Offcanvas

보안 / 오픈소스 / 클라우드

“오픈소스 보안 강화·제로트러스트 구축 간소화” 구글 클라우드, 새 서비스 공개

2022.05.18 Michael Cooney  |  Network World
구글 클라우드(Google Cloud)가 오픈소스 소프트웨어 보안, 제로트러스트 아키텍처 구축 간소화 등의 문제를 해결하는 새로운 보안 서비스를 공개했다. 

연례 구글 클라우드 시큐리티 서밋(Google Cloud Security Summit)에서 구글 클라우드는 새 서비스가 기업을 포함한 여러 고객이 가장 많이 쓰는 도구와 서비스의 보안을 강화하는 ‘인비저블 시큐리티(Invisible Security)’ 이니셔티브를 기반으로 한다고 밝혔다. 
 
ⓒGetty Images Bank

먼저 ‘어슈어드 오픈소스 소프트웨어(Assured Open Source Software; Assured OSS)’라는 서비스는 기업들이 오픈소스 종속성을 쉽게 관리할 수 있도록 하는 것을 목표로 한다. 구글 클라우드 시큐리티의 부사장 겸 총괄 책임자 수닐 포티는 “오늘날 오픈소스 소프트웨어의 보안 취약점을 패치하는 일은 위험한 두더지 잡기 게임처럼 느껴진다. 예를 들어 1개를 수정하면 2개가 갑자기 튀어나오기 때문”이라며, “이는 오픈소스 소프트웨어(OSS) 업체를 겨냥한 사이버 공격이 2020년부터 2021년까지 650% 증가했다는 보안 소프트웨어 회사 소나타입(Sonatype)의 연구 결과에서도 알 수 있다”라고 말했다. 

구글에 따르면 ‘어슈어드 OSS’를 통해 오픈소스 소프트웨어를 쓰는 기업 사용자는 구글이 사용하는 것과 동일한 OSS 패키지를 자체 환경에 통합할 수 있다. 구글에서 큐레이션하는 이 패키지는 정기적으로 스캔, 분석, 취약점 테스트를 거치며, 구글이 보호하는 아티팩트 레지스트리(Artifact Registry)를 통해 배포된다고 포티는 설명했다. 현재 깃허브를 통해 500개 이상의 패키지를 사용할 수 있다. 

이어서 그는 “계속해서 OSS 취약점을 찾고 있는 구글의 스케일은 모든 기업이 구축 및 운영하기 어려운 규모일 것”이라면서, “일반적으로 사용되는 오픈소스 프로젝트 중 550개를 계속 퍼징하고 있으며, 2022년 1월 기준으로 해당 프로세스는 3만 6,000개 이상의 취약점을 발견했다”라고 덧붙였다. 어슈어드 OSS 서비스는 2022년 3분기 프리뷰로 제공될 예정이다. 

한편 제로트러스트와 관련해 구글은 기업 고객이 제로트러스트 환경 구축을 (쉽고 빠르게) 시작할 수 있도록 하는 ‘비욘드코프 엔터프라이즈 에센셜(BeyondCorp Enterprise Essentials)’을 발표했다. 이 새로운 솔루션은 SaaS 애플리케이션 또는 SAML(Security Assertions Markup Language)을 통해 연결된 앱의 맥락 인식 접근 제어를 제공한다. SAML은 연합 웹 서비스 환경에서 실시간 인증 및 권한 부여를 지원하는 XML 기반 프로토콜이다. 아울러 크롬 브라우저에 통합된 위협 및 데이터 보호 기능(예: 데이터 손실 방지, 맬웨어 및 피싱 방지, URL 필터링 등)도 지원한다. 

그는 “이는 특히 ‘BYOD’ 환경에서 일하는 직원들을 보호하는 간단하고 효과적인 방법이다. 관리자는 크롬 대시보드를 사용하여 관리되지 않는 기기에서의 안전하지 않은 사용자 활동에 관해 가시성을 얻을 수 있다”라고 전했다. 

비욘드코프 엔터프라이즈에는 방화벽을 열거나 사이트 간 VPN을 연결할 필요 없이 애저 또는 AWS 등 다른 클라우드에서 실행되는 앱 연결을 간소화하는 앱 및 클라이언트 커넥터도 있다고 포티는 언급했다. 그는 “이 클라이언트 커넥터는 온프레미스 또는 다른 클라우드에서 호스팅되는 비-http, 팻 클라이언트 애플리케이션에 제로트러스트 접근을 가능하게 한다”라고 설명했다. 

이 밖에 소개된 새로운 보안 도구와 서비스는 다음과 같다. 

• 시큐리티 파운데이션(Security Foundation)은 기업이 구글 클라우드의 보안 기능을 쉽게 도입할 수 있도록 지원하는 기능이다. 이를 통해 고객은 데이터 보호, 네트워크 보안, 보안 모니터링, 기타 기능 설정 등 구글 지침에 액세스할 수 있다. 

• 구글의 위험 관리 플랫폼 ‘시큐리티 커맨드 센터(Security Command Center)’를 지원하는 새로운 사용자 정의 탐지 기능을 통해 고객은 자체적인 탐지 규칙을 추가하고, 특정 요구사항에 따라 구성 검사를 할 수 있다. ciokr@idg.co.kr

 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.