많은 조직이 효율성, 유연성, 이동성, 비용 절감과 같은 이점 때문에 클라우드 기반 환경을 도입하거나 전환하였습니다. 대부분의 애플리케이션과 데이터가 이제 클라우드에 위치하게 되면서 클라우드 통합이 보편화되었습니다. 그러나 단순히 파일을 업로드하거나 클라우드 서비스를 사용하는 것만으로는 보안이 보장되지 않는다는 점을 인식하는 것이 중요합니다. 클라우드 환경도 온프레미스 장치와 마찬가지로 사이버 공격에 취약하며, 데이터를 효과적으로 보호하고 프로세스를 안전하게 유지하기 위해 적절한 보안 조치가 필요합니다.
이 글에서는 프라이빗 클라우드 보안과 사용 가능한 다양한 도구에 대해 알아봅니다.
클라우드 보안이란?
클라우드 컴퓨팅 인프라는 “클라우드 보안”이라는 사이버 보안의 하위 분야에 의해 보호됩니다. 특히, 이는 웹 기반 플랫폼, 인프라, 애플리케이션 전반에 걸쳐 데이터 보안과 프라이버시를 유지하는 것을 의미합니다. 이러한 시스템을 안전하게 유지하기 위해 클라우드 서비스 제공자와 사용자는 개인, 중소기업, 대기업 등 관계없이 협력해야 합니다.
클라우드 서비스 제공자는 항상 활성화된 인터넷 연결을 통해 서버에서 서비스를 호스팅합니다. 고객 데이터는 클라우드 보안 솔루션을 사용하여 기밀성과 안전성이 유지되며, 이는 기업의 성공이 고객 신뢰에 달려 있기 때문입니다. 그럼에도 불구하고 클라우드 보안의 일부 책임은 클라이언트에게 있습니다. 성공적인 클라우드 보안 솔루션을 개발하려면 양측 모두에 대한 철저한 이해가 필요합니다.
- 데이터 보안: 암호화, 접근 제어, 데이터 분류와 같은 조치를 구현하여 무단 접근, 데이터 유출, 데이터 손실로부터 데이터를 보호해야 합니다. 이러한 기술을 활용함으로써 조직은 데이터의 보안성과 기밀성을 보장할 수 있습니다.
- IAM(아이덴티티 및 접근 관리): IAM은 안전한 작업 환경에 필수적입니다. 접근 제어 구현의 오랜 기반인 최소 권한 원칙과 역할 기반 접근 제어는 클라우드 인프라 배포가 증가함에 따라 더욱 중요해졌습니다.
- 클라우드 데이터 보안: 클라우드 내 데이터를 보호하려면 데이터가 저장 중, 전송 중, 보관 중인 모든 상황에서의 보안과 책임 소재를 고려해야 합니다. 현재는 공유 책임 모델이 데이터 보호의 책임자와 사용자의 클라우드 리소스 상호작용 방식을 규정합니다.
- 운영 체제 보안: 클라우드 제공자가 제공하는 모든 운영 체제는 유지 관리, 스마트 구성, 패치 적용 방법을 통해 더욱 안전하게 만들 수 있습니다. 기업은 유지 관리 일정 수립, 시스템 구성 기준 준수, 패치 기준 설정을 철저히 이행해야 합니다. 이는 특히 악의적인 개인 및 조직이 취약점을 신속하게 악용하는 현재의 사이버 환경에서 클라우드 보안의 핵심 요소입니다.
프라이빗 클라우드 보안이란?
프라이빗 클라우드 보안은 개별 기업이 인프라에 대한 독점적 접근 권한을 갖는 클라우드 컴퓨팅의 한 형태입니다. 물리적 프라이빗 클라우드 인프라는 일반적으로 기업 데이터 센터의 “온프레미스”에 존재하지만, 코로케이션 데이터 센터 등 다른 위치에 있을 수도 있습니다. 프라이빗 클라우드 보안에서는 클라우드 리소스를 사용하는 조직 또는 인증된 서비스 제공자가 인프라의 구매, 설치, 유지 관리, 관리를 담당합니다.
엔터프라이즈 IT 부서는 종종 OpenStack, VMware, Cisco, Microsoft와 같은 벤더의 기술을 활용하여 데이터 센터를 가상화하고 프라이빗 클라우드 아키텍처를 구축합니다. 회사 내의 다양한 사업 부서와 직원들은 필요에 따라 프라이빗 네트워크를 통해 온라인 애플리케이션 및 데스크톱 서비스와 같은 리소스에 접근합니다.
프라이빗 클라우드 보안의 유형
프라이빗 클라우드 보안에는 네 가지 주요 유형이 있습니다:
- 가상 프라이빗 클라우드(VPC): 서비스 제공자의 퍼블릭 클라우드 멀티테넌트 아키텍처가 가상 프라이빗 클라우드(VPC)로 분할되어 프라이빗 클라우드 컴퓨팅을 지원합니다. VPC는 퍼블릭 클라우드 아키텍처 내에 위치한 프라이빗 클라우드입니다. 이 모델은 퍼블릭 클라우드 리소스를 활용하여 프라이빗 클라우드의 이점(가상 네트워크에 대한 세밀한 제어 및 격리된 환경 등)을 제공합니다.
- 매니지드 프라이빗 클라우드: 단일 소프트웨어 인스턴스가 서버에서 실행되어 단일 고객 조직(테넌트)에 서비스를 제공하며, 제3자가 이를 관리합니다. 이를 매니지드 프라이빗 클라우드(때로는 “호스팅 프라이빗 클라우드”)라고 합니다. 서버의 하드웨어와 초기 유지 관리는 제3자 공급자가 제공해야 합니다. 이는 클라이언트 조직이 소프트웨어 인스턴스를 직접 호스팅하는 온프레미스 배포나, 여러 고객 조직이 단일 서버를 공유하는 멀티테넌시와 대조됩니다.
- 호스팅 프라이빗 클라우드: 서버 용량을 임대하는 공급자가 호스팅 클라우드를 소유합니다. 이 경우, 기업은 클라우드 성능에 영향을 주지 않도록 라스트마일 연결의 신뢰성을 유지해야 하며, 클라우드 제공자는 그 외 모든 세부 사항을 담당합니다. IT는 관리 기능과 보안 제어에 접근할 수 있지만, 일상적인 유지 관리나 감독은 담당하지 않아 다른 비즈니스 목표에 더 집중할 수 있습니다.
- 온프레미스 프라이빗 클라우드: 내부 데이터 센터에서 자체 리소스를 사용하여 온프레미스 프라이빗 클라우드를 구축할 수 있습니다. 리소스는 구매, 최신 상태 유지, 업그레이드가 필요하며, 보안도 유지해야 합니다. 온프레미스 프라이빗 클라우드 관리는 비용이 많이 들고 상당한 초기 투자와 지속적인 비용이 필요합니다.
각 프라이빗 클라우드 유형은 고유한 이점과 고려사항이 있으므로, 기업은 가장 적합한 프라이빗 클라우드 솔루션을 선택하기 전에 자사의 특정 요구와 리소스를 신중하게 평가해야 합니다.
퍼블릭 클라우드 vs 프라이빗 클라우드 보안: 어느 쪽이 더 안전한가?
기업들은 민감한 데이터 저장을 위해 퍼블릭 클라우드보다 프라이빗 클라우드 보안을 선호하는 경향이 있지만, 그렇다고 해서 프라이빗 클라우드가 실제로 더 안전한지에 대한 의문이 제기됩니다. 해답은 그리 간단하지 않습니다.
프라이빗 클라우드 보안이 더 우수한 보안 시스템을 갖추고 있다는 인식은 흔한 오해입니다. 예를 들어, 기업은 프라이빗 시스템에 연결된 다른 전자기기에서 바이러스나 악성코드를 쉽게 다운로드할 수 있습니다. 네트워크를 완전히 보호하려면 클라우드를 위한 별도의 인터넷 사이트를 유지해야 합니다.
숙련된 해커는 데이터를 탈취하거나 악성 소프트웨어를 설치하기 위해 다양한 기법을 사용합니다. 그러나 숫자에는 보이지 않는 힘이 있습니다. 해커가 클라우드에 접근하려면 정확한 위치를 알아야 합니다. 퍼블릭 클라우드에서는 특정 사용자의 데이터가 위치한 가상 위치를 정확히 파악하기 어렵습니다. 따라서 수많은 분할된 클라우드는 외부 위협으로부터 기업을 보호하는 일종의 투명망토 역할을 합니다.
또한, 하이브리드 클라우드를 선택하여 문제를 해결할 수도 있습니다. 하이브리드 클라우드를 활용하면 새로운 기술에 신속하게 적응하고, 민감한 데이터의 보안을 강화하며, 필요할 때 확장할 수 있습니다.
프라이빗 클라우드 보안은 언제 사용하나요?
프라이빗 클라우드 보안은 조직이 전용 클라우드 컴퓨팅 인프라만을 필요로 할 때 사용됩니다. 물리적 프라이빗 클라우드 인프라는 일반적으로 조직의 데이터 센터 내 “온프레미스”에 위치하지만, 코로케이션 데이터 센터 등 오프프레미스에 호스팅될 수도 있습니다. 프라이빗 클라우드의 인프라 조달, 설치, 유지 관리, 관리는 조직 자체 또는 인증된 서비스 제공자가 담당합니다.
엔터프라이즈 IT 부서는 OpenStack, VMware, Cisco, Microsoft 등 공급업체의 소프트웨어를 활용하여 데이터 센터를 가상화하고 프라이빗 클라우드 아키텍처를 구축합니다. 조직의 사업 부서와 직원들은 필요에 따라 프라이빗 네트워크를 통해 웹 애플리케이션 및 데스크톱 서비스와 같은 리소스에 접근합니다.
프라이빗 클라우드를 선택해야 하는 상황은 다음과 같습니다:
- 데이터 보안 및 주권: 엄격한 데이터 보안 및 데이터 주권 요구사항으로 인해 데이터 통제 및 규정 준수 문제로 퍼블릭 클라우드 인프라 사용이 실질적으로 불가능한 경우.
- 규모의 경제: 대기업의 경우, 프라이빗 클라우드와 관련된 규모의 경제로 인해 퍼블릭 클라우드 대비 비용 효율적인 옵션이 될 수 있습니다.
- 특수 서비스 요구사항: 일부 조직은 퍼블릭 클라우드 환경에서 불가능한 특별한 맞춤화가 필요한 특정 서비스를 필요로 합니다.
CNAPP 구매자 가이드프라이빗 클라우드 보안의 이점은 무엇인가?
프라이빗 클라우드 보안은 데이터 보호, 규정 준수 보장, 클라우드 인프라에 대한 통제 유지에 중점을 두는 조직에 많은 이점을 제공합니다. 프라이빗 클라우드 보안의 주요 이점은 다음과 같습니다:
- 보안이 강화되어 프라이빗 클라우드는 민감한 데이터의 처리 또는 저장에 더 적합합니다. 이를 통해 데이터와 애플리케이션이 방화벽 뒤에 남아 조직만 접근할 수 있습니다.
- 완전한 규정 준수를 이행한 프라이빗 클라우드 사용자는 클라우드 서비스 제공자가 제공하는 업계 및 정부 규정 준수에 의존할 필요가 없습니다.
- 모든 워크로드가 고객의 방화벽 뒤에서 실행됩니다. 이로 인해 보안 및 접근 제어에 대한 가시성이 높아집니다.
- 유연한 하이브리드 클라우드를 활용하면 비민감 데이터를 퍼블릭 클라우드로 전송하여 프라이빗 클라우드의 갑작스러운 수요 증가를 처리할 수 있습니다.
프라이빗 클라우드 보안의 위협 요소는 무엇인가?
프라이빗 클라우드 보안은 데이터와 서비스의 기밀성, 무결성, 가용성을 위협할 수 있는 다양한 위험에 직면합니다. 프라이빗 클라우드 보안의 일반적인 위협 요소는 다음과 같습니다:
- 전반적인 보안: 많은 기업이 프라이빗 클라우드가 민감한 데이터에 더 많은 보안을 제공한다고 생각합니다. 실제로는 퍼블릭 클라우드가 더 안전한 경우가 많으며, 이는 대부분이 클라우드 보안의 위험과 대응 방법을 잘 아는 보안 전문가에 의해 관리되기 때문입니다. 신뢰할 수 있는 퍼블릭 클라우드 제공자는 이 수준의 신뢰성과 보안을 달성하기 위해 어떤 기업보다 더 많은 시간과 자원을 투자합니다.
- 물리적 보안:대부분의 기업은 제3자 데이터 센터가 제공하는 물리적 보안(카메라, 화재 방지, 경비원 등) 조치를 갖추지 못해 데이터가 더 취약할 수 있습니다. 또한, 많은 퍼블릭 사업자는 지리적으로 중복된 데이터 센터를 제공하여 주 또는 국가 전역에 위치를 분산시킵니다.
- 용량 과다 또는 과소 구매:프라이빗 클라우드 인프라는 우리가 이해하는 “클라우드”가 아닙니다. 탄력성과 확장성이 클라우드의 기본 정의입니다. 프라이빗 인프라 확장은 유지 관리를 위한 추가 장비가 필요합니다. 충분한 용량을 구매하지 않고 애플리케이션 트래픽이 증가하면 애플리케이션이 매우 느리게 로드되거나 오프라인이 될 수 있습니다.
- 성능 저하 및 마감 기한 준수:프라이빗 클라우드를 사용하는 조직은 새 소프트웨어 버전이 출시될 때마다 설치에 시간과 비용을 투자해야 합니다. 일부는 여전히 구버전 소프트웨어를 사용할 수 있으며, 이는 취약점을 초래할 수 있습니다. 이로 인해 성능 저하와 다운타임이 발생할 수 있습니다.
조직은 이러한 위협에 대응하기 위해 강력한 접근 제어, 암호화, 모니터링, 정기 감사, 보안 모범 사례에 대한 직원 교육 등 포괄적인 보안 전략을 구현해야 합니다. 지속적인 모니터링과 신속한 사고 대응은 보안 침해를 신속하게 식별하고 대응하는 데 필수적입니다.
프라이빗 클라우드 보안의 장단점
프라이빗 클라우드 보안은 퍼블릭 클라우드보다 리소스와 하드웨어에 대한 더 많은 통제권을 제공하는 등 여러 장점이 있습니다. 또한, 공간 용량이 향상되어 더 나은 속도를 제공합니다.
단점으로는 설치 및 유지 관리 비용이 높아 퍼블릭 클라우드보다 비용이 많이 듭니다. 프라이빗 클라우드는 조직 내에서만 접근 가능하므로 운영 범위가 제한적입니다.
프라이빗 클라우드 보안을 위한 SentinelOne의 선택 이유
Singularity™ Cloud Native Security는 에이전트리스 CNAPP 솔루션을 사용하여 오탐을 제거하고 중요한 경고에 신속하게 대응합니다. 고유한 Offensive Security Engine과 Verified Exploit Paths™를 활용하여 개발 및 배포 주기 동안 팀의 효율성을 극대화합니다. 조직은 환경에 대한 즉각적인 가시성과 커버리지를 확보하고, 클라우드에서 사용자를 원활하게 온보딩할 수 있습니다. SentinelOne은 750개 이상의 다양한 시크릿을 실시간으로 식별, 검증하며, 클라우드 자격 증명 오용 또는 유출을 방지합니다.
에이전트리스 취약점 스캐너는 최신 익스플로잇 및 CVE를 신속하게 파악하여 클라우드 리소스가 최신 취약점에 영향을 받는지 빠르게 확인합니다. 이 플랫폼은 잘못 구성된 클라우드 자산을 탐지하기 위한 2,000개 이상의 내장 체크를 제공하며, CSPM을 통해 이를 표시합니다. SentinelOne은 AWS, DigitalOcean, Azure 등 주요 클라우드 서비스 제공자(CSP) 및 기타 프라이빗 클라우드 플랫폼을 폭넓게 지원합니다. MITRE, NIST, CIS, SOC 2 등 다양한 보안 표준에 대한 실시간 연속 준수를 보장합니다.
사용자는 빌드부터 운영까지 컨테이너를 보호하고, 리소스에 맞춘 맞춤형 정책을 수립할 수 있습니다. 플랫폼은 사용이 간편한 정책 엔진을 활용하며, OPA/Rego 스크립트도 사용할 수 있습니다. 사용자는 TerraForm, CloudFormation, Helm과 같은 IaC 템플릿을 스캔하여 DevSecOps 파이프라인에서 IaC 잘못된 구성을 차단할 수 있습니다. 또한 SentinelOne은 KSPM, SSPM, CDR, XDR 등 다양한 기능을 제공하여 보안팀이 미션 크리티컬 자산을 보호하고 클라우드 환경에 대한 탁월한 가시성을 확보할 수 있도록 지원합니다.
서버, VM, 컨테이너를 위한 AI 기반 클라우드 워크로드 보호(CWPP)로, 런타임 위협을 실시간으로 탐지하고 차단합니다.
결론
이 글에서는 프라이빗 클라우드 보안과 그 제공 기능에 대해 알아보았습니다. 또한 퍼블릭 클라우드와 프라이빗 클라우드 보안의 비교도 살펴보았습니다. 클라우드 기술의 도입으로 인해 모두가 사이버 보안을 재평가해야 했습니다. 데이터와 애플리케이션은 인터넷을 통해 언제든지 접근 가능하며, 로컬과 원격 컴퓨터 간을 오갈 수 있습니다.
안타깝게도, 클라우드 기반 대상의 가치가 높아짐에 따라 해커들은 점점 더 많은 취약점을 노리고 있습니다. 클라우드 제공자가 고객을 대신해 다양한 보안 작업을 수행하지만, 모든 상황을 처리하지는 않습니다. 이는 비기술 사용자라도 클라우드 보안에 대해 스스로 학습해야 함을 의미합니다.
그렇다고 해서 클라우드 보안에 대한 책임이 전적으로 귀하에게만 있는 것은 아닙니다. 안전을 유지하려면 자신의 보안 책임 범위를 명확히 인식해야 합니다.
프라이빗 클라우드 보안 FAQ
프라이빗 클라우드 보안은 단일 조직에 전용된 클라우드 환경에서 데이터, 애플리케이션 및 인프라를 보호하기 위해 사용되는 기술, 정책 및 관행을 포함합니다. 이는 네트워크 분리, 저장 및 전송 중 암호화, 신원 및 접근 관리, 모니터링을 결합하여 민감한 워크로드를 기업 방화벽 뒤에서 보호합니다.
공용 클라우드와 달리, 프라이빗 클라우드는 보안 구성과 규정 준수 요구 사항에 대한 독점적인 제어 권한을 제공합니다.
프라이빗 클라우드에서는 물리적 서버부터 가상 네트워크까지 모든 보안 계층을 직접 구성하고 관리하므로, 패치 적용, 하이퍼바이저 하드닝, 데이터 암호화에 대한 모든 책임이 귀하에게 있습니다.
퍼블릭 클라우드는 공유 책임 모델을 따릅니다. 공급자가 인프라를 보호하고, 귀하는 워크로드와 데이터를 보호합니다. 'Noisy neighbor'와 같은 다중 테넌트 위험과 넓은 공격 표면은 퍼블릭 클라우드에만 해당됩니다.
프라이빗 클라우드는 독점적인 리소스 접근을 제공하여 테넌트 간 공격 위험을 줄입니다. HIPAA 또는 GDPR과 같은 엄격한 규제 준수를 위해 맞춤형 방화벽 규칙, 침입 탐지, 전용 암호화 키 등 보안 제어를 맞춤화할 수 있습니다.
전용 하드웨어는 보안 모니터링 도구에 일관된 성능을 제공하며, 온프레미스 배포는 공격자가 악용할 수 있는 인터넷 노출 관리 인터페이스를 제거합니다.
프라이빗 클라우드에서는 조직이 전체 스택을 소유합니다. 물리적 데이터 센터, 하이퍼바이저, 가상 네트워크, 게스트 OS 구성, 애플리케이션을 보호해야 합니다. 호스팅을 아웃소싱하는 경우 공급자가 하드웨어 유지 관리를 담당할 수 있지만, 방화벽, 권한, 암호화, 패치 관리는 여전히 귀하의 몫입니다.
이는 '클라우드 내 보안'과 '클라우드 자체 보안'의 구분으로, 거의 모든 계층을 직접 제어함을 의미합니다.
가장 흔한 위협은 잘못된 구성입니다. 잘못된 네트워크 규칙이나 과도한 권한은 민감한 워크로드를 노출시킬 수 있습니다. 도난 또는 약한 자격 증명은 무단 접근을 허용하며, 보호되지 않은 API는 악용될 수 있습니다. 내부자 위협과 수평 이동 공격은 분리가 미흡할 경우 발생할 수 있습니다. 마지막으로, 오래된 스냅샷이나 패치되지 않은 하이퍼바이저는 악성코드 및 권한 상승 공격에 취약점을 남깁니다.
취약점 스캔은 최소 분기별로 수행하여 새로운 노출을 탐지해야 하며, 규제 데이터 처리 또는 잦은 변경이 있을 경우 월간 또는 주간 스캔이 필요합니다. 중요 시스템은 지속적인 모니터링이 필요합니다. 주요 업데이트나 아키텍처 변경 후에는 반드시 평가를 실시해야 합니다.
자동화된 스캔과 함께 정기적인 수동 침투 테스트(이상적으로는 연 1회 또는 주요 인프라 변경 후)를 병행하여 조치 효과와 실제 위험을 검증하세요.
범위, 주기, 유지보수 시간을 포함하는 패치 정책을 정의하고 문서화하세요. 운영 환경에 적용하기 전 랩 환경에서 패치를 테스트하세요. 가능한 경우 배포를 자동화하고, Windows 패치는 월간, 네트워크 장비 업데이트는 분기별로 예약하세요. 공급업체 권고를 모니터링하여 제로데이 패치와 중요 취약점을 우선 처리하세요.
마지막으로, 패치 적용 후 서비스 정상 여부를 확인하고, 문제가 발생하면 업데이트를 롤백하세요.
항상 API를 게이트웨이 뒤에 배치하여 속도 제한, 인증, 로깅을 중앙 집중화하세요. 각 서비스에 토큰 로직을 내장하는 대신 전용 OAuth 서버를 사용해 토큰을 발급 및 검증하세요. 인젝션 공격 방지를 위해 엄격한 입력 검증을 적용하고, API 키는 정기적으로 교체하세요.
API 트래픽 이상 징후를 모니터링하고, 토큰에 최소 권한 범위를 적용하며, 모든 요청을 감사 및 사고 대응을 위해 기록하세요.
