2020년 알아두어야 할 보안 용어

2020년 알아두어야 할 보안 용어 AhnLab 콘텐츠기획팀 l 2020-05-11         포스트 팬데믹 시대, 보안 산업에서 가장 주목 받을 분야는 단연 클라우드 보안이다. 글로벌 시장조사 기관인 가트너(Gartner)는 2020년 보안 시장의 성장률을 기존 9.1%에서 4.2%로 하향 조정했다. 팬더믹의 영향으로 경제 전반에 걸쳐 소비와 투자가 줄어들고 경기침체에 대한 우려로 인해 보안 시장도 위축될 것이라는 예측 때문이다. 반면 이러한 상황 속에서도 클라우드 보안은 오히려 성장할 것으로 예상했다. 이번 코로나19로 인해 국내에서도 클라우드 도입이 급격히 증가할 것이다.   이 글에서는 클라우드 보안을 이해하기 위해 알아야 할 용어들을 소개한다. 더불어 지난 2월 개최된 RSA 콘퍼런스에서 부각되었던 트렌드 및 기술 용어들도 살펴보자.   클라우드(Cloud)에 주목하라   과거에 기업 내 IT의 역할이 비즈니스 지원이었다면 디지털 트랜스포메이션 시대의 IT는 비즈니스 핵심으로 부상하고 있다. 이 가운데 혁신 아이디어를 실제 비즈니스로 빠르게 구현할 수 있는 클라우드 플랫폼이 주목받고 있다. 기업들이 클라우드로 전환하지 않는다면 존폐 기로에 설 수 있다는 전망도 나오고 있다. 클라우드와 클라우드 보안을 이해하는데 도움이 될 만한 용어들은 아래와 같다.     클라우드 네이티브(Cloud Native): 클라우드 컴퓨팅 모델의 장점을 모두 활용하는 애플리케이션을 개발하고 실행하기 위한 접근 방식을 의미한다.   컨테이너(Container): 애플리케이션 가상화 환경에서 애플리케이션을 패키징하고 안전하게 실행하는 방법이다. 애플리케이션 컨테이너 또는 서버 애플리케이션 컨테이너로도 알려져 있다. 호스트 OS 위에 컨테이너 엔진을 설치하고 애플리케이션 작동에 필요한 바이너리, 라이브러리 등을 하나로 모아 각자가 별도의 서버인 것처럼 사용하는 환경이다.   쿠버네티스(Kubernetes): 설치(deploy) 자동화, 스케일링, 컨테이너화된 애플리케이션의 관리를 위한 오픈소스 시스템으로서 원래 구글에 의해 설계되었고 현재 리눅스 재단에 의해 관리되고 있다. 목적은 여러 클러스터의 호스트 간에 애플리케이션 컨테이너의 배치, 스케일링, 운영을 자동화하기 위한 플랫폼을 제공하기 위함이다. 도커를 포함하여 일련의 컨테이너 도구들과 함께 동작한다.   도커(Docker): 리눅스의 응용 프로그램들을 소프트웨어 컨테이너 안에 배치시키는 일을 자동화하는 오픈소스 프로젝트이다.   하이퍼바이저(Hypervisor): 호스트 컴퓨터에서 다수의 운영체제를 동시에 실행하기 위한 논리적 플랫폼을 말한다. 가상화 머신 모니터 또는 가상화 머신 매니저(virtual machine monitor 또는 virtual machine manager, VMM)라고도 부른다.   서버리스 컴퓨팅(Serverless computing): 클라우드 컴퓨팅 실행 모델의 일종으로, 클라우드 제공자는 동적으로 머신 자원의 할당을 관리한다. 가격은 미리 구매한 용적 단위가 아닌 애플리케이션이 소비한 자원의 실제 양에 기반을 둔다.   CASB(Cloud Access Security Broker)는 2012년 가트너가 제시한 것으로, 기업이 이용하는 클라우드 및 애플리케이션에 대해 가시화 그리고 데이터 보호 및 거버넌스를 실현하는 서비스를 말한다. 클라우드 내 데이터에 대한 가시성을 확보하고, 사용자 접근 통제를 적용함으로써 기업의 자산을 보호하겠다는 취지이다.   CWPP(Cloud Workload Protection Platform): 클라우드 서버 워크로드 중심의 보안 방어(protection)를 위해 특별히 설계된 제품으로 정의되며, 일반적으로 심층 워크로드 가시성 및 공격 방어를 위한 에이전트를 기본으로 하고 있다. 따라서 물리적 시스템, 가상머신(VM), 컨테이너(Container), 그리고 프라이빗 클라우드 인프라와 하나 이상의 퍼블릭 클라우드 IaaS(Infrastructure as a Service)에 결합되어 구동되는 모던 하이브리드 데이터센터 워크로드의 보호에 대한 고객 니즈를 해결한다.   CSPM(Cloud Security Posture Management): 클라우드 서비스의 구성 위험 평가 및 관리를 하는 것으로, IAM 서비스, 네트워크 연결/구성, 스토리지 구성 및 PaaS 서비스를 관리한다. CSPM 핵심 엔터프라이즈 통합은 IaaS에서 SIEM 및 분석 플랫폼에 대한 클라우드 구성 및 서드파티(3rd party) 툴의 커스터마이즈를 통해 PaaS(Platform as a Service)의 구성 문제를 감지한다. 여러 IaaS 클라우드에서 일관된 보안 위협 흐름도를 기업에 제공할 수 있다. 이러한 도구는 데브섹옵스(DevSecOps) 기능과 통합되어 구성 및 배포를 돕고 일부 치료(remediation) 기능을 자동화할 수 있다.   CI(Continuous Integration): 소프트웨어 개발은 복잡성 및 시간이 많이 소요되는 특성 때문에 중간에 실수하거나 잘못돼도 이를 바로잡는데 상당히 오랜 시간이 걸리는 경우가 많은데 CI는 이 같은 문제점을 해결하기 위해 개발 팀원들이 작성한 코드를 최대한 자주 통합하는 소프트웨어 개발 방법 중의 하나이다. 버전 관리와 자동화된 빌드, 테스트, 리포팅을 통해 최대한 빨리 오류를 발견하고 발생한 문제를 조기에 처리할 수 있다.   CD(Continuous Delivery): 소프트웨어가 언제든지 신뢰 가능한 수준으로 출시될 수 있도록 보증하기 위한 것으로, 언제든 배포할 준비가 되어 있는 소프트웨어를 만들어내는 개발 방법이다. 소프트웨어를 더 빠르게, 더 주기적으로 빌드하고 테스트하고 출시하는 것을 목표로 한다. 이러한 접근은 더 많은 업데이트를 업무 애플리케이션에 적용할 수 있게 함으로써 변경사항의 배포에 대한 비용, 시간, 위험을 줄일 수 있게 한다. 또한 시간 소모적인 빌드, 테스트, 배포 과정을 자동화함으로써 소프트웨어 개발 과정에 예측 가능성과 반복성을 가져다 주며, 릴리즈의 품질과 빈도를 크게 개선시킨다.   파일시스템 가상화(Filesystem Virtualization): 다수의 컨테이너가 동일한 물리적 스토리지를 공유하지만, 다른 컨테이너의 스토리지에 접근하거나 변경할 수 없는 가상화의 한 형태이다.   격리(Isolation): 요즘 유행하는 코로나19도 격리가 필수인 것처럼 고객 간 격리는 퍼블릭 클라우드 상에서 고객의 데이터 프라이버시와 보안에 있어 필수다. 어떤 고객이, 어떤 방법을 통해 보안 피해를 입을 경우 클라우드 인프라는 클라우드 상에서 진행되는 보안 공격 확산의 위험을 제한해주는 설계를 통해 다른 고객을 보호해야 하기 때문이다. 그런 보안 공격으로부터 위험을 감소해주는 하나의 분명한 방법이 바로 클라우드 제어 코드를 보호하는 것이다. 공격자로 하여금 접근을 매우 어렵게 만드는 것이다. 이런 접근이 바로 2세대 클라우드가 공격자들로 하여금 파악과 접근 작업이 어렵도록 클라우드 제어 코드를 별도의 네트워크에 둔 이유다.   마이크로서비스(Microservice): 애플리케이션을 구성하기 위해 함께 작업하는 컨테이너의 집합으로, 애플리케이션이 독립적인 구성요소로 구축되어 각 애플리케이션 프로세스가 서비스로 실행된다. 서비스가 독립적으로 실행되기 때문에 애플리케이션 특정 기능에 대한 수요를 충족하도록 각각의 서비스를 업데이트, 배포 및 확장할 수 있다. 오케스트레이터(Orchestrator): 데브옵스(DevOps) 직원(또는 자동화)이 레지스트리에서 이미지를 가져오고, 컨테이너 이미지를 배치하고, 실행 중인 컨테이너를 관리할 수 있게 하는 도구이다. 오케스트레이터는 전체 호스트에서 컨테이너의 리소스 소비, 작업 실행, 기기 상태를 모니터링 해야 한다.   오버레이 네트워크(Overlay network): 대부분의 오케스트레이터에 포함된 SDN(Software-Defined Network) 컴포넌트로 동일한 물리적인 네트워크를 사용하는 애플리케이션 사이의 통신을 분리하기 위해 사용할 수 있다.   레지스트리(Registry): 개발자들이 생성한 이미지를 쉽게 저장하고, 검색과 재사용을 목적으로 식별/버전 통제를 위해 태그/카탈로그를 생성하고, 타인이 생성한 이미지를 검색/다운로드할 수 있는 서비스이다. RSAC 2020의 핵심 키워드를 이해하라 세계 최대 규모의 사이버 보안 행사인 RSA 콘퍼런스(RSAC) 2020이 내건 테마는 인적 요소(Human Element)였다. 사이버 보안 분야에서 사람, 특히 보안 전문가가 무엇보다 중요하다는 의미에서다. 보안 전문가는 공격자와 방어자 측면에서 핵심 역할을 수행하며 사이버 보안, 사이버 위협, 데이터 및 개인정보보호, 위험관리 등 모든 이슈를 컨트롤해야 한다. 이와 함께 SOAR(보안 오케스트레이션 자동화 및 대응), AI(인공 지능), ICS(산업 컨트롤 시스템), SASE(보안 액세스 서비스 엣지) 등이 주요 키워드였다. RSAC 2020에서 주로 등장한 주요 보안 용어들은 아래와 같다.   RSA 콘퍼런스 주요 보안 용어     EDR(Endpoint Detection & Response): 단말기에서 위협 탐지 및 대응을 하는 솔루션으로 실시간 차단보다 모니터링에 초점을 맞추고 있다. 엔드포인트의 행위와 이벤트들을 기록하고 수집된 데이터를 기반으로 행위 분석, 머신러닝, 침해 지표 탐지 등의 다양한 기술을 활용해 위협을 탐지하고 대응한다. 안티 바이러스 제품이나 APT 공격 탐지 제품, 악성코드 탐지 제품, 보안 취약성 탐지 제품, 안티 멀웨어, 안티 랜섬웨어 같은 제품 등이 이 역할을 담당하고 있고 단말기의 특정 분야 보안이 아니라 통합 보안을 의미한다. 백신은 관리자의 개입 없이 자동으로 시그니처를 업데이트하고 알려진 위협을 차단하는 반면 EDR은 관리자의 적극적인 개입으로 발견된 이벤트의 위협 수준에 따라 적절하게 대응한다.   XDR(Extended Detection and Response): 엔드포인트, 네트워크, 클라우드 등 IT 전체에서 발생하는 위협을 탐지하고 연계 분석하는 개념이다. 네트워크 풀 패킷과 로그, 엔드포인트 이벤트, 클라우드와 IoT에서 수집하는 모든 위협 이벤트를 관리해 IT 전반의 위협을 낮춰준다.   MDR(Managed Defense & Response): 보안 솔루션과 매니지드 서비스가 결합된 보안 모델로 네트워크 및 호스트에서 탐지된 위협들을 제거하고 대응하는 서비스 또는 아웃소싱 행위를 말한다. 즉 전문 보안팀이 네트워크에 침입한 악성코드와 악성 행위를 탐지하고 위협을 제거하기 위한 서비스이다.   BAS(Breach and Attack Simulation): 기존 자산에 영향을 미치지 않으면서 실제 해커들이 사용하는 최신 해킹 및 중요 기술들을 실제 시뮬레이터를 통해서 전체 네트워크를 대상으로 시뮬레이션함으로써 구축했던 보안 체계가 얼마나 잘 작동하는지 한 눈에 파악할 수 있게 해주는 솔루션이다.   SASE(Secure Access Service Edge): WAN에 각종 네트워크 보안 기능을 덧붙인 것으로 보안 웹 게이트웨이, 클라우드 접근 보안 브로커, 서비스 방화벽, 제로 트러스트 네트워크 접근 등과 같은 보안 서비스들을 아우르고 있다. 민감한 데이터나 멀웨어를 찾아내고 콘텐츠를 복호화하며 위험 요소들과 세션의 신뢰도 수준을 계속해서 모니터링한다.   NTA(Network Traffic Analysis): 네트워크 패킷 분석에 초점을 맞춘 솔루션. 네트워크 위협 탐지 및 대응(NDR) 솔루션과 비슷한 개념이며 네트워크 풀패킷 분석을 통해 실시간 위협을 탐지하고 대응할 수 있도록 돕는다. 특히 AI 기술을 이용해 정교한 위협까지 탐지할 수 있도록 도와주는 기술이다.   엣지 컴퓨팅(Edge Computing): 소형 IoT 장치에서부터 데이터센터 같은 인프라의 말단 기기에서 컴퓨팅을 수행하는 모든 작업을 일컫는다. 엣지 컴퓨팅을 나타내는 용어로는 분산 컴퓨팅, 하이브리드 엣지 컴퓨팅, 이기종 컴퓨팅, 매트릭스 컴퓨팅, 로컬 클라우드, 네트워크 엣지 등이 대표적이다. 데이터 소스와 더 가까운 위치에 컴퓨팅 인프라를 배치하는데 컴퓨팅 서비스를 넘어 네트워킹, 스토리지 서비스까지 확장되는 개념이다. IDC 정의에 따르면 엣지 컴퓨팅은 중요한 데이터를 지역에서 처리하거나 저장하고, 수신된 모든 데이터를 중앙 데이터센터나 클라우드 스토리지 리포지터리로 보내는 마이크로 데이터센터들로 구성된 메시(Mesh) 네트워크라고 설명하고 있다.   SOAR(Security Orchestration, Automation & Response): 보안 위협을 자동으로 분석해 보안 관제 요원이 사이버 공격에 효과적으로 분석할 수 있게 해주는 솔루션으로, 다양한 보안 위협에 대한 대응 프로세스를 자동화하고 조율하는 역할을 맡는다. SOAR의 핵심은 자동화이다. 작업을 자동화해서 복잡한 사고 대응에 집중할 수 있도록 해준다.   마이터 어택(MITRE ATT&CK): 마이터 어택은 미국 연방정부의 지원을 받는 비영리 연구개발 단체인 마이터에서 최신 공격 방법과 대응 방식, 관련 솔루션을 총망라한 사이버 공격 킬체인 보고서로 실제 관측에 기반, 분석한 자료를 토대로 프레임워크를 구성하고 있다. 마이터 어택의 공개 후 EDR의 완성도가 높아졌다는 평가를 받고 있다.   레드팀(Red Team): 보안 성숙도가 높은 조직에서는 레드팀 도입이 효과적이다. 레드팀은 조직의 전략을 점검, 보완하기 위해 조직 내 취약점을 발견, 공격하는 역할을 부여 받은 하위 조직이다. 조직의 의사결정 과정에서 의도적으로 반대 목소리를 내면서 비판자 역할을 맡는 대변인과도 유사하다. 냉전 시기에 미군이 모의 군사훈련 과정에서 아군인 블루팀의 취약점을 파악, 분석하기 위해 편성한 가상의 적군을 레드팀으로 지칭한 것에서 유래됐다. 레드팀의 주요 역할은 향후 발생 가능한 상황을 미리 시뮬레이션 하는 것이고 공격자 입장에서 취약점을 발견하고 대체 분석을 실행하는 것이다.   블루팀(Blue Team): 블루팀은 시스템 보안과 심층 방어를 전략을 통해 보안을 강화하고 침해가 발생된 시스템을 복구하는 재해복구 프로세스를 수행한다. 따라서 블루팀은 기존 정보 보안 및 IT 직원으로 구성되며, 레드팀이 보안 관리자 모르게 테스트한다면 블루팀은 보안 관리자에 통보한 후 테스트를 진행한다.   퍼플팀(Purple Team): 보안 용어에서 흔하게 볼 수 있는 건 퍼플팀이다. 퍼플팀은 보안 평가를 수행하는 새로운 방법이나 새로운 팀은 결코 아니다. 퍼플팀은 일반적인 조직도에서 블루팀과 레드팀의 의사소통과 상호 작용을 촉진시켜 더 가깝게 유지하기 위한 구조 변경 사항을 포함하고 있다.   UEBA(User and Entity Behavior Analytics): 고의를 가진 내부자의 소행이나 감염된 사용자 계정에서 발생하는 이상 행위를 탐지하는 솔루션, 엔드포인트나 네트워크 내에서 사용자의 행위를 정밀하게 분석하고 추적하면서 이상 행위를 찾아내는 사용자 행위 분석 솔루션이다.   제로 트러스트(Zero Trust): 제로 트러스트 보안 모델은 기본적으로 기업 내외부를 막론하고 적절한 인증 절차 없이는 그 누구도 신뢰해서는 안되며, 시스템에 접속하고자 하는 모든 것에 접속 권한을 부여하기 전 신원 확인을 거쳐야 한다는 것으로, 포레스트 리서치의 존 킨더버그가 만든 용어이다.   데브옵스(DevOps): 데브옵스는 애플리케이션과 서비스를 빠른 속도로 제공할 수 있도록 조직의 역량을 향상시키는 문화 철학, 방식 및 도구의 조합이다. 이를 활용하면 제품을 더 빠르게 혁신하고 개선할 수 있다. 데브옵스 팀 전체가 보안을 중점으로 하는 경우 데브섹옵스(DevSecOps)라고부른다.   데브섹옵스(DevSecOps): 2012년 가트너는 데브옵스보다 발전된 데브섹옵스라는 개념을 소개했다. 데브섹옵스는 데브옵스와 보안이 결합된 개념으로, 데브옵스의 IT 개발부터 배포, 운영, 관리에 이르기까지 전 영역이 보안과 연계된 것을 의미한다. 즉, 상호협력 관계인 데브옵스 프레임워크에 보안을 공동의 책임으로 간주하고 개발부터 운영까지의 전 라이프사이클에 걸쳐 빌트인 된 보안 기반을 구축하는 것이 데브섹옵스이다.   SDN(Software-Defined Network): 네트워크 자원의 개방화 및 가상화를 통해 네트워크 설정을 소프트웨어적으로 제어할 수 있도록 하는 기술이다. 기존 네트워크 기술은 분산된 하드웨어에 제어 기능이 개별 관리되는 비유연성 구조를 기반으로 하는데 반해 SDN 기술은 제어 기능을 별도로 분리해 중앙집중식으로 관리해 데이터 전송만 담당하는 분산 하드웨어를 적시에 제어 가능한 유연한 네트워크 구조를 제공한다. SDN 기술을 이용하면 서비스 제공자가 가상적으로 분리된 네트워크 자원을 서비스의 특성과 상황에 따라 동적으로 제어할 수 있다.   API(Application Programming Interface): API는 응용 프로그램 개발 시 운영체제나 프로그래밍 언어 등에 있는 라이브러리를 이용할 수 있도록 규칙 등을 정의해 놓은 인터페이스인데 프로그램들이 사용하기 귀찮은 일들은 운영체제가 처리하도록 만드는 것이다. 하지만 API 보안을 제대로 하지 못하면 데이터 유출 사고가 발생할 수 있다.   SDP(Software-Defined Perimeter): VPN을 보완할 차세대 보안 기술로 제로 트러스트 기반 소프트웨어 정의 경계(SDP)가 주목받고 있다. SDP는 서버를 은폐해 해커의 침입을 원천적으로 막고 허가된 사용자에게만 접근을 허용하는 신개념 보안 기술이다. VPN이 서버 접속 후 인증을 거쳐 사내망에 접속한다면 SDP는 반대로 인증을 거쳐야 서버에 닿을 수 있어 보안성이 높다.   SD-WAN(Software-Defined Wide Area Networking): SD-WAN은 SDN(소프트웨어 정의 네트워크)에 기반해 WAN 영역까지 확장한 개념으로 MPLS(Multi-Protocol Label Switching)의 강력한 대항마로 급부상하고 있다. MPLS에 비해 SD-WAN이 부상하는 이유는 기존의 브로드밴드 회선을 사용해 대역폭을 대폭 향상할 수 있으며 여러 망을 언더레이(Underlay, 오버레이 네트워크가 구축되는 물리적 네트워크)로 두어서 가용성이 개선되고 프로비저닝, 설정 변경을 중앙의 서버에서 일괄적이고 자동으로 수행할 수 있어 빠르면서도 운영비용을 상당히 절감할 수 있기 때문이다.   사이버 복원력(Cyber resilience): 초연결사회에서 작동하고 있는 주요 정보시스템들은 사이버 공격을 받고 있는 상황에서도 그 핵심 기능이 작동해야 하며, 침해당한 부분도 자기 치유를 통해 회복되어야 하기 때문에 사이버 복원력의 중요성이 커지고 있다. 사이버 복원력은 침해 사고를 완벽하게 통제할 수 없기 때문에 사고 시 정상 비즈니스로 빠르게 돌아오는 회복 탄력성을 높이는 것을 뜻한다. 사이버 보안 정책에 국한되는 것은 아니며 전체 비즈니스 관점에서의 연속성을 보장하는데 초점을 맞춘다.