 목소리도 나온다.
![클라우드 네이티브 보안 특징 - [자료= 업계 취합]](https://img.etnews.com/news/article/2024/01/19/news-t.v1.20240119.ef6e20c008f64291884032085d9c29ea_P1.png)
다른 보안 업체 대표는 “기존에 발주된 다양한 클라우드 네이티브 사업 발주 제안요청서를 봐도 발주처가 클라우드 네이티브 전체 환경에서 자산 변동 식별이나 취약점 진단 같은 보안 관점을 누락한 것이 발견된다”면서 “컨테이너 보안과 CI/CD 보안 누락 등도 마찬가지”라고 설명했다.
특히 정부는 오는 2026년 이후 현행 시스템의 50% 이상, 신규 시스템의 70% 이상에 클라우드 네이티브를 적용한다는 목표를 세웠다. 기존 공공·행정시스템의 클라우드 네이티브 전환뿐만 아니라 이를 기반으로 하는 각 사업에서 보안 중요성은 커질 수밖에 없다.
전문가들은 상황을 이대로 방치해서는 향후 클라우드 네이티브를 기반으로 한 국가 시스템에 심각한 문제가 발생할 수 있다고 우려한다.
A 보안 업체 대표는 “기존 온프레미스 중심 공공 시스템 장애는 장비 고장이나 관리 미흡 등이 원인이었다면, 클라우드 네이티브 환경에서는 △관리자 계정권한 오남용 △잘못 구성된 컨테이너 등 취약한 보안이 원인이 될 것”이라면서 “클라우드 네이티브 전환 초기에 문제를 바로 잡아야한다”고 말했다.
◇해결책은
업계는 예산을 쥔 정부가 공공부문에 적용하는 클라우드 네이티브 보안을 명확히 해 발주로 이어지도록 하는 것이 문제 해결을 위한 출발점이라고 입을 모은다. 정부가 마중물 역할을 해야 국내 CSP와 국내 보안 업체 간에 협력이 강화되고, 기술 경쟁 등을 통해 외산 의존도 약화→국내 보안 생태계 확대→국가 시스템 보안 같은 선순환 체계가 구축될 수 있다는 것이다.
B 보안 업체 대표는 “공공에서 클라우드 네이티브 컴플라이언스(내부 통제·법규 준수)가 제대로 구성돼 있지 않다보니 국내에서 클라우드 네이티브 보안 업체가 거의 없다시피한 실정”이라면서 “시장이 있어야 보안 업체가 경쟁적으로 관련 기술을 개발하고 신상품을 출시할텐데, 몇 개사를 제외하고는 전무하다”고 말했다.
이어 “이 때문에 국내 CSP도 보안 관련 기술 개발에 미온적이고, 더딘 상황”이라면서 “결국 정부가 초기 시장을 만들어주는 것이 관건”이라고 덧붙였다.
전문가들은 정부가 공공에 전파할 모범 가이드라인으로는 최근 한국지능정보사회진흥원(NIA)이 발주한 '서울소방재난본부 클라우드 네이티브 기반 시스템 전환 사업' 발주 제안요청서를 참고할 필요가 있다고 조언했다. 클라우드 네이티브 보안과 관련해서 기본적인 내용을 잘 담았다는 것이다.
실제 제안요청서에는 클라우드 네이티브 핵심 요소와 관련한 인증 및 권한 같은 구체적인 보안 세부 내용과 보안 대책(지침) 등이 모두 담겼다.
A 보안 업체 대표는 “클라우드 네이티브를 위해 아키텍처 단계부터 보안을 함께 설계해야 할 것”이라면서 “발주처와 CSP, 보안 전문 업체가 처음부터 긴밀한 협력하는 것이 필요하고, 정부는 클라우드 네이티브 보안 중요성에 맞춰 적절한 예산을 반영해주기를 촉구한다”고 말했다.
B 보안 업체 대표는 “정부가 글로벌 수준의 클라우드 네이티브를 추진, 구축해야 클라우드 업계 전반 기술력이 향상되고 산업이 발전할 수 있다”면서 “업계 스스로도 글로벌 경쟁력을 갖춘 보안 모델을 만들기 위해 노력해 나가겠다”고 말했다.
류태웅 기자 bigheroryu@etnews.com, 조재학 기자 2jh@etnews.com
