디지털 전환이 시도되기 이미 오래 전부터 이미 기업의 많은 자산과 역량이 디지털화되는 수순을 밟고 있다. 그리고 최근에는 클라우드 전환이 시도되면서 이런 디지털화 과정이 빠르게 가속화되고 있는 모습을 보이고 있다.
따라서 이런 디지털화된 기업의 주요 자산을 보호하는 것이 기업의 경쟁력과 심지어 생존에까지 영향을 주는 상황이 되고 있다. 하지만 이렇게 시시각각 변화하고 있는 기업의 디지털 환경에 대한 보안을 확보하고 운영하는 것이 결코 쉬운 일은 아니며, 클라우드는 이런 보안 환경 구축을 더욱 어렵게 만들고 있다.
더구나 기업들은 클라우드 환경에서의 보안에 대한 전문 인력이나 기술력을 확보하지 못하고 있는 상황이 지속되면서 기업들의 보안 환경은 나날이 악화되고 있다. 이에 클라우드를 비롯한 기업 전반에 걸친 보안 환경을 확인하고 평가해 취약점을 파악하고 사전에 대처할 수 있는 방법을 제시하는 클라우드 보안 툴에 대한 요구가 증가하고 있다.
클라우드 보안 상황 한 눈에
클라우드 보안 상황을 한눈에 점수로 확인하는 CSPM(Cloud Security Posture Management) 플랫폼인 ‘옵스나우360 시큐리티(OpsNow360 Security)’은 멀티클라우드 환경의 자산 설정 상태를 지속적으로 모니터링해 취약점을 개선하고 광범위한 위험을 탐지·예방하기 위한 솔루션이다.
옵스나우360 시큐리티는 멀티 클라우드 환경을 지원해, AWS, 마이크로소프트 애저, 구글 GCP 등 주요 CSP들의 서로 다른 보안 수준을 동일한 기준과 통합적인 관점에서 관리할 수 있다.
또한 자동화된 클라우드 보안 구성 진단 기능을 제공해, 베스트 프랙티스를 기반으로 구성 취약점을 진단, 분석하고 조직의 클라우드 환경에서 발생할 수 있는 보안 약점을 탐지하고 알려준다. 또한 탐지된 클라우드 보안 취약점이나 정책 위반 사항에 대한 자세한 정보와 조치 방법을 한글로 알기 쉽게 표기해 제시함으로써, 누구나 쉽게 바로 조치할 수 있도록 돕는다.
ISMS(Information Security Management System)등 컴플라이언스 관리 또한 지원해, 조직의 클라우드 보안 운영 상황에 적합한 컴플라이언스와 세부 보안 정책을 선택적으로 적용할 수 있다. 보안 정책은 조직이 원하는 보안 수준에 따라 컴플라이언스 권고 수준으로 일괄 적용 또는 개별 적용할 수 있다.
옵스나우360 시큐리티의 가장 큰 특징 중 하나는 보안 점수와 보안 가시화다. 컴플라이언스 준수 현황을 가시화하여 주요 보안 현황과 이슈 사항을 점수화, 한눈에 클라우드 보안 목표와 수준을 관리할 수 있다. 대시보드를 통해 주요 보안 현황과 이슈 사항을 한눈에 알아볼 수 있다.
이외에도 이상 행위 탐지 기능으로 행위 로그(누가, 언제, 어디서, 무엇을 변경했는지) 기반 보안 위험을 예측하고, 유사시 어떠한 방법으로 어떻게 침입했는지를 알 수 있어 정확한 공격 방식을 파악할 수 있다.
ISMS-P 기반의 취약점 점검뿐 아니라 정책 커스터마이징을 통해 국내 기업의 내부 컴플라이언스 문제를 해결할 수 있으며, 매월 새로운 정책을 개발해 옵스나우360 시큐리티에 반영함으로써 빠르게 발전하고 있는 클라우드 환경의 변화에 대응해 나갈 수 있게 한다.
제로 트러스트 기반 보안 서비스 구현
‘제로 트러스트 보안’은 '아무것도 신뢰할 수 없기 때문에 항상 검증한다'는 기본 전제를 바탕으로 보안 환경을 구현하는 것을 의미한다. 베스핀글로벌은 클라우드 환경에서의 원격 근무 환경을 위한 보안 체계로 '제로 트러스트 보안'을 적용하고, 접속하는 모든 구성 요소인 사용자, 단말기, 네트워크, 워크로드, 감사에 대한 보안 정책과 솔루션을 제시하고 있다. 이를 위해 등록된 사용자와 디바이스만 신뢰할 수 있는 네트워크에서 접속이 가능하도록 설정하고, 모든 행위에 대한 로그를 저장하고 감사할 수 있는 보안 환경을 구축하고 있다.
특히 베스핀글로벌은 글로벌 솔루션들과 제로트러스트 얼라이언스를 구축해, 통합 상품을 제공하고 있다. IDP(Identity Provider)는 '옥타(Okta)', SASE(Secure Access Service Edge)는 '지스케일러(Zscaler)', EDR(Endpoint Detection & Response)은 '크라우드스트라이크(CrowdStrike)' 등 다수의 글로벌 보안 기업과 협업을 통해, 급증하는 보안 위협에 대면한 고객에게 가장 효과적인 제로 트러스트 보안 구축 방안을 제시하고 있다.
보안 정책 점검과 보고서 작성 자동화
다수의 관계사를 보유한 엔터프라이즈 기업 A사는 클라우드 보안 지침을 마련해 이를 준수하고 정기적으로 점검하는 방식을 채택하고 있었다.
그러나 계정당 2~3주라는 많은 시간이 소요돼, 동시에 여러 계정을 점검할 시간적 여유가 부족했을 뿐 아니라 점검 후 보고서 작성 등의 업무 때문에 보안 담당자들이 생산적인 활동에 어려움을 겪고 있었다.
A사는 옵스나우360 시큐리티를 도입함으로써, 각 계정별 클라우드 보안 정책 점검과 보고서 작성을 일괄적으로 자동화할 수 있었다. 동시에 수백 개의 계정을 30분 만에 점검하고 보고서를 확인할 수 있었으며, 더불어 보안 운영 관리 비용도 혁신적으로 절감할 수 있었다. 보안 담당자들은 주요 문제에 집중할 수 있어, 보안 수준이 크게 향상됐다. 특히 기존에는 관리가 어려웠던 관리 사각지대(Gray Zone)까지도 관리 영역으로 포함할 수 있었다. 또한 보안 정책 항목을 기존의 2.5배로 확장했으며, 각 프로젝트를 세분화해 보안 점수 관리가 가능해졌다.
30년간 한 분야에서 전문성을 인정받고 있는 국내 기업 B사는 몇 년 전, 클라우드로의 전환을 결정하며 보안 아키텍처를 설계 단계부터 고려했다.
보안 안정성을 세심하게 확인하며 시스템을 구축해 나감으로써 보안에 대한 고려 없이 구축된 클라우드 인프라와는 달리, 운영 중에 보안 정책을 적용하고 준수하는 것이 용이했다. 또한 보안을 우선 고려하였기 때문에 보안 정책의 추가나 변경에도 어려움이 적었다.
B사는 현재 옵스나우360 시큐리티가 제공하는 새로운 보안 정책을 바탕으로 점수를 지표로 삼아 최신 보안 업데이트를 쉽게 적용하고 준수 여부를 모니터링하고 있다. B사는 옵스나우360 시큐리티가 제시하는 보안 점수가 현재 보안 상황에 대한 지표라고 보고, 이 보안 점수를 유지하는 데 초점을 맞추고 클라우드 환경을 운용하고 있다.
설정 오류 탐지로 보안 위협 최대 80% 예방
옵스나우360 시큐리티는 누락 없는 설정 오류 탐지로 클라우드 구성에서 발생할 수 있는 보안 위협의 최대 80%를 예방할 수 있다. 15~60분 이내에 주요 자산의 구성을 지속적으로 평가해, 취약한 자산을 가시화하기 때문에 빠른 설정 오류 탐지가 가능하다.
옵스나우360 시큐리티를 도입함으로써 정책 수립과 보안 개선에 대한 기술 지원, 솔루션 운영 등에 소요되는 비용을 4배 이상 절감할 수 있다. 또한 신규 정책과 기능을 정기적으로 배포하기 때문에 새로운 취약점에 빠르게 대응할 수 있다. 컴플라이언스 준수, 감사 로그 분석, 리포트 작성 등에 소요되는 보안팀의 업무도 기존의 1/10 이하로 줄여주면서 효율성을 10배 이상 상승시킬 수 있다고 주장한다.
베스핀글로벌은 자체 개발 보안 솔루션인 옵스나우360 시큐리티와 글로벌 파트너사들의 서비스를 활용해 제로 트러스트 환경을 구축한다. 정책에 의거한 지속적 신원 검증을 통해 재택근무나 원격근무 등 다양한 근무 형태와 상관없이 언제 어디서든 강력한 보안 환경을 제공한다. 즉각적 배포와 확장성 역시 특징이며, 중앙화된 제어로 사용자부터 어플리케이션에 이르기까지 엔드투엔드(End-to-End) 모니터링을 보장한다.
클라우드 네이티브 보안 기술과 전략 지원할 것
베스핀글로벌은 클라우드의 전 영역을 아우르는 제로트러스트 기반 통합 보안 서비스를 제공하며 디지털 전환 시대에 적합한 새로운 클라우드 보안의 필요성을 강력히 천명해 왔다.
국내외 최고의 보안 기업들과 클라우드 네이티브 보안 얼라이언스를 구축한 베스핀글로벌은 올해 클라우드 보안 사업을 역점 과제로 삼고 보안 상품의 고도화 등 통합 보안 경쟁력 향상에 매진할 예정이다.
클라우드 전문 역량과 전체적 시야를 모두 보유한 강점을 발휘하여 기업에 가장 필요한 클라우드 네이티브 보안 기술과 전략을 모두 지원할 것이다. 또한 파트너 기업과의 연대를 바탕으로 시장에 베스트 프랙티스를 지속적으로 제시하고 고객과의 접점 확대를 위해 공격적 행보를 펼칠 계획이다.