2014.10.07

희미해지는 경계 속 대안은?··· 클라우드 보안 벤더가 주목받는 이유

Brandon Butler | Network World
많은 장점이 있는 클라우드 컴퓨팅이지만, 그만큼 새로운 보안 위협을 안겨주고 있다.

“보안 관점에서 보면 클라우드는 새로운 걱정거리들을 안겨준 달갑지만은 않은 손님이다”라고 웨스턴 유니언(Western Union)의 정보 보안 디렉터 데이빗 르빈은 표현했다. 그는 송금 회사에서 사용하는 애플리케이션 보안을 감독하고 있다.

르빈은 이어 위험에 대응하는 첫 단계가 있다며, 얼마만큼 많은 위험이 존재하는가, 특히 어떤 클라우드 서비스를 이용하고 있는가를 파악하는 것이라고 말했다.

르빈은 클라우드 액세스 시큐리티 브로커(CASB, Cloud Access Security Brokers)라 불리는 신흥 시장 중에서도 스카이하이 네트웍스(Skyhigh Networks)라는 벤더에 주목했다.



CASB 시장은 엔드 유저와 클라우드 서비스 중간 위치에 있는 시장으로 둘 사이의 보안 프로토콜을 책임진다. 가트너에 따르면 이 시장은 2015년까지 31억 달러 규모로 성장할 것으로 추정된다.

르빈은 스카이하이를 통해 직원들이 어떤 앱을 사용하고 있는지, 어떤 앱이 적절한 보안 대책을 지니고 있는지 파악할 수 있었다고 전했다.

“기업들은 자신도 모르는 사이에 클라우드로 흘러 들어가는 것들이 많음을 알고 있다. CAC는 그런 문제에 대한 시야를 제공해 준다”라고 451 리서치 그룹의 보안 애널리스트 애드리안 사나브리아는 말했다. 451 리서치 그룹에서는 이 시장을 CAC(Cloud Access Control) 시장이라 부른다.

문제는 동시에 일어나고 있는 두 가지 주요 트렌드에 있다. 하나는 기업 방화벽 바깥에 존재하는 클라우드 기반 서비스 및 애플리케이션의 사용이 늘어나고 있다는 것이다. 세일즈포스닷컴, 드롭박스, 구글 앱스 및 아마존 웹 서비스 등이 그것들이다.



게다가 직원들은 보통 회사 노트북이나 개인 스마트폰에서 이들 사이트에 접속한다. 덕분에 “기업의 경계가 희미해지는” 상황이 발생하게 됐다고 사나브리아는 말했다.

방화벽으로 안전하게 보호되는 기업 네트워크 상에서 이런 일을 한다면 문제가 없다. 그렇지만 근처 커피샵에서, 혹은 공용 와이파이를 이용하거나 집에서 일을 하면서 접속한다면?

물론 VPN 터널을 사용해 모든 트래픽이 회사 방화벽을 통과하도록 할 수도 있지만 그건 너무 실행하기 어렵고 우회하는 길도 많다.

CASB는 바로 여기서 빛을 발한다. 이들 회사 대부분은 유저와 클라우드 서비스 사이에 위치한 SaaS와 같은 가벼운 서비스들을 제공한다. CASB는 아무 클라우드 앱을 컨트롤 할 수 있는 프록시를 가지고 있다. 즉 스카이하이와 같은 서비스가 세일즈포스닷컴에 적용될 경우 유저가 세일즈포스에 로그인 하면 스카이하이가 프록시가 되어 유저가 세일즈포스에서 어떤 작업을 하는지 모니터링 하게 될 것이다. 어디서 접속하는 것이든 상관 없이 말이다.

넷스코프(Netskope)와 같은 다른 벤더들은 유저의 기기에 에이전트를 설치하여 그 기기에서 다른 클라우드 앱으로 송출되는 모든 트래픽을 감시한다. 그런가 하면 자동 트래픽 리포트를 보내 네트워크 활동을 감시하는 서비스도 있다.

기존의 방화벽은 어떤 직원이 드롭박스를 사용할 경우 이를 IT에 알리는 것이 전부였지만, CASB는 업로드 또는 다운로드 되는 파일이 무엇인지까지 알려준다. 일부 CASB 제품 중에는 SaaS 어플리케이션으로 보내기 전에 데이터를 암호화 하는 것도 있다.

예를 들어 사회 보장 번호가 포함된 파일에 누군가가 액세스를 할 때마다 트래픽을 암호화 해야 한다고 규칙을 설정해 놓는 것이다.

파이어레이어스(FireLayers)같은 벤더들은 기존 애플리케이션에 다른 기능을 추가하기도 한다. 특정 문서에 있어 읽기 전용 권한을 준다거나, 문서에 변경 사항이 있을 경우 이중 인증 방식을 취한다거나 하는 식이다.

이러한 기능들을 사나브리아는 ‘보안의 관문’이라 부른다. 그는 “이러한 기능들 덕분에 SaaS 앱이 더욱 기업에 맞는 형태가 된 것이다. 특히 PCI나 HIPAA 컴플라이언스와 관계가 있기 때문이다”라고 말했다.

웨스턴 유니언의 르빈은 유저들이 어떤 작업을 할 수 있는지 알게 된 것만으로도 충분히 가치 있었다고 전했다. 스카이하이를 통해 직원들의 트래픽을 모니터링 하게 되면서 르빈은 직원들이 공유 서비스와 파일 동기화 기능을 많이 사용함을 알게 됐다. 그리고 이를 통해 IT 팀에서 직접 서비스를 제공할 필요가 있음을 알게 됐다.

웨스턴 유니언은 자칭 ‘드롭박스의 유력한 경쟁자’인 아셀리언(Accellion)을 사용하고 있다. 웨스턴 유니언 정보 보안 실행(Western Union Information Security Enablement), 또는 WISE라 불리는 새 프로그램과 함께 아셀리언을 사용하게 되면서 직원들은 파일 동기화나 공유, 저장 등을 아셀리온을 통해 할 수 있게 됐다.

만일 사용자가 드롭박스와 같은 플랫폼에 액세스 하려 할 경우 스카이하이가 팝업 창을 띄워 아셀리언을 대신 이용할 것을 권장한다. 이후 허가 받지 않은 서비스를 이용하는 횟수가 급격히 줄어들었다.

웨스턴 유니언은 아셀리언과 함께 오크타(Okta)를 사용하고 있다. 오크타는 아이덴티티 매니지먼트 및 사인-온 플랫폼이다. 르빈은 “우리는 그저 사람들이 현명한 결정을 내리는 걸 도와 줄 뿐이다. 거기에 덧붙여 생산적 작업을 가능케 할 툴도 몇 가지 제공한다”라고 말했다. ciokr@idg.co.kr



2014.10.07

희미해지는 경계 속 대안은?··· 클라우드 보안 벤더가 주목받는 이유

Brandon Butler | Network World
많은 장점이 있는 클라우드 컴퓨팅이지만, 그만큼 새로운 보안 위협을 안겨주고 있다.

“보안 관점에서 보면 클라우드는 새로운 걱정거리들을 안겨준 달갑지만은 않은 손님이다”라고 웨스턴 유니언(Western Union)의 정보 보안 디렉터 데이빗 르빈은 표현했다. 그는 송금 회사에서 사용하는 애플리케이션 보안을 감독하고 있다.

르빈은 이어 위험에 대응하는 첫 단계가 있다며, 얼마만큼 많은 위험이 존재하는가, 특히 어떤 클라우드 서비스를 이용하고 있는가를 파악하는 것이라고 말했다.

르빈은 클라우드 액세스 시큐리티 브로커(CASB, Cloud Access Security Brokers)라 불리는 신흥 시장 중에서도 스카이하이 네트웍스(Skyhigh Networks)라는 벤더에 주목했다.



CASB 시장은 엔드 유저와 클라우드 서비스 중간 위치에 있는 시장으로 둘 사이의 보안 프로토콜을 책임진다. 가트너에 따르면 이 시장은 2015년까지 31억 달러 규모로 성장할 것으로 추정된다.

르빈은 스카이하이를 통해 직원들이 어떤 앱을 사용하고 있는지, 어떤 앱이 적절한 보안 대책을 지니고 있는지 파악할 수 있었다고 전했다.

“기업들은 자신도 모르는 사이에 클라우드로 흘러 들어가는 것들이 많음을 알고 있다. CAC는 그런 문제에 대한 시야를 제공해 준다”라고 451 리서치 그룹의 보안 애널리스트 애드리안 사나브리아는 말했다. 451 리서치 그룹에서는 이 시장을 CAC(Cloud Access Control) 시장이라 부른다.

문제는 동시에 일어나고 있는 두 가지 주요 트렌드에 있다. 하나는 기업 방화벽 바깥에 존재하는 클라우드 기반 서비스 및 애플리케이션의 사용이 늘어나고 있다는 것이다. 세일즈포스닷컴, 드롭박스, 구글 앱스 및 아마존 웹 서비스 등이 그것들이다.



게다가 직원들은 보통 회사 노트북이나 개인 스마트폰에서 이들 사이트에 접속한다. 덕분에 “기업의 경계가 희미해지는” 상황이 발생하게 됐다고 사나브리아는 말했다.

방화벽으로 안전하게 보호되는 기업 네트워크 상에서 이런 일을 한다면 문제가 없다. 그렇지만 근처 커피샵에서, 혹은 공용 와이파이를 이용하거나 집에서 일을 하면서 접속한다면?

물론 VPN 터널을 사용해 모든 트래픽이 회사 방화벽을 통과하도록 할 수도 있지만 그건 너무 실행하기 어렵고 우회하는 길도 많다.

CASB는 바로 여기서 빛을 발한다. 이들 회사 대부분은 유저와 클라우드 서비스 사이에 위치한 SaaS와 같은 가벼운 서비스들을 제공한다. CASB는 아무 클라우드 앱을 컨트롤 할 수 있는 프록시를 가지고 있다. 즉 스카이하이와 같은 서비스가 세일즈포스닷컴에 적용될 경우 유저가 세일즈포스에 로그인 하면 스카이하이가 프록시가 되어 유저가 세일즈포스에서 어떤 작업을 하는지 모니터링 하게 될 것이다. 어디서 접속하는 것이든 상관 없이 말이다.

넷스코프(Netskope)와 같은 다른 벤더들은 유저의 기기에 에이전트를 설치하여 그 기기에서 다른 클라우드 앱으로 송출되는 모든 트래픽을 감시한다. 그런가 하면 자동 트래픽 리포트를 보내 네트워크 활동을 감시하는 서비스도 있다.

기존의 방화벽은 어떤 직원이 드롭박스를 사용할 경우 이를 IT에 알리는 것이 전부였지만, CASB는 업로드 또는 다운로드 되는 파일이 무엇인지까지 알려준다. 일부 CASB 제품 중에는 SaaS 어플리케이션으로 보내기 전에 데이터를 암호화 하는 것도 있다.

예를 들어 사회 보장 번호가 포함된 파일에 누군가가 액세스를 할 때마다 트래픽을 암호화 해야 한다고 규칙을 설정해 놓는 것이다.

파이어레이어스(FireLayers)같은 벤더들은 기존 애플리케이션에 다른 기능을 추가하기도 한다. 특정 문서에 있어 읽기 전용 권한을 준다거나, 문서에 변경 사항이 있을 경우 이중 인증 방식을 취한다거나 하는 식이다.

이러한 기능들을 사나브리아는 ‘보안의 관문’이라 부른다. 그는 “이러한 기능들 덕분에 SaaS 앱이 더욱 기업에 맞는 형태가 된 것이다. 특히 PCI나 HIPAA 컴플라이언스와 관계가 있기 때문이다”라고 말했다.

웨스턴 유니언의 르빈은 유저들이 어떤 작업을 할 수 있는지 알게 된 것만으로도 충분히 가치 있었다고 전했다. 스카이하이를 통해 직원들의 트래픽을 모니터링 하게 되면서 르빈은 직원들이 공유 서비스와 파일 동기화 기능을 많이 사용함을 알게 됐다. 그리고 이를 통해 IT 팀에서 직접 서비스를 제공할 필요가 있음을 알게 됐다.

웨스턴 유니언은 자칭 ‘드롭박스의 유력한 경쟁자’인 아셀리언(Accellion)을 사용하고 있다. 웨스턴 유니언 정보 보안 실행(Western Union Information Security Enablement), 또는 WISE라 불리는 새 프로그램과 함께 아셀리언을 사용하게 되면서 직원들은 파일 동기화나 공유, 저장 등을 아셀리온을 통해 할 수 있게 됐다.

만일 사용자가 드롭박스와 같은 플랫폼에 액세스 하려 할 경우 스카이하이가 팝업 창을 띄워 아셀리언을 대신 이용할 것을 권장한다. 이후 허가 받지 않은 서비스를 이용하는 횟수가 급격히 줄어들었다.

웨스턴 유니언은 아셀리언과 함께 오크타(Okta)를 사용하고 있다. 오크타는 아이덴티티 매니지먼트 및 사인-온 플랫폼이다. 르빈은 “우리는 그저 사람들이 현명한 결정을 내리는 걸 도와 줄 뿐이다. 거기에 덧붙여 생산적 작업을 가능케 할 툴도 몇 가지 제공한다”라고 말했다. ciokr@idg.co.kr

X