보안 / 클라우드

CASB의 의미와 "구입 전 알아야 할 내용"

David Strom | Network World 2018.06.21
CASB(Cloud Access Security Brokers)는 중앙 데이터 인증과 암호화 허브라고 생각하면 된다. 클라우드와 온프레미스에서 기업이 사용하는 모든 것이 대상이 되며, 개인 스마트폰과 태블릿 등 모든 엔드포인트가 접속을 한다. CASB 시대가 오기 전에는 기업 보안 관리자는 데이터 보호 방식에 대한 가시성을 갖고 있지 않았다. 기업에서는 BYOD(Bring Your Own Device)와 관리되지 않는 장치가 많이 사용되면서, 다른 누군가의 스마트폰이나 태블릿 접속으로 인해 데이터가 위험에 빠질 수 있게 됐다.


Credit: Getty Images Bank

클라우드 컴퓨팅이 떠오르면서, 기업은 여러 클라우드에 일관되게 보안을 확보하고 데이터를 사용하는 모든 사람을 보호할 방법이 필요해졌다. 이런 상황에서 기업과 기관이 개별 파일 이름과 데이터 요소에 이르기까지 클라우드와 SaaS의 사용에 대해 더 깊은 가시성을 파악하는 데 도움을 주는 CASB가 등장했다.

이름있는 공급업체 가운데 상당수가 CASB 솔루션 업체를 인수했다. 오라클은 팔레라(Palerra)를, IBM은 그래비턴트(Gravitant)를, 마이크로소프트는 아달롬(Adallom)을, 포스포인트(Forcepoint)는 스카이펜스(Skyfence)를, 프루프포인트(Proofpoint)는 파이어레이어(FireLayer)를, 시만텍(Symantec)은 스카이큐어(Skycure)를, 맥아피(McAfe)는 스카이하이 네트웍스(Skyhigh Networks)를 인수했다. 여전히 독립적인 CASB 개발업체로 남아있는 회사들은 사이퍼클라우드(CipherCloud), 넷스코프(Netskope), 비트글래스(Bitglass) 3개다.

방화벽만큼 중요한 CASB
CASB는 성숙해졌다. 하지만 '정도의 문제'이기도 하다. 이 시장에 가장 먼저 뛰어든 개발업체들조차 관련 제품을 판매한지 몇 년 밖에 지나지 않았기 때문이다. 어쨌든 CASB는 발전했다. 많은 애널리스트가 트럭 회사가 PC를 구입하던 시절의 방화벽만큼 CASB가 중요해지는 날이 멀지 않았다고 내다볼 정도다.
가트너는 2020년이 되면 CASB를 사용하는 기업이 사용하지 않는 기업보다 많을 것으로 예측하고 있다. 이와 관련, 2017년 말 기준 CASB를 사용하고 있는 기업의 비율은 10%에 불과하다.

수년 전, 많은 기업이 '섀도우 IT(Shadow IT)'에 대응하기 위해 CASB를 구입했다. 그리고 지금은 많은 기업에서 표준 운영 절차로 사용하는 것을 고려하고 있다. IT 관리자들은 기업용 드롭박스 영업 담당자로부터 수백 명에 달하는 기업 사용자가 개인 드롭박스 계정을 사용하고 있다는 이야기를 들을 수도 있다. 이는 반갑지 않은 '정보'다.

초기에 CASB 개발업체들은 이와 관련된 맥락에서 영업을 펼쳤다. CASB를 사용하면 기업의 클라우드 데이터가 위치한 모든 장소를 찾고, 이를 보호할 수 있다고 홍보한 것이다. 전통적인 보안 도구들은 기업 데이터센터에서 네트워크 트래픽을 확인할 수 없는 경우를 중심으로 이런 가시성을 제공하지 못한다. 가트너의 스티브 라일리는 "기업은 소유한 자산에 위치하지 않은 데이터를 포함해 모든 데이터를 통제하고 싶어한다"고 말했다.

기업 IT매니저들은 CASB를 처음 사용하면서 놀라운 경험을 했다. 처음 배포를 한 경우, 자신의 추정보다 10배나 많은 클라우드 서비스가 사용되고 있음을 발견하게 된 것이다. 이것이 아주 큰 ‘셀링 포인트’가 되었다.

현대의 IT와 위협 현황에 부합하는 최신 CASB
당시에는 이것만으로도 좋았다. 그러나 최신 CASB들은 기능이 더 완전해졌으며, 복잡한 기업 보안에 통합됐다. 많은 개발업체가 실수 또는 고의적인 데이터 유출을 추적하고 방지할 수 있도록 자신의 제품을 이메일 서버에 연결하고, 웹 애플리케이션 게이트 장치, ID 관리 시스템에 연결하는 방법, SSO(Single Sign On) 도구들을 제공하고 있다.

기업의 IT 관리자들은 '최초 로그인' 이상으로 클라우드 데이터를 통제, 관리하기를 원한다. 이에 인증 도구에서 '예와 아니요'라는 '2진법' 사용자 로그인 검사 이상을 원하게 되었다. 다시 말해, 이른바 위험 기반(risk-based)의, 또는 적응형 인증(adaptive authentication)을 요구하고 있는 것이다. 쉽게 설명하면, 요주의 콘텐츠가 범죄자의 손에 들어가지 않도록 인증 테스트를 강화하길 원하는 것이다. 현재 일부 CASB 개발업체가 제품에 이런 도구들을 통합해 공급하고 있다.

CASB 확대를 견인하고 있는 또 다른 요소는 EU의 개인 정보 보호법(General Data Protection Regulation, GDPR) 제정에서 알 수 있듯이 지켜야 할 규칙과 알려진 데이터 침해 사고가 증가하고 있다. CASB는 한 장소에서 위험이 초래되는 지점을 보여주고, 문제를 요약해 제시할 수 있다. 보안 팀이 의심스러운 행동에 재빨리 초점을 맞출 수 있도록 도와주는 것이다. 다른 종류의 제품에서는 쉽지 않은 일이다. 다음 그림과 같은 포스포인트의 위험 요약 대시보드(Risk summary dashboard)가 이에 대한 예가 될 수 있다.


Credit: ForcePoint

여기에 더해, 클라우드 컴퓨팅 도입이 빨라지면서 CASB의 설득력이 커졌다. 이와 관련, 몇몇 업체의 관리형 CASB 서비스를 판매하는 매서지(Masergy) 보안제품관리 책임자 제이 바버는 한 블로그 게시글에서 클라우드와 온프레미스 애플리케이션 간 공유 보안 모델에 대해 설명하면서 "여러 클라우드 애플리케이션을 사용하는 즉시 직원들의 IT 및 비밀번호 관리에서 보안 위험이 초래되고, 사용자 경험이 나빠진다"고 설명했다.

불과 수년 전만 하더라도 구글이나 마이크로소프트의 클라우드 기반 이메일로 마이그레이션을 한 기업들은 소수였다. 그러나 이는 시작에 불과했다. 마이크로소프트는 기업들이 설치형 소프트웨어 대신 오피스 365를 사용하도록 유도하기 위해 매력적인 라이선싱 모델을 도입해 제공했다.

많은 기업이 여러 공급업체로부터 클라우드 리소스를 조달하는 속도를 높였다. 이에 AWS와 애저 등 여러 클라우드에 분산된 리소스의 보안 '갭'을 없애기 위해 CASB 같은 도구들이 필요해졌다. 기업들이 내부 데이터센터의 리소스를 외부로 이동시키거나, 경우에 따라 완전히 없애면서 CASB가 필수 보안 도구로 부상했다.

마지막으로 위협 현황이 진화했다. 위협은 혼합된 경우가 많으며 불과 수년 전과도 양상이 크게 달라졌다. 여러 익스플로잇과 여러 회피 기술이 사용되면서 악성코드를 탐지하기가 훨씬 어려워졌다. 공격이 정교해지는 바람에 경험이 많은 IT 직원조차 식별하기 힘든 피싱 공격이 증가했다. 또는 클라우드 서비스의 기능과 특징들을 정교하게 익스플로잇 공격해 순식간에 위협을 확산시켜 수백 만의 사용자를 감염시킨다.

또한 다음과 같은 4가지가 CASB 도입과 확대에 도움을 줬다. 첫째, 보안 담당자가 빠르게 학습을 할 수 있다. 이들 도구는 구현이 쉽다. 대시보드는 이해하기 쉬운 보고서를 제공한다. 방화벽 규칙들을 수립해 배열하고, DLP 제품에 정책을 수립하는 것보다 훨씬 더 쉽다.

둘째, CASB는 포괄적인 솔루션이 되었다. 많은 애플리케이션을 지원한다는 의미다. 최신 제품들은 보호할 수 있는 애플리케이션의 수와 종류가 제한적이었다. 그런데 이 부분이 크게 확대가 됐다. 포스포인트의 경우, 며칠이면 어떤 사용자 지정 앱도 지원할 수 있도록 솔루션을 '스핀-업' 할 수 있다고 주장한다.

셋째, 비트글래스(Bitglass) 등 여러 CASB 솔루션을 재판매하는 마서지와 같은 관리형 서비스 공급업체가 등장했다. 이는 규모가 작은 기업, 더 빨리 CASB 도구를 배포하기 원하는 기업에 도움을 준다. 대부분의 CASB 제품은 클라우드에 기반을 두고 있다는 점을 감안하면, 마서지와 같이 매일 24시간 보안 모니터링을 하는 업체의 도움을 받는 것이 좋다.

마지막으로 멀티모드 운영이 확대가 되었다. CASB는 3개 모드 가운데 하나로 작동된다. 또한 더 많은 제품이 각 모드에서 더 많은 앱을 지원하고 있다.

- 포워드 프록시(Forward Proxy): 통상 엔드포인트 에이전트나 VPN 클라이언트와 함께 배포된다.
- 리버스 프록시(Reverse Proxy): 에이전트가 필요없고, 관리를 하지 않는 장치와 관련해 더 큰 도움을 준다.
- API 컨트롤(API Control): 클라우드 레포지토리(저장소)에 저장되어 있는 데이터, 기업 네트워크로 유입되지 않고 클라우드에서만 사용되는 데이터에 대한 가시성을 제공한다.


일부 공급업체는 이런 기능들을 여러 제품으로 분산해 제공하고 있다. 예를 들어, 시스코는 CASB에서는 API 액세스만 지원하고, 엄브렐라(Umbrella) 제품에서는 프록시를 제공한다. 기타 마이크로소프트 같이 '전제 조건'이 되는 제품들을 구입해야 CASB 제품을 사용할 수 있는 경우도 있다.

적합한 CASB 솔루션 구입 방법과 고려 사항
평가를 시작하기 전, CASB 공급업체의 무료 서비스 계획 가운데 하나를 사용해 클라우드 포트폴리오를 검색할 수 있는지 확인한다. 코펜스(Cofense)에는 클라우드시커(Cloudseekr)라는 서비스가 있다. 이 또한 이런 서비스를 제공한다(그러나 CASB 솔루션을 판매하지 않는다).

많은 공급업체가 첫 한달 동안 제한된 수의 앱이나 서비스를 무료로 사용할 수 있는 트라이얼을 제공한다. 이를 통해 위험 노출의 범위와 크기, 인프라에 도구가 적합한지 판단할 수 있다(무료 트라이얼에 대한 링크는 기사 마지막 부분을 참조하라).

다음은 CASB를 구입하기 전 고려해야 할 내용이다.
- 최초 CASB 프로젝트를 파일럿 테스트를 할 가장 중요한 앱을 선택한다. 그리고 작은 규모로 제품을 운영한 후 확대한다.
- 기존 IDaaS(IDentity as a Service)/SSO 도구와 통합할 필요가 있는지 판단한다.
- 클라우드 접속을 단순한 '예와 아니요' 인증 이벤트로 보지 않는다. 더 세부적인 인증이 필요한 시기와 방법, CASB를 통해 이런 기능을 전달할지 여부를 판단한다.
- 제품이 '현장' 데이터 암호화를 지원하는지 여부와 방법을 파악한다.
- 가능한 많은 사용사례를 다루고, 유연하게 적용할 수 있도록 멀티모드 CASB를 조사한다. 3개 운영 모드 각각에 있어 제품의 단점과 제한 사항을 파악해야 한다.
- 제품이 보유한 보안 웹 게이트웨이, 애플리케이션 방화벽, 데이터 손실 방지 도구, 이메일 시스템과 통합되는지 여부를 조사한다. CASB가 제공하는 기능과 사용하고 있는 기능을 비교 평가한다.
- 비용을 계산한다. 가트너에 따르면, 일부 클라우드 앱을 대상으로 할 경우 사용자당 연 15달러의 비용이 발생한다. 또한 적용 범위가 더 포괄적이고, 클라우드 앱 수에 제한이 없으며, 멀티모드를 지원하는 솔루션은 사용자당 연 85달러의 비용이 발생한다.

주요 CASB 개발업체
주요 CASB 업체들과 트라이얼 버전을 제공 링크는 다음과 같다.
- 비트글래스(Bitglass)
- 사이퍼클라우드(CipherCloud)
- 시스코 클라우드락(CloudLock)
- 포스포인트(Forcepoint) CASB
- IBM 클라우드 매니지드 서비스(IBM Managed Cloud Services)
- 매니지드매소드(ManagedMethods)
- 매서지(Masergy)
- 맥아피/스카이하이 시큐리티 클라우드(McAfee/Skyhigh Security Cloud)
- 마이크로소프트 클라우드 앱 시큐리티(Cloud App Security)
- 넷스코프(Netskope) 동영상 데모
- 오라클 CASB 클라우드 서비스(Oracle CASB Cloud Service)
- 팔로알토 네트웍스 애퍼처(Palo Alto Networks Aperture)
- 프루프포인트(Proofpoint) CASB
- 시만텍/스카이큐어(Symantec/Skycure) 동영상 데모

editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.