[디지털데일리 김보민 기자] 구축형 중심의 소프트웨어(SW) 생태계가 클라우드 기반의 서비스형 소프트웨어(SaaS)로 전환되면서 떠오른 개념이 있다.

바로 '애플리케이션 현대화'(Application Modernization)다. 다양해진 비즈니스 니즈에 발맞춰 기존 레거시 시스템을 최신 기술로 업데이트하고 최적화할 필요가 커진 것이다.

이러한 흐름 속 기업들이 SaaS 도입을 꾀할 때 '보안'에 무게 추를 두고 전문 파트너와 협업해야 한다는 주장이 나왔다.

22일 최광호 안랩 클라우드사업본부장은 서울 중구 전국은행연합회에서 <디지털데일리>가 주최한 'SaaS 고도화 전략 컨퍼런스'에 참석해 "SaaS 도입을 망설이는 기업들의 가장 큰 고민은 보안"이라고 강조했다.

최 본부장은 SaaS 도입 과정에서 ▲컴플라이언스 준수 미비 ▲데이터 유출 ▲가시성 저하 ▲기업/조직의 평판 하락 ▲사용자 이탈 등이 발생할 가능성이 있는데, 이 모든 것이 '보안' 요소와 맥을 같이 한다고 설명했다.

보안 이슈를 최소화하기 위해 고려해야 할 사항들도 소개했다.

최 본부장은 "데이터가 유출이 되더라도 문제가 없도록 데이터를 암호화하는 게 중요하다"라며 "(SaaS 적용으로) 다양해진 데이터 접근 경로를 제어할 수 있는 기능도 적용돼야 한다"라고 말했다.

이어 "내가 데이터를 얼마나 적재했는지, 얼마나 사용하고 있는지에 대한 가시성이 떨어질 수 있기 때문에 SaaS 공급 기업에게 이 부분을 명확하게 물어볼 수 있어야 한다"라고 제언했다.

그러면서 "SaaS 업체 내부자 관리 소홀, 사용자 설정 오류 등으로 인한 위협이 늘 상존해 있다는 점 또한 기억해야 한다"라고 말했다.

보안 이슈가 발생한 이유 해결 방안을 찾는 게 아니라, SaaS를 도입하고 애플리케이션 현대화를 적용하는 과정에서 미리 예방책을 마련해야 한다는 것이다.

최 본부장은 이러한 과정을 추진할 때 MSP(Managed Service Provider) 등 전문 중간 관리자의 역할이 중요하다고 말했다.

그는 중간 관리자가 명심해야 할 보안 요소로 ▲SaaS 보안 가이드 개발 ▲SDLC를 통한 보안 내재화 ▲안전한 배포 방안 구현 ▲자동화된 백업 방안 구현 ▲다양한 보안 제어 구현 등을 꼽았다.

특히 컨테이너 보안 이슈에 주목해야 한다고 강조했다.

런타임(컨테이너를 다루는 도구) 또는 운영체제의 취약성을 악용하거나, 공격자가 컨테이너 이미지에 악성코드를 삽입할 우려가 있다는 것이다. 이에 따라 런타임을 통해 컨테이너의 환경 설정을 관리하는 '쿠버네티스' 또한 보안 이슈에서 자유롭지 않다고 설명했다.

최 본부장은 "클라우드를 위한 여정에 인피니티 스톤을 가진 아이언맨은 없다"라며 "결국 안전한 SaaS를 구축하기 위해서는 보안 전문가의 도움이 필수적"이라고 강조했다.