권오현 클라우드 보안 개발 아키텍트 “보안성과 가용성 최우선 고려”
문정욱 클라우드 서비스&비즈플래닝 개발자 “기술·정책 측면에서 클라우드 주목”

[보안뉴스 김경애 기자] 글로벌 클라우드 사업자들의 시장 공세가 거세지고 있는 가운데 국내 업체로는 NBP(네이버 비즈니스 플랫폼)가 최근 클라우드 서비스에 대한 공격적인 마케팅을 펼치고 있다.

지난해부터 본격적인 시장공략에 나선 NBP는 외국 사업자에게 정보를 맡기는 걸 꺼려 하는 국내 업체와 공공기관을 타깃으로 적극적인 공세를 펼치고 있다. 뿐만 아니라 클라우드 서비스를 이용한 경험이 있는 기업이 서비스를 옮기려고 할 때 조건이 좋다는 점과 국내 사업자로서 기술지원 측면에서의 강점을 내세우고 있다.

이에 본지는 NBP의 권오현 클라우드 보안 개발 아키텍트와 문정욱 클라우드 서비스&비즈플래닝 개발자와의 인터뷰를 진행했다. 다음은 인터뷰 내용이다.


최근 클라우드 트렌드를 설명해 주신다면 기술적 측면에서는 4차 산업, 빅데이터, AI 기술이 대두되는 상황에서 해당 기술의 실현이 가능하다는 측면에서 클라우드가 주목받고 있다. 특히, 데이터를 분석·활용할 경우 이를 손쉽게 구축할 수 있는 환경을 제공하고 있다는 점에서 앞으로 더욱 주목받을 것으로 예상된다.

정책적인 측면에서도 클라우드가 기대를 모으고 있다. 2015년 정부의 클라우드 활성화 정책에 따라 공공 클라우드 시장이 날로 커지고 있기 때문이다. 과기정통부 수요예측 조사에 따르면, 올해(2018년)까지 전체 공공기관 40%가 민간 클라우드 이용을 목표로 하고 있고, 최종 목표는 공공기관의 100%(기관별 1개 시스템 이상)를 민간 클라우드로 전환하는 것이다. 현재 기준으로 클라우드를 이용할 수 있는 공공기관, 지방자치단체, 교육기관 등은 약 1,000여개에 이른다.

공공 부문은 국정원의 클라우드 이용 가이드 및 각 상위 부처·기관의 정책에 따라 민간 클라우드 이용 시 보안관제 서비스 이용과 개인정보의 안정성 확보조치 기준에 부합하는 환경 제공이 필수적이다. 또한, 개인정보의 기술적·관리적 보호조치 기준을 충족해야 하는 기관들도 있고, 의료법을 적용받는 의료기관, 전자금융감독규정을 준수해야 하는 금융기관 등 각 분야별로 다양한 규제환경을 고려해야 한다. 규모가 큰 지자체를 제외하고는 보안 전문인력이 많지 않은 상황에서 규제 대응이 용이한 클라우드가 점점 더 선호될 것으로 보인다.

NBP의 클라우드 최근 성장세는 어떤지 지난해 4월 본격적으로 사업을 시작한 이후, 1년 동안 매달 평균 6개 이상의 상품을 출시해 사업 초기 대비 상품 규모는 4배 이상 확대됐고, 고객 수는 매월 32%씩 증가했다. 매달 17% 성장세를 보이고 있으며, 1년간 5배 이상 사업 규모가 확대됐다.

제공하는 클라우드 서비스의 주요 보안기능은 네이버 클라우드 플랫폼은 이용자의 보안성과 가용성을 최우선으로 고려하고 있기 때문에 클라우드 인프라의 유연한 확장과 고객 사업의신속한 변화에 대해서도 서비스의 가용성·안정성이 보장될 수 있도록 기본 보안서비스를 무료로 제공하고 있다.

또한, 네이버, 라인, 밴드 등의 서비스를 외부 해킹으로부터 안전하게 지켜온 보안 노하우와 다양한 프랙티스를 기반으로 보안대책을 적용하고 있다. 뿐만 아니라 그동안 KISA 및 관련부처와의 협력관계 유지로 공공, 의료, 금융 시장의 특수성에 따른 요구사항들을 잘 이해하고 협력하고 있는 상황이다. 특히, 네이버 클라우드 플랫폼만 유일하게 보유한 기본 보안관제 서비스로 공공기관에 필수적으로 요구되는 클라우드 보안환경을 제공하고 있다.

이용자에게 안전한 보안환경을 제공하기 위해 △ACG(Access Control Group)를 통한 접근통제 △2-FA(Two-Factor Authentication)을 지원하는 SSL VPN으로 안전한 접속/통신채널 제공 △모든 이용자에게 무료로 제공되는 Basic Security 서비스로 악성코드 감염 차단, 침입탐지, DDoS 위험 안내로 보안성·가용성 지원 △Secure zone 및 Secure zone firewall을 통해 중요 DB에 대한 접근통제를 지원하고 있다.

이와 함께 이용자의 데이터를 안전하게 보호하기 위해 △ 클라우드 서비스 보안인증, 개인정보보호 관리체계 인증 및 글로벌 클라우드 보안통제 최고등급으로 보안관리 △KMS 키관리 서비스로 사용 용이한 암호화키 생성과 이용 △고객의 데이터 통제권 내에서 안전한 암호화 키 관리 기능 등을 보유했다.

이용자의 서비스 보호(SECaaS 보안상품)를 위해서는 △Checker 시리즈로 OS부터 웹어플리케이션 및 모바일앱 서비스까지 취약점 점검·개선 △ Safer 시리즈로 웹서비스 변조, 악성코드 유포 위험 및 모바일앱의 각종 위협들을 실시간 탐지 및 개선할 수 있도록 하고 있다.

이용자의 보안인증 및 규정준수 지원을 위해서는 △Compliance Guide 상품은 네이버 클라우드 플랫폼에 적용된 통제대책 현황 및 인증과 관련된 문서를 고객에 제공해 이용자가 보안인증을 획득하는데 도움을 주고 있다.

타사와 다른 유일한 강점 혹은 특장점은 국내외 모든 클라우드 서비스 제공자 가운데 네이버 클라우드 플랫폼만 유일하게 제공하는 기본 보안관제 서비스는 공공기관에 필수적으로 요구되는 클라우드 보안환경 구축에 큰 도움이 된다. 이를테면 J공공기관의 경우 다른 클라우드를 사용하다가 네이버 클라우드 플랫폼으로 이전하면서 기본 보안상품인 Basic Security를 통해 악성코드가 탐지되어 대응 조치한 바 있다. 해당 기관의 경우 악성코드가 감염된 서버를 안전하게 조치해 2차 피해를 방지했다.

T사의 경우는 XML-RPC PingBack을 이용한 취약점과 업로드 취약점으로 인한 웹셀이 탐지되어 대응조치를 취한 바 있다. 해당 기업은 PingBack 기능제거 조치로 위험이 해소되어 안전한 서비스 환경을 만들 수 있었다.

S사단법인의 경우 웹셸 업로드 취약점이 발견돼 긴급으로 대응조치를 완료했다. 서비스 오픈일자가 임박해서 시스템 재구성 등이 불가한 상황이라 해당 취약점에 대한 상세 가이드 및 해결 확인 방법을 안내함으로써 일정에 맞추어 안전하게 서비스를 오픈할 수 있었다.

또한 △네이버, 라인으로 축적한 보안 노하우가 반영된 클라우드 보안 서비스 △제로데이(zero-day) 취약점 발견 및 해결, 침해사고 탐지, 분석 대응, 악성코드 분석 및 포렌식, 보안 솔루션 개발, 보안 컨설팅 등 전문인력 자체 보유 △24시간 365 침해사고를 예방·탐지·분석 하는 침해대응 시스템·프로세스 체계로 운영하고 있다. 이 외에도 국내 사업자인 만큼 기업에서 손쉽게 기술지원을 받을 수 있으며, 국내 사업자이기 때문에 정보이전에 대한 불안감과 부담이 덜하다.

클라우드 보안 인증 보유현황은 정보보호관리체계(ISMS), 개인정보보호관리체계(PIMS), 공공클라우드(CSAP) 인증을 획득해 민간 및 공공기관이 국내 컴플라이언스에 대응할 수 있는 환경을 제공하고 있다. CSA STAR를 통해 클라우드 보안통제가 효과적으로 적용되고 있음을 인정받았고, ISO 27001, 27017, 27018을 통해 보안/개인정보 관리체계의 우수성을 인정받았다. SOC 2,3를 통해 글로벌 수준의 내부통제 체계가 운영되고 있고, PCI DSS 인증을 받은 국내 유일한 CSP로서, 페이먼트(Payment) 서비스 기업도 안전하게 클라우드 서비스를 이용할 수 있는 환경을 제공하고 있다.

클라우드 보안시장에 대해 전망한다면 클라우드 서비스 시장의 경우 보다 안전한 보안을 필요로 하는 이용자들이 늘고 있는 추세다. 보안성이 높은 신뢰할 수 있는 클라우드를 선택하는 사례들이 늘고 있다. 국내 대형병원의 경우, 병원 내에서 다뤄야 할 중요 정보와 외부로 노출되는, 즉 비교적 보안에 취약한 웹서비스를 분리해 보안위협을 줄이려는 목적으로 클라우드 이전을 추진하기도 했다.

최근에는 가상화폐 거래소 사이트들의 보안문제가 심각한 이슈로 대두됨에 따라 일부 거래소의 경우 단시간 내에 효율적으로 서비스의 보안성을 높이기 위해 클라우드로의 이전을 결정했다.

과거에 클라우드는 인프라 비용과 효율성 측면에서만 도입을 검토했다면 지금은 보안이 점점 더 중요한 검토 요소가 되고 있다. 클라우드 시장 초기에는 클라우드 보안과 규정 준수, 데이터 이관·통합에 대한 보안이 클라우드 이전에 있어 가장 큰 장애물로 작용했다. 하지만 2017년 clutch.co의 시장조사에 따르면 이용자들이 클라우드를 사용하는데 있어 보안을 가장 큰 혜택으로 선택하고 있다. 글로벌 트렌드는 이미 클라우드 보안이 기존 온-프레미스(on-premise)보다 안전하다는 인식이 확산돼 있으며, 국내 클라우드 시장도 성숙해져 가면서 인식들이 이런 방향으로 바뀌고 있는 추세다.

클라우드 보안을 이용하는 기업 역시 보안운영상 혜택과 시장에서의 안전성이 자연적으로 검증되면서 클라우드 보안에 대한 신뢰는 더욱 공고해 질 것으로 본다. 보안이 클라우드 도입의 주된 목적이 될 수 있을 것이란 얘기다. 또한, 클라우드 시장이 성장해 갈수록 보다 다양한 고객요구에 발맞추어 보안상품을 구비하고, 보안업체들과의 파트너 또는 서드파티 보안상품 개발로 보안시장의 시너지 효과가 발생할 것으로 예상된다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>