?상명대학교 / 서광규 교수
국내외 기업에서는 더 빠르고 탄력적인 서비스 제공을 위해 클라우드를 적극적으로 도입하고 있는데 이에 반해, 클라우드 보안의 중요성은 상대적으로 덜 고려하고 있다. 클라우드 환경에서서 발생하는 대표적인 보안 사고의 원인으로는 비정상적인 다운로드, 비정상적인 공유로 인한 데이터 유출시도, 비정상적인 로그인 등으로 인한 계정 탈취시도 등 다양하다. 클라우드 환경으로 편의성을 높아졌지만 기업에서 발생하는 모든 행위에 대하여 가시성을 확보하지 못해 어려움을 겪고 있다. 이처럼 클라우드 보안을 위해서는 여러 가지 측면에서 보안과 개인정보 체계를 확보해야 한다.
보안 업계는 이런 보안 이슈를 해결할 수 있는 대안으로 ‘클라우드 액세스 보안 브로커(CASB; Cloud Access Security Broker)’ 솔루션을 제시한다. CASB는 SaaS와 API 또는 프록시 방식으로 연동해 사용자 접근 통제 및 데이터 유출 방지, 모니터링 등의 기능을 제공한다. 클라우드 환경에서는 기존의 방식과 다른 새로운 보안 체계를 구축해야 한다. 클라우드 보안 트렌드 중 최근 관심 대상인 CASB의 주요기능과 비교방법 그리고 대표적인 글로벌 CASB 제공자의 동향을 살펴본다.
클라우드 액세스 보안 브로커 (CASB)의 개념
‘CASB’는 멀티 클라우드 사용자가 각 CSP가 제공하는 SECaaS를 사용할 경우 다양한 보안 서비스 공급자의 솔루션을 운영해야 한다는 이슈가 발생해, 이 대안으로 가트너에서 제시한 방식이다. 구체적으로 멀티 클라우드 서비스 이용자와 CSP 사이에 CASB를 배치하고 단일 통제 포인트를 설정해, 인증, 접근 제어, 데이터 유출방지, 로그 모니터링, 멀웨어 대응 등 클라우드 리소스에 대한 접근과 보안 정책을 적용하는 것을 한 예로 들 수 있다.
CASB의 등장은 멀티 클라우드 활용과 모바일 디바이스의 다양화가 큰 영향을 끼쳤다. 복수의 SaaS를 사용하면서 PC나 스마트폰, 태블릿 등을 이용하는 디바이스 종류가 늘어나고 있다. 또 사무실 이외에서 직접 클라우드 서비스를 이용하는 경우도 증가하고 있다. 이런 경우 기존의 방화벽과 같은 보안 솔루션으로는 보안과 거버넌스를 관리하는 데 어려움이 따르게 된다. 이는 기존의 경계 보안 모델로는 대응할 수 없으며, 기업 IT 담당자가 관리할 수 없는 섀도우(Shadow) IT가 증가하고 있다는 것을 의미한다.
이와 같은 문제를 해결하고 직원의 업무효율과 편리함까지 고려하면서 일관된 보안 정책을 준수해 클라우드를 이용할 수 있도록 지원하는 솔루션이 CASB다. 가트너는 CASB 개념을 제시하며 4가지 기준을 세웠다. CASB는 멀티 클라우드 보안을 위한 새로운 보안 계층(Layer) ▲가시성(Visibility) ▲규정 준수(Compliance) ▲데이터 보안(Data Security) ▲위협 방지(Threat Protection) 등 4가지 핵심 기능을 제공해야 한다.
[그림1] 클라우드 가시성 및 제어를 위한 CASB (출처: 가트너, 2017)
핵심 CASB 서비스
클라우드와 온-프레미스 장비가 혼재한다면, CASB를 반드시 이용하게 될 것이다. 다음의 3가지 기본 서비스는 CASB 제품이 공통으로 지원하는 것이고, CASB의 핵심 기능이며 CASB를 구매하는 이유이기도 하다.
- 고객의 가장 민감한 데이터 흐름을 모니터하고 제어: CASB는 원래 섀도우 IT를 최소화하고 SaaS 애플리케이션을 통제해 인프라를 더 안전하게 만들도록 설계됐다. 이제는 지원 분야가 더 확대돼 다양한 상황에서 쓰인다. 예를 들어 여러 클라우드 업체에 걸쳐 작동하거나 SaaS, 모바일, 온-프레미스 애플리케이션을 결합하는 것이 대표적이다.
- 모든 서버와 앱에 걸쳐 데이터 손실 방지(DLP) 정책을 동일하게 적용: 데이터가 늘어나면 고객과 회사의 기밀 정보가 누출되지 않도록 보장하는 더 진화된 방식이 필요하다. 데이터 손실은 악의를 가진 내부자나 부실한 보안 취약점을 통해 의도치 않게 일어날 수 있다. DLP 제품은 나온 지 여러 해가 됐다. CASB에 DLP 기능이 더해지면 잠재적 취약 지점을 추적하는 데 더 유용하다. 클라우드로 이전돼 권한 없는 모바일 기기에 의해 접근되는 데이터가 많아지고 있기 때문이다.
- 클라우드-네이티브 암호 키를 관리: 이론적으로 CASB는 고객의 암호화 요구와 암호 키를 자동으로 기억하고 있어야 한다. 이렇게 되면 고객이 수작업을 할 필요가 없어져 더 많은 데이터를 암호화할 수 있다. CASB 제품들은 저마다 우월한 점이 있다.
CASB의 역할
CASB는 클라우드 서비스 사용으로 인해 발생하는 제재되거나 허가되지 않은 많은 보안 문제에 대한 해결책을 제공한다. 데스크톱, 회사 네트워크, 알려지지 않은 네트워크를 사용하여 연결하는 모바일 장치 등 최종 사용자 간에 또는 클라우드 제공자 자체 API의 기능을 활용하여 이러한 작업을 수행한다.
다양한 CASB의 기능과 기능은 크게 다르지만 최소한 CASB가 조직에게 다음과 같은 기능을 제공해야 한다고 Gartner는 제안한다.
- 조직 전체의 클라우드 사용에 대한 가시성
- 모든 규제 요건 준수를 보장하고 입증하는 방법
- 클라우드에 데이터를 안전하게 저장하는 방법
- 클라우드 사용에 따른 보안 위험을 수용할 수 있도록 보장하는 만족스러운 수준의 위협 보호
실제로 이는 최소 CASB가 다음을 수행할 수 있어야 함을 의미한다.
- IT 부서에 "클라우드 투 클라우드" 사용을 비롯하여 허가되거나 허가되지 않은 클라우드 서비스 사용에 대한 가시성 제공
- 조직에서 사용 중인 모든 클라우드 서비스와 모든 기기 또는 위치에서 해당 서비스에 액세스하는 사용자에 대한 통합 보기 제공
- 클라우드 서비스에 대한 액세스 제어
- 관리자가 클라우드 서비스를 사용할 때 조직이 모든 관련 규정 및 표준(예: 데이터 상주)을 준수하는지 확인하도록 지원
- IT 부서가 클라우드 사용 및 클라우드 서비스에서 기업 데이터 사용에 대한 보안 정책을 설정 및 시행할 수 있도록 허용하고 감사, 경고, 차단, 검사, 삭제 및 기타 제어를 통해 적용
- 관리자가 클라우드에 저장된 데이터를 암호화하거나 토큰화할 수 있도록 지원
- DLP(데이터 손실 방지) 기능 제공 또는 기존 기업 DLP 시스템과의 인터페이스 제공
- 권한 없는 직원, 장치 또는 애플리케이션이 클라우드 서비스를 사용하지 못하도록 액세스 제어 제공
- 행동 분석, 맬웨어 방지 검색 및 위협 인텔리전스와 같은 위협 방지 방법 제공
CASB의 작동 방식
CASB는 기업 데이터 센터 또는 데이터 센터와 클라우드를 포함하는 하이브리드 모드에서 실행될 수 있지만 규제 또는 데이터 주권 고려 사항에 온 프레미스 솔루션이 필요한 경우를 제외하고 대부분의 기업은 클라우드에서 독점적으로 작동하는 CASB를 선택한다.
CASB를 배포할 수 있는 세 가지 주요 방법은 역방향 프록시(reverse proxy), 정방향 프록시(forward proxy) 또는 API 모드(API mode)이다. CASB는 세 가지 방법 또는 Gartner가 "다중 모드"라고 부르는 방법 중에서 선택을 점점 더 많이 제공하고 있다. 각 모드에는 다음과 같은 장점과 단점이 있다.
- 역방향 프록시(reverse proxy): 역방향 프록시 CASB는 구성 변경이나 인증서 설치 없이 사용자 소유 장치를 처리 할 수 ??있지만 승인되지 않은 클라우드 사용은 잘 처리하지 못한다.
- 정방향 프록시(forward proxy) : 정방향 프록시는 승인되지 않은 클라우드 서비스로의 트래픽을 포함하여 CASB를 통해 관리되는 엔드 포인트의 모든 트래픽을 전달하지만 사용자 소유 장치는 관리 대상이 아닐 수 있다.
두 유형의 프록시 모두 단일 장애 지점이 되어 모든 클라우드 서비스 사용이 DDoS 공격에 취약해질 수 있다.
- API 모드(API mode) : API 모드는 사용자 소유 장치에서 잘 작동하며 회사는 클라우드 서비스의 모든 데이터에 대해 로그 원격 측정, 정책 가시성 및 제어, 데이터 보안 검사 기능과 같은 기능을 수행 할 수 있다. API 모드에서 작동하는 CASB는 클라우드에 대한 데이터 경로에 없기 때문에 단일 실패 지점이 아니다.
API 모드 CASB의 주요 문제는 모든 클라우드 서비스가 API 지원을 제공하는 것은 아니며 다양한 수준으로 제공하는 서비스가 있다는 것이다. API 모드의 또 다른 문제는 많은 CASB 공급 업체가 클라우드 서비스 제공 업체가 API 요청에 대한 응답을 점점 더 제한함으로써 성능 저하가 발생했다고 보고했다는 것이다.
Gartner에 따르면 여러 CASB는 이제 클라우드 서비스에서 직접 기본 보안 제어를 재구성하여 IaaS, PaaS 및 SaaS 클라우드 서비스의 구성 위험을 평가하고 줄이는 CSPM (클라우드 보안 상태 관리) 기능도 제공한다. 그러나 Gartner는 IaaS 및 PaaS 거버넌스가 거의 모든 CASB에 새롭기 때문에 아직 SaaS 거버넌스만큼 개발되지 않았다고 지적한다.
프록시 대 API의 선택 이슈
향후 몇 년 동안 클라우드 서비스는 API가 점점 더 많은 작업, 더 많은 제어 및 거의 실시간 성능을 노출하도록 허용할 것이다. 즉, 프록시를 통한 인라인 트래픽 차단의 필요성이 서서히 감소할 수 있다.
그러나 가까운 미래에 API만으로는 전체 솔루션을 제공하지 못할 것이며, 이러한 이유로 많은 조직은 다중 모드 접근 방식을 사용하는 CASB를 찾고 있다.
포글로벌 CASB 제공자 동향
CASB 시장은 대규모 보안 회사가 초기 스타트 업 중 일부를 인수함에 따라 지난 몇 년 동안 통합이 이루어졌다. Gartner가 확인한 4개의 시장 리더 중 2개 (McAfee 및 Symantec)는 잘 알려진 보안 브랜드이고 나머지 2개 (Bitglass 및 Netskope)는 전문 CASB 플레이어이다.
여기에서는 글로벌 상위 CASB 제공자의 특징으로 소개하고 각 공급자의 특징을 요약하여 표로 정리한다.
Forcepoint CASB
Forcepoint의 프록시 및 API 기반 기능을 통해 회사는 시장의 모든 클라우드 애플리케이션을 지원하고 차단 기능을 제공한다. CASB는 수천 가지 사용자 활동에 대한 심층적인 가시성을 제공하여 보안팀이 사용자 행동을 이해하고 DLP (데이터 손실 방지) 기능을 구현할 수 있도록 한다. 이들은 관리되는 BYOD 장치와 관리되지 않는 BYOD 장치 모두에 대한 데이터 유출을 중지하도록 설계할 수 있다.
McAfee MVISION Cloud
McAfee는 2018년 CASB 스타트 업 Skyhigh Networks를 인수하면서 CASB 분야에 진입했다. 이 솔루션은 제품은 McAfee Skyhigh Security Cloud로 이름이 바뀌었고 현재는 McAfee MVISION Cloud로 알려졌다. 에이전트 없는 CASB 제품은 EU 데이터 보호법에 의해 규제되는 기업을 위한 전용 GDPR 도구와 같은 전문 서비스와 함께 대기업 및 대기업을 위한 위협 보호 및 데이터 손실 방지를 제공한다.
Cisco Cloudlock
Cisco Cloudlock은 API를 통해 노출될 수 있는 마이크로서비스 세트로 개발된 CASB이며, 유명 클라우드 앱 외에도 자체 개발 애플리케이션을 지원할 수 있다. 시스코는 또한 다른 보안 제품과의 긴밀한 통합을 제공한다.
Microsoft Cloud App Security
Microsoft Cloud App Security는 중소기업에서 대기업에 이르는 모든 사람을 위한 CASB이다. Microsoft 보안 제품 및 Office 365와의 긴밀한 통합을 제공하고 다른 상위 클라우드 앱을 지원한다.
Bitglass Cloud Security
Bitglass Cloud Security는 모든 앱과 장치를 지원하는 유일한 에이전트 없는 CASB 솔루션이며 통합 ID 및 액세스 관리(IAM) 및 에이전트 없는 모바일 데이터 보호 기능을 갖춘 유일한 CASB이다. 주요 엔터프라이즈 클라우드 애플리케이션과 SaaS, IaaS 및 맞춤형 앱을 지원한다.
Netskope for SaaS
Netskope for Saas는 게시된 클라우드 서비스 API 또는 게시되지 않은 API의 인라인 디코딩을 통해 수천 개의 클라우드 서비스를 지원한다. DLP를 제공하고 위협 인텔리전스, 정적 및 동적 분석, 기계 학습 기반 이상 탐지를 결합하여 실시간으로 위협을 발견한다.
Symantec
시만텍은 2016년 Blue Coat Systems의 Perspecsys 및 Elastica를 인수하여 CASB 기능을 포트폴리오에 추가했다. 이 두 CASB 제품은 강력한 클라우드 검색, 사용 모니터링 및 DLP 요구 사항이 있는 엔터프라이즈 고객을 대상으로 하는 Symantec의 현재 CASB 제품인 CloudSOC를 만들기 위해 병합되었다.
Proofpoint
Proofpoint는 2017년에 FireLayers를 인수하여 CASB를 Proofpoint의 기존 위협 대응, 모바일 위협 방어, 원격 브라우저 격리 및 위협 인텔리전스 제품으로 확장했다. Proofpoint는 이메일 보안 제품을 위한 대규모 설치 기반을 가지고 있다. Proofpoint의 CASB의 목표 시장은 이 설치 기반에 현재 Proofpoint 제품을 사용하지 않는 신규 고객에 대한 추가 기능이다.
| 제공자 | 유즈 케이스 | 특징 | 기술 | 배포 | 가격 |
| Forcepoint | 대기업에서 초대기업까지 | 더 많은 것을 지원할 수 있는 능력과 함께 최고의 클라우드 애플리케이션에 대한 심층 지원 | API, 프록시 및 하이브리드 | 클라우드 | 사용자 수에 따른 구독과 거버넌스 및 감사와 같은 옵션 |
| McAfee | 중견에서 대기업 | 위협 방지 및 DLP; 전용 GDPR 제품 | 사용 사례에 따라 API와 프록시의 조합 | 클라우드, 소프트웨어 또는 어플라이언스 | 사용자 별, 연간 기준으로 가격 책정 |
| Cisco Systems | 직원이 1,000명 이상인 조직 | APls를 통해 노출된 마이크로 서비스는 자체 개발 한 앱을 지원 | ?API | 클라우드 | 앱 및 사용자 수에 따라 가격 책정 |
| Microsoft | 중소기업에서 중견기업 | Microsoft 보안 및 Office 365와의 긴밀한 통합 | 세션 내 프록시 제어 기능이 있는 API | ?클라우드 | 사용자 당 월 $ 5 또한 Microsoft Mobility + Security의 일부 |
| Bitglass | 중소기업에서 대기업까지 | 통합 JAM; 모든 앱 또는 장치에 대한 에이전트없는 지원 | ?하이브리드 | 클라우드 | ?사용자 당 매월 가격 |
| Netskope | 기업 | 수천 개의 클라우드 서비스를 지원; DLP 및 위협 분석 | API, 프록시 및 하이브리드 | 클라우드, 어플라이언스 또는 둘 다 | 사용자 당 연간 가격 |
[표] 글로벌 CASB 제공자별 솔루션 특징
결론
코로나19의 확산으로 인해 클라우드가 주목받게 되었고, 이로 인해 클라우드의 사용이 확산되었다. 이에 따라 클라우드 보호 기술도 함께 중요한데, 클라우드 접근 보안 중개(CASB)는 이러한 수요에 대응할 것으로 보인다. CASB는 중개 서비스 형태로 클라우드 보안을 강화한다. 기업이나 기관이 클라우드 서비스를 이용할 때 중간에 한 단계 보안 관문을 거치는 것과 같다. 기업이 어떤 클라우드를 사용하는지에 관계 없이 CASB 서비스를 거치면 보안이 강화된다. 기업 보안 관리자는 CASB 통해 클라우드 보안 위협을 줄인다. CASB는 클라우드를 이용하는 사용자 인증을 강화한다. 보안관리자는 클라우드에 있는 안 보이는 쉐도우 IT와 데이터 가시성을 확보한다. 클라우드 액세스 보안 브로커(CASB) 제품은 서로 비교하기가 쉽지 않다. 모두가 핵심 기능은 공통으로 갖추고 있지만, 전체적으로는 기능이 저마다 다르다. CASB 기능과 작동 방식을 이해하면 기업들은 각 기업에 맞는 CASB를 선정하는 데 도움이 된다.
참 고 문 헌
1. Plan and Manage Successful CASB Deployment - Match Security with agility and elasticity of Cloud, Gartner News Letter, November 2018.
2. http://www.ciokorea.com/news/138876
3. https://www.appsruntheworld.com/top-10-cloud-access-security-broker-casb
4. https://www.featuredcustomers.com/software/cloud-access-security-broker-casb/all
5. https://www.esecurityplanet.com/products/top-casb-vendors
6. https://www.g2.com/categories/cloud-access-security-broker-casb
저작권정책
K-ICT 클라우드혁신센터의 저작물인 『클라우드 액세스 보안 브로커 (CASB)의 주요 기능과 비교방법 및 글로벌 CASB 제공자 동향』은 K-ICT 클라우드혁신센터에서 상명대학교 서광규 교수에게 집필 자문을 받아 발행한 전문정보 브리프로, K-ICT 클라우드혁신센터의 저작권정책에 따라 이용할 수 있습니다.
다만 사진, 이미지, 인용자료 등 제3자에게 저작권이 있는 경우 원저작권자가 정한 바에 따릅니다.