클라우드 시대 초기부터 최근까지도 보안을 얘기할 때 꾸준히 받는 질문이 있다. “클라우드 보안 제품 있어요?”
사실 대답하는 입장에선 그다지 좋은 질문은 아니므로, 다시 묻는다. “클라우드에 있는 데이터를 보호하기 위한 보안인가요. 아니면, 클라우드를 기반으로 한 이른바 서비스형소프트웨어(SaaS) 형태의 보안 제품을 말씀하시나요?”
이후 질문을 이해하면 거기에 맞는 건설적인 대화가 가능하지만, 아직도 많은 경우 두 가지 구분의 질문을 이해하지 못하고 얼버무리는 경우가 있다.
보안액세스서비스에지(SASE)·보안서비스에지(SSE)를 공급하면서 요즘 자주 접하는 대화의 시작이 있다. “우린 클라우드 안 써요. 안 쓰니 보안 걱정 없어요.” “우린 네트워크 단계의 보안 솔루션으로 어느 정도 보안하고 있어요. 어차피 클라우드 인터넷이니까 관문에서 잘 관리하면 될 거 같아요.”
정보 보안을 오래 했거나, 잘 알더라도 언뜻 대화의 문제가 무엇인지 눈치채지 못하는 분들도 있으리라 생각한다. 특히, “클라우드를 안 쓰니 클라우드 보안 얘기는 이어갈 필요가 없다”라는 대목은, 보안 제품을 판매하는 입장을 떠나 정보 보안을 평생 업으로 지내온 입장에서 분명 문제가 있다고 느껴진다.
먼저 클라우드에 있는 내 데이터를 위한 보안에 대해 말하고 싶다. 기본적인 의미에서 내가 클라우드 SaaS 기반 고객관계관리(CRM), 생산성 도구, 협업 도구, 개발 플랫폼 등을 사용하는 경우, SaaS 애플리케이션에 저장되고 그 위에서 오고 가는 데이터에 대한 보안을 얘기한다. “우린 클라우드를 안 써서 보안이 필요 없다”라는 생각은 여기에 해당된다. 만약, 이러한 SaaS 앱을 사용한다면, 각 앱에 특화된 보안요소는 물론 같은 앱이라도 회사계정과 개인개정을 구분해 제어하는 것은 반드시 필요하다.
설령 사용하지 않더라도, 기업 내 사용자들이 블로그 활동을 하고, 생성형 인공지능(AI)에 질문을 던지고, PDF·PPT 등 파일을 변환하기 위해 인터넷에 자료를 올리고, 사회관계망서비스(SNS)를 사용하고, 개인용 저장소를 사용하는 등 활동은, 기업에서 클라우드로 전환하는 것, 클라우드 SaaS를 사용하는 것과 별개로 가시성과 제어가 필요한 부분이다. 이렇게 얘기하는 분들도 많다. “우린 그래서 다 못쓰게 막아요.” 모든 포트나 서비스 기본적으로 다 막고 필요한 프로토콜, 서비스만 열어 제어하던 과거 방화벽이나 침입방지시스템(IPS) 기반 보안은 이것이 가능했다.
하지만 요즘의 인터넷 서비스는 특정 프로토콜 기반에서 얼마든지 다양한 서비스가 가능하기에 '안 쓰고 다 막아요'식의 보안은 더 이상 의미가 없다. 어떤 건지 무엇인지 파악은 고사하고 존재의 유무도 모르는 앱들이 하루에도 수없이 생겨나는 시대다. 소위 섀도우 IT(Shadow IT)라 부르는 '존재하지만 알기 어려운' 앱들을 상대로 한 보안은 그야말로 '가시화'가 기본인 정보 보안에서 말이 안 되는 상황인 것이다. 무조건 막을 수 없는 블로그나 SNS에 데이터가 올라가고, 업무를 위해 파일변환 사이트에 기업 문서를 올리고 생성형 AI에 민감 정보는 물론 개발 소스코드가 자연스레 올라가고, 미처 파악하지 못한 개인용 저장소에 파일이 올라가는 등 행위로 인한 정보의 유출은 “우린 클라우드 안 써요”와 아무런 관련이 없는 중요한 인터넷 보안 요소다.
“규제 때문에 우린 클라우드 할 수 없어요”란 대답에도 똑같은 얘기를 드리고 싶다. 위에 예를 들은, 활동과 그로 인한 데이터 유출에 대한 가시화는 '클라우드 규제'와 아무런 관련이 없다. 그야말로 '하면 안 되는 행동'을 방어하기 위한 '클라우드 환경이 기반인 시대'에 살고 있기에 생겨난, 당연히 해야 하는 것이다. 대화의 시작이 '클라우드'이기에 '할 필요 없는 클라우드' 보안으로 묶여 넘어가는 경우는 참으로 안타깝다.
네트워크 보안 장비를 이해하는 분들이라면 충분히 공감하시겠지만, IPS·프록시(Proxy)·웹방화벽(WAF)·보안웹게이트웨이(SWG)·샌드박스(Sandbox) 등 장비가 관여하는 수준에 따라 장비의 성능에 큰 영향을 미친다. 10G급 백본 전송 환경을 만들었어도 각 장비가 도입되면서 적게는 20~30%, 많게는 70~80%의 성능 저하를 경험하는 것이 네트워크 기반 보안 솔루션이다. 특히 https 트래픽이 일반화된 요즘 이 시큐어소켓레이어(SSL) 암호화된 트래픽을 복호화해야 보안이든 가시화 확보든 할 텐데 성능상 투자수익률(ROI)이 만만하지 않다. 그렇다고 3대, 4대 놓는다고 3배, 4배의 확장성을 보장하지도, 또 디자인도 쉬운 일이 아니다. '클라우드라는 환경을 이용한 보안'은 이 어려움에 대한 대안을 보여준다. 클라우드를 기반으로 하는 기존 보안의 대체는 단지 그 기능과 확장성을 클라우드에 올린 것에 그치지 않는다. ROI와 확장성, 운영 비효율로 하지 못했던 다양한 방식과 단계의 제어와 방어가 가능해지는 방안이 있음도 클라우드 시대가 주는 혜택이다.
남인우 넷스코프 한국지사장 inam@netskope.com