메가존클라우드 위수영 유닛장, 클라우드 보안의 해법 제시
'보안 진단 이후, 보안책임자의 고민은 왜 더 커질까' 주제 세미나
메가존클라우드가 글로벌 보안 기업 위즈(Wiz)와 공동으로 19일 서울 조선팰리스에서 개최한 보안 세미나에서 메가존클라우드 위수영 HALO 유닛장이 ‘보안책임자는 수많은 진단 결과 중 무엇을 기준으로 판단해야 할까’를 주제로 발표하고 있다. (사진=메가존클라우드 제공) *재판매 및 DB 금지
[서울=뉴시스]오동현 기자 = “클라우드 환경은 자신이 보호해야 하는 대상을 명확히 파악할 수 있다는 점에서 방어자 관점에서 유리한 만큼 인프라, 애플리케이션, 데이터베이스, 개발·운영환경의 통합 보안 관리를 통해 가시성을 확보하는 것이 클라우드 보안의 핵심입니다.”
메가존클라우드에서 보안 사업을 담당하는 위수영 HALO 유닛장은 19일 오후 서울 조선팰리스에서 열린 보안 세미나에서 “AI 확산됨과 함께 멀티클라우드 환경이 가속화되면서 공격 표면(Attack Surface)이 크게 늘고 있고, 새로운 경로를 통한 공격 또한 빠른 속도로 증가하고 있다”며 이같이 강조했다.
글로벌 클라우드 보안 기업 기업 위즈(Wiz)와 ‘보안 진단 이후, 보안책임자의 고민은 왜 더 커질까’를 주제로 공동 개최한 세미나에서 위 유닛장은 “보안 책임자들은 리스크의 전체 구조가 아닌, 취약점 목록, 설정 오류, 권한 정보 등 파편화된 진단 결과를 각각 해석하며 판단을 내려야 하는 상황에 놓여 있다”고 설명했다.
이어 “이런 정보들을 하나의 구조로 묶어 가시성을 확보하지 못한다면, 실제로 어떤 항목을 먼저 조치해야 하는지 결정하기 어렵다”며 “진단 결과를 단순히 쌓아두는 방식에서 벗어나, 여러 정보를 함께 묶어 ‘실제 공격 가능성이 큰 리스크’를 평가하고, 그 결과에 따라 ‘무엇을 먼저 고칠지’를 정해 조치까지 이어가는 체계가 필요하다”고 강조했다.
그는 “메가존클라우드의 ANR(Assessment & Remediation)은 바로 이 판단과 실행을 한 흐름으로 연결해 제한된 인력과 시간 안에서도 가장 위험한 지점부터 줄일 수 있게 한다"고 말했다.
함께 발표자로 나선 위즈의 달리 라직(Dali Rajic) 대표 겸 최고운영책임자(COO)는 “클라우드 환경에서는 취약점, 설정 오류, 권한, 네트워크 노출 같은 정보들이 개별적으로 제공되다 보니, 무엇이 더 위험한지 연결해 판단하기 어렵고 대응 우선순위를 정하기도 쉽지 않다”며 “이 때문에 단편적 취약점 목록만으로는 실제 위험도를 판단하기 어렵고, 이런 요소들이 어떻게 연결돼 실제 공격으로 이어질 수 있는지를 이해하는 것이 중요하다”고 설명했다.
마지막 발표를 맡은 지하오 탄(Zhihao Tan) 위즈 솔루션 엔지니어는 실제 클라우드 환경에서 보안 담당자가 수많은 경고와 진단 결과 속에서 무엇을 먼저 봐야 하는지를 직관적인 데모를 통해 시연했다.
데모에서는 수백개의 보안 경고 가운데 실제 침해로 이어질 수 있는 경로가 자동으로 식별되고 우선순위에 따라 배열되는 과정과, 해당 위협 요소에 대해 즉시 조치할 수 있는 방법이 제시됐다. 특히 복잡한 설정이나 추가 분석 없이도 추가 분석작업 없이도 한국어 환경에서 공격 가능 경로와 대응 지점을 직관적으로 확인할 수 있는 화면이 소개돼 눈길을 끌었다.
염동훈 메가존클라우드 대표는 “클라우드 보안 환경에서 보안책임자가 판단 기준을 어디에 두어야 할지 함께 고민하기 위해 세미나를 마련했다”며 “위즈와의 협업을 통해 고객의 보안 운영과 의사결정에 실질적인 도움을 제공할 수 있는 논의를 이어가겠다”고 말했다.
◎공감언론 뉴시스 [email protected]
