클라우드 네이티브 시대, 보안에 주목해야 할 이유
클라우드가 기업 IT 환경의 대세로 자리 잡으면서, 보안 전략도 변화의 물결을 타고 있습니다. 전통적인 온프레미스 환경과는 다른 새로운 접근법이 필요한 시대입니다. 특히 컨테이너와 서버리스 등 클라우드 네이티브 기술의 확산으로 보안 패러다임도 바뀌고 있죠.
기업들이 디지털 혁신을 추진하면서 클라우드 네이티브 기술을 과감히 도입하고 있습니다. 컨테이너와 서버리스는 애플리케이션 개발과 배포를 획기적으로 개선해 주는 동력이 됩니다. 하지만 새로운 기술만큼 새로운 취약점과 위협도 생겨나고 있죠. 전통적인 보안 접근법으로는 한계가 있습니다.
컨테이너 보안 강화가 핵심 과제
컨테이너는 애플리케이션을 격리된 환경에서 실행하는 가상화 기술입니다. 이를 통해 개발과 배포 과정이 빨라지고 리소스 효율성도 높아집니다. 하지만 컨테이너 자체에는 보안 기능이 내재되어 있지 않아 취약점이 발생할 수 있습니다.
실제로 지난해 한 보안업체의 조사에 따르면, 클라우드 네이티브 애플리케이션의 56%가 위험한 취약점을 갖고 있는 것으로 나타났습니다. 또한 컨테이너 이미지의 26%가 알려진 취약점을 포함하고 있었죠. 이는 개발 단계부터 보안을 고려해야 함을 시사합니다.
DevSecOps로 개발-운영 전주기에 보안 녹여내기
이에 대응하기 위해서는 DevOps 철학을 보안에도 접목해야 합니다. DevSecOps는 개발, 보안, 운영 전 과정에 보안을 통합하는 개념입니다. 개발 초기 단계부터 애플리케이션 및 인프라 보안을 설계하고, 지속적으로 취약점을 탐지하고 대응하는 절차를 마련해야 합니다.
또한 컨테이너화된 워크로드의 경우 전통적인 방화벽이나 안티바이러스로는 충분한 보안을 제공하기 어렵습니다. 마이크로서비스 아키텍처에 특화된 새로운 보안 도구와 정책이 필요한 상황입니다. 다행히 컨테이너 전문 업체와 클라우드 보안 기업들이 다양한 솔루션을 내놓고 있죠.
주목해야 할 클라우드 네이티브 보안 기업들
트렌드마이크로(Trend Micro)
글로벌 사이버 보안 기업인 트렌드마이크로는 하이브리드 클라우드 환경을 위한 통합 보안 솔루션을 제공합니다. 클라우드원(Cloud One) 제품군은 워크로드, 컨테이너, 파일 스토리지, 네트워크 등 다양한 영역을 아우르는 종합 보안 플랫폼입니다.
가트너는 트렌드마이크로를 2021년 클라우드 워크로드 보안 플랫폼 부문 리더로 선정했습니다. 시장점유율은 작년 15.1%로 업계 2위를 기록했죠. 최근 3년간 매출은 연평균 8% 가량 증가했고, 올해도 두 자릿수 성장을 기대하고 있습니다.
향후 5년간 트렌드마이크로는 클라우드 네이티브 보안 역량을 강화할 계획입니다. 컨테이너 및 서버리스 보안 기능을 지속 고도화하고, DevSecOps 지원도 확대할 예정입니다. 궁극적으로는 자동화된 종합 클라우드 보안 관제 체계를 만든다는 비전을 갖고 있습니다.
가트너 랜드마크 리서치에서 1위에 올랐으며, 전 세계 기업들 중 15%를 차지하는 트렌드마이크로는 보안 분야에서 혁신과 리더십을 보여주고 있습니다. 클라우드 네이티브 시대를 선도하는 기업으로 손꼽힙니다.
프리스모(Prisma Cloud)
팔로알토 네트웍스(Palo Alto Networks)의 프리스모 클라우드는 퍼블릭 클라우드 워크로드를 위한 포괄적인 보안 솔루션입니다. 컨테이너와 서버리스 함수는 물론 클라우드 인프라까지 보안 취약점을 총체적으로 관리할 수 있습니다.
프리스모 클라우드는 지난해 19%의 시장 점유율로 업계 1위를 기록했습니다. 팔로알토 네트웍스의 클라우드 보안 매출은 2022 회계연도 12억 달러를 넘어섰고, 전년 대비 67% 증가했죠. 컨테이너와 서버리스 보안 수요가 크게 늘어난 덕분입니다.
앞으로 3~5년간 팔로알토 네트웍스는 클라우드 네이티브 보안 영역을 계속 강화할 계획입니다. 퍼블릭 클라우드 사업자들과의 협력을 통해 최적화된 통합 보안 기능을 제공한다는 방침입니다. 또한 보안 정책 자동화와 지능형 분석 기능도 지속 개선할 예정입니다.
시프트레프트(ShiftLeft)
DevSecOps 스타트업 시프트레프트는 애플리케이션 및 클라우드 인프라의 지속적인 보안 검증을 지원합니다. 소스코드에서부터 실행 시점까지 취약점을 자동으로 탐지하고 보완할 수 있는 통합 플랫폼을 제공하죠.
시프트레프트는 작년 $20M의 투자를 유치하며 기업가치 $1B를 달성했습니다. 클라우드 보안 사업 확장을 위한 자금력을 갖췄다는 평가입니다. 고객사 실적도 가파른 상승세를 보이고 있죠. 2023년에도 수익 성장률이 70%를 상회할 것으로 전망됩니다.
앞으로 시프트레프트는 보안을 개발 초기부터 통합하는 진정한 DevSecOps 실현을 목표로 하고 있습니다. 특히 컨테이너와 서버리스 애플리케이션에 최적화된 보안 검증 기술 개발에 주력할 계획입니다. 머신러닝과 자동화를 적극 활용해 보안 문제를 즉각 발견하고 조치할 수 있는 역량을 키운다는 전략입니다.
클라우드 네이티브의 안전한 미래를 위해
이처럼 클라우드 네이티브 환경에서는 전통적인 보안 관행을 벗어나 새로운 접근법이 요구됩니다. 컨테이너는 물론 서버리스, IaC(Infrastructure as Code) 등 최신 기술들에 특화된 보안 대책을 수립해야 합니다. DevSecOps 기반의 지속적 보안 검증 및 자동화가 필수적이겠죠.
기업들도 단계별 보안 계획을 갖추고 클라우드 네이티브 기술을 안전하게 도입해야 합니다. 개발 초기부터 애플리케이션 및 인프라 보안을 염두에 두어야 하며, 철저한 취약점 모니터링으로 보안 사고를 예방해야 합니다.
클라우드 기술이 가져온 혁신을 안전하게 누리기 위해, 기업과 보안 업체들은 함께 노력해야 할 것입니다. 독자 여러분께서도 이 글을 계기로 클라우드 네이티브 보안에 관심을 갖는다면 좋겠습니다. 우리 모두의 지속적인 관심과 노력으로 디지털 혁신의 열매를 안전하게 거둘 수 있을 것입니다.
이 주제와 관련해 궁금한 점이나 의견이 있다면, 언제든 댓글로 작성해 주시기 바랍니다.
관련 게시물
서버리스 컴퓨팅의 진화
클라우드 보안을 위한 5가지 비결
서버리스 AI, 산업 혁신의 강력한 해결책