넥스트 2018 컨퍼런스에서 발표된 내용...클라우드 인프라 강화
접근 편리성도 놓치지 않기 위해 ‘상황 인식’ 접근법 활용...하드웨어 키도 나와

[보안뉴스 문가용 기자] 구글이 클라우드와 하드웨어를 통한 보안 강화 장치를 고객들에게 제공할 계획이다. 이번 주 샌프란시스코에서 열리고 있는 넥스트 2018(Next 2018) 컨퍼런스에서 자세한 내용을 발표했다.


구글은 4개월 전 클라우드를 기반으로 한 데이터 보안 제어 장치를 발표한 바 있다. 그리고 이번 업데이트를 발표한 건데, 사용자들이 가장 시급하다고 느끼는 1) 접근 관리, 2) 플랫폼 보안, 3) 데이터 보호, 4) 투명성 문제를 해결하고자 한 시도였다고 한다.

구글 클라우드(Google Cloud)의 신뢰와 보안 마케팅 수석인 롭 사도우스키(Rob Sadowski)는 “구글이 하는 일과 운영 방식에 대한 가시성과 투명성을 최대한 많이 제공하고 싶었다”고 이번 업데이트를 설명했다.

“이번 업데이트의 골자는 사용자가 더 안전하고 편리하게 클라우드 데이터에 접근할 수 있도록 하는 것입니다. 근무 환경 내에 수많은 기기들이 계속해서 연결되고 있는 때라, 이 두 가지 가치는 필수적인 겁니다.” 구글의 제품 관리 책임자인 제스 레로이(Jess Leroy)의 설명이다. “사용자들은 회사 자원에 아무런 불편함이나 어색함 없이 접근하고 싶어하고, 그런 연결성을 기대합니다. 반면 보안 책임자는 데이터 및 자산의 안전성을 최고의 가치로 치고요.”

즉 모두가 하나의 네트워크와 인프라에 연결되어 있다고 하더라도 원하는 것과 입장이 다 다를 수밖에 없고, 그러한 목적성에 따라 장비의 종류도 다양해질 수밖에 없다는 것을 고려한 생태계가 필요하다는 것이다. “지금 IT 생태계는 불과 얼마 전까지만 해도 상상하기 힘든 모습을 하고 있습니다. 변화가 굉장히 빠르죠.”

안전한 접근
전통적인 접근 관리 툴이라 함은, “유연성과 보안성 사이에서 저울질”을 해왔다. 또한 “이거 하나면 유연하고 안전한 데이터 보안 완료”라는 접근을 했지만, 사실은 사용자들이 누릴 수 있는 운신의 폭을 줄여왔다고 구글 클라우드의 제품 관리 책임자인 제니퍼 린(Jennifer Lin)은 블로그를 통해 설명했다. 오늘 발표된 구글의 새로운 보안 업데이트가 기존 접근 보안 장치들과 어떻게 다른지 비교하기 위한 말이었다.

구글은 “안전하면서도 편리한 데이터로의 접근”이라는 난제를 “상황 인식 접근(context aware access)”으로 해결했다고 린은 밝혔다. “이를 통해 구글 클라우드 플랫폼(GCP)의 API들과 자원, G 스위트(G Suite), 서드파티 SaaS 앱들에 대한 접근을 세세하게 통제할 수 있게 됩니다. 이 세세한 통제의 기본 바탕이 되는 건 개인의 아이덴티티와 위치, 요청의 성격 및 맥락입니다. 예를 들어 관리가 이뤄지는 장비로는 더 많은 데이터에 접근할 수 있게 되는 겁니다.”

상황 인식에 기반을 한 보안 기능은 VPC 서비스 컨트롤(VPC Service Controls)을 이미 사용하고 있는 일부 고객들에게 진작부터 제공되는 것이었다. 이제는 구글 클라우드와 아이덴티티 접근 관리(Identity Access Management), 클라우드 아이덴티티 어웨어 프록시(Cloud Identity-Aware Proxy, IAP), 클라우드 아이덴티티(Cloud Identity) 서비스를 통해서도 제공된다.

또 하나, 이번 발표 중 많은 사람들의 관심을 끈 건 타이탄 시큐리티 키(Titan Security Key)다. FIDO를 기반으로 한 보안 키로 피싱 공격을 막기 위한 두 번째 인증 요소로 작용할 예정이다. 구글 클라우드 관리자 등 보안이 철저해야만 하는 사용자들을 위한 장치라고 구글은 밝혔다.

레로이는 “기업 내 근무자들 중 30%가 피싱 이메일에 속는다”며 “이 중 12%는 악성 페이로드를 설치하기까지 한다”고 말했다. 하드웨어 키를 기반으로 한 2중 인증의 필요성을 설명하기 위함이었다.

타이탄 키는 관리자나 루트 사용자 등, 침해를 당했을 때 훨씬 큰 피해를 야기할 수 있는 사용자들을 위해 사용되어 왔다. 그런 타이탄 키가 이제 구글 클라우드 고객들에게도 제공되고 있는 것이고, 곧 구글 스토어에서 누구나 구입이 가능하게 될 예정이다.

안전한 인프라
오늘 발표된 클라우드 보안 업데이트는 결국 구글의 클라우드 인프라를 강화한다는 의미를 가지고 있다. 그중 하나가 쉴디드 VM(Shielded VM)으로, 이는 가상 기기를 아무도 침해하거나 공격하지 않았다는 걸 확인시켜주는 기능을 가지고 있다. 관리자들은 가상 기기 베이스라인과 런타임 상태에 발생하는 변경 내용을 모니터링할 수 있다. 현재 이 쉴디드 VM은 베타 버전 상태다.

바이너리 인증(binary authorization) 역시 곧 베타로 공개될 예정인데, 사용자들이 콘테이너 이미지를 사용할 때 시그니처 확인을 먼저 하도록 설정할 수 있게 해준다. “생산 환경에 도입시키고 싶은 콘테이너와, 현재 실제로 도입되고 있는 콘테이너가 일치하도록 맞춰주는 요소입니다. 이를 콘테이너 레지스트리 취약점 스캐닝(Container Registry Vulnerability Scanning)과 합하면 이미지들을 안전하게 사용할 수 있습니다.”

데이터 보호
데이터 보안이라는 측면에 있어서 구글은 클라우드 HSM(Cloud HSM)을 출시할 예정이다. 하드웨어 보안 모듈로 클라우드에 호스팅 된다. 사용자들이 암호화 키를 호스팅하고 암호화와 관련된 행위들을 함으로써 민감한 워크로드를 보호할 수 있도록 해준다. HSM 클러스터를 관리할 필요가 없다고 한다.

“HSM(계층적 기억 관리)의 문제는 관리가 매우 어렵다는 것입니다. 구축 후에는 반드시 관리를 해야 하는데, 패치, 올바른 업타임 유지, 클러스터링, 확장성 등이 여기에 포함됩니다. 적잖은 시간과 돈이 들어가죠. 클라우드 HSM은 이러한 문제를 해결하기 위한 구글의 접근법입니다.”

클라우드 HSM은 클라우드 키 관리 서비스(Cloud Key Management Service)에 통합될 예정이다. “그렇게 될 경우 키를 만들고 사용하는 게 훨씬 쉬워질 겁니다. 또한 고객들이 관리하는 암호화 키와 관련된 서비스인 구글 컴퓨트 엔진(Google Compute Engine), 구글 클라우드 스토리지(Google Cloud Storage), 빅쿼리(Bgsuery), 데이터프록(DataProc)와의 통합도 가능합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>