클라우드 보안 기업 아스트론시큐리티 조근석 대표가 지난 16일 열린 제18회 국제 시큐리티 콘퍼런스(ISEC 2024)에서 '공공 대상 국가 클라우드 컴퓨팅 보안 가이드라인'을 주제로 발표를 진행했다.
이날 조 대표는 공공기관의 클라우드 네이티브 전환 사업이 활발히 진행됨에 따라 CNAPP(클라우드 네이티브 보안)의 중요성이 더욱 커지고 있음을 강조했다. 조 대표는 클라우드 네이티브 환경의 주요 위협으로 △내부자 위협 △사용자 설정 오류 △불충분한 액세스 관리 등을 들며, 클라우드 네이티브 환경은 구성 자체가 매우 복잡하여, 자산, 계정, 컨테이너 등 여러 영역에 걸쳐 취약점이 존재한다고 설명했다. 이에 대응하기 위해 "CSPM(클라우드 인프라 구성 오류 탐지), CIEM(클라우드 계정 및 권한 보안), CWPP(클라우드 워크로드 보안) 등의 보안 핵심 기능을 포괄적으로 지원하는 CNAPP 구축이 필수적"이라고 말했다.
조 대표는 "정부에서 클라우드 네이티브 위협에 대응하기 위해 지난해 1월 '국가 클라우드 컴퓨팅 보안 가이드라인'을 발표했으나, 복잡하고 다양한 보안 요구사항으로 인해 전환 사업 진행 시 해당 가이드라인이 지켜지는 사례는 매우 드물다"며 "이를 해결하기 위해선 CNAPP 관점에서 구체적인 보안 요구사항을 제시하고, 이를 가이드라인 및 사업 RFP에 반영해야 한다"고 강조했다.
조 대표는 "공공기관의 안전한 클라우드 네이티브 환경 구축을 위해서는 사업 초기 단계에서 공공 클라우드 보안 가이드라인에 부합하는 CNAPP 설계를 반드시 함께 고려해야 한다"며, "이번 강연을 계기로 공공기관의 클라우드 네이티브 보안에 대한 관심이 더욱 높아지길 바란다"고 밝혔다.
이미나 한경닷컴 기자 helper@hankyung.com