[디지털데일리 이종현기자] “많은 분들이 오해하는 것이, 클라우드 서비스 제공자(CSP)가 당연히 보안을 모두 챙겨줄 것이라고 생각하는 것입니다. 이는 반은 맞고, 반은 틀린 이야기입니다. 클라우드 환경에서의 보안은 CSP와 사용자가 영역을 나눠 공통으로 책임지는 ‘책임 공유’ 모델이며, 사용자 역시 스스로 보안을 챙겨야 합니다.”(권오훈 LG CNS 책임)

21일 LG CNS 권오훈 책임은 <디지털데일리>가 20일부터 21일까지 이틀간 개최하는 차세대 기업 보안 버추얼 컨퍼런스 [NES 2022]의 둘째날 발표자로 나서서 이같이 밝혔다.

시장조사기관 가트너는 2023년까지 발생하는 99%의 클라우드 보안 실패는 고객사의 잘못에 의한 것이라고 표현했다. 이는 CSP와 클라우드 이용 기업이 보안 책임을 공유하는 책임 공유 모델에 의한 것이다.

권 책임은 “클라우드 환경에서의 보안은 인프라/플랫폼/소프트웨어(IaaS/PaaS/SaaS) 등 유형에 따라 책임의 범위가 CSP와 고객에게 분산된다. 클라우드 이용자는 클라우드 보안의 특징을 살피고, 스스로 챙겨야 하는 보안 영역을 정의해야 한다”고 말했다.

전통적인 온프레미스 환경의 보안은 데이터를 중심으로 레이어별 계층을 이루는 형태로 보안을 구성했다. 데이터, 서버/데이터베이스(DB), 네트워크, 물리보안(데이터센터)로 구분된다. 클라우드 보안도 이와 유사하다. 데이터 보안, 워크로드(서버/DB) 보안, 가상 네트워크 보안이 요구된다.

차이점은 온프레미스에서의 물리보안이 클라우드에서는 가상환경 관리 보안이라는 개념으로 치환됐다는 점이다. 클라우드 자원 생성과 같은 과정에서 보안 설정에 대한 안정성 검증, 계정 관리, 모니터링 등에 대한 역할이 가상환경 관리 보안에 포함된다.

권 책임은 “온프레미스에서의 보안은 중요 정보를 중심으로 겹겹이 보호하는 ‘성곽’ 모델이다. 통제된 공간에서, 통제된 인원이, 통제된 장비를 통해 자원에 접근하는 것을 허용했다. 하지만 클라우드에서는 보안사고를 예측하고, 선제적으로 대응해 예방하는 체계로 변하고 있다”고 전했다.

이어서 그는 “결국 클라우드로의 전환은 환경 변화에 따른 새로운 접근방식과 이해가 필요하다. 아무것도 믿지 않는, 제로 트러스트(Zero Trust) 모델에 주목해야 한다”며 “신뢰 기반의 경계를 구성하고, 신뢰가 검증된 주체만 접근토록 하며, 접근자의 행위 중심으로 보안 위협 대응을 수행하는 제로 트러스트 모델을 적용해야 한다”고 강조했다.

LG CNS는 금융·제조·유통 등 여러 산업군에 걸쳐 클라우드 프로젝트에 참여, 클라우드 보안에 대한 레퍼런스를 구축해왔다는 점을 무기로 내세웠다. 이를 바탕으로 클라우드 보안 컨설팅부터 시스템 구축, 솔루션 공급, 보안관제까지 클라우드 보안의 라이프사이클 전체를 아우르는 토털 서비스 ‘시큐엑스퍼(SecuXper)’를 개발해 제공하고 있다.

또 LG CNS는 아마존웹서비스(AWS), 마이크로소프트(MS) 애저(Azure), 구글 클라우드 플랫폼(GCP), 오라클 등 글로벌 CSP와도 파트너십을 유지하며 클라우드 보안 협력을 추진 중이다. AWS와는 시큐리티 컴피턴시 영역 중 국내 최초로 시큐리티 엔지니어링 분야 보안 역량 인증을 획득한 바 있다.

권 책임은 “왜 LG CNS냐는 물음에, LG CNS는 클라우드 컨설팅부터 운영관리, 보안까지 전 프로세스에 대한 다양한 경험을 쌓은 기업이라고 답해드린다”며 “취약점 진단부터 맞춤형 솔루션 제안, 도입, 운영, 관제까지 클라우드 보안 전 영역을 지원하는 LG CNS의 클라우드 보안 서비스를 경험해 보시기를 권해드린다”고 피력했다.