클라우드 관리 효율화를 위한 보안-핀옵스 협업 전략 11가지

클라우드를 운영하는 기업에서 보안과 비용 관리는 점점 더 중요한 문제가 되고 있다.

일반적으로 이런 문제는 사이버 보안팀과 핀옵스팀에서 다루며, 각 부서가 별개의 임무와 우선순위를 따른다. 더 나은 비즈니스 성과를 위해 활용할 수 있는 팀 간 협력 기회가 부족한 실정이다.

CIO가 클라우드 비용과 보안 통제력을 강화하고자 한다면, 팀 간에 더 긴밀한 협력을 지원해야 한다. CISO와 핀옵스팀은 동일한 보고 체계에 속하지 않는 경우가 많기에 이 과제가 쉽지 않을 수 있다. 특히 보안 부서가 독립 운영되는 기업 문화에서는 협력이 더욱 어려울 수 있다.

또한 팀이 사용하는 도구, 프로세스, 데이터 관리 방식에도 차이가 있다. 기업의 클라우드 전략 전반을 개선할 잠재력을 끌어내기 위해서는 이 차이를 해결해야 한다.

예를 들어, 기술적 관점에서 클라우드 보안 상태 관리(CSPM)와 클라우드 워크로드 보호 플랫폼(CWPP)에는 보안팀을 위한 기능 외에도 핀옵스팀을 지원할 수 있는 데이터가 풍부하다. 마찬가지로 클라우드 비용 관리 플랫폼과 같은 핀옵스 도구에는 보안팀이 경고와 보고에 활용할 수 있는 데이터가 있다.

보안과 핀옵스 운영을 통합해 더 안전하고 비용 효율적인 클라우드 관리 방식을 구현하고자 할 때 참조할 만한 방법 11가지를 소개한다.

공유 보고 및 분석 체계 수립

보안 및 클라우드 비용 관리 도구를 통합하는 첫 단계는 보안과 비용 지표의 공유 보고 및 분석 체계를 수립하는 것이다. 데이터를 통합하면 팀은 보안 전략의 재무적 영향을 분석하고, 핀옵스와 보안 목표에 부합하는 핵심 성과 지표(KPI)를 추적할 수 있다.

예를 들어 AWS 코스트 익스플로러(AWS Cost Explorer)를 다른 AWS 보안 서비스와 통합해 보안 및 클라우드 지표에 대한 통합 인사이트를 얻을 수 있다. 대시보드 구축을 위한 다른 옵션으로는 애저 모니터(Azure Monitor)나 그라파나(Grafana), 키바나(Kibana) 같은 오픈소스 도구가 있다. 통합 인사이트에는 다음 사항이 포함될 수 있다.

• 업계 규정 준수 상태를 측정하는 컴플라이언스 지표
• 과다 및 과소 사용되는 리소스를 파악하는 리소스 활용률
• 핀옵스 지표로 쓰이는 클라우드 지출 변동성 및 예산 대비 비용 편차는 보안에도 영향을 미칠 수 있다.

모니터링 도구 통합

공유 분석 체계를 한 단계 더 발전시켜 핀옵스와 보안 모니터링 도구를 통합할 수 있다. 그러면 클라우드 운영에 대한 포괄적인 시각을 확보할 뿐만 아니라 핀옵스와 보안 모두에게 유용한 알림을 생성할 수 있다.

예를 들어 비정상적인 지출 패턴은 암호화폐 채굴 악용이나 지갑 거부(DoW) 공격과 같은 보안 침해를 의미할 수 있다. 비용 이상 징후와 보안 사고를 함께 모니터링하면 조직이 비용 급증과 잠재적 보안 사고의 상관관계를 더 잘 파악하고 빠르게 문제를 해결할 수 있다.

문제 해결 자동화

문제 해결 자동화는 비용과 보안 문제를 해결하는 통합 전략으로 최근 중요성이 부각되고 있다. 활용도가 낮은 리소스의 자동 종료, 권한 크기 조정, 보안 취약점을 줄이는 패치 및 업데이트 적용, 프로비저닝된 리소스에 대한 암호화 및 기타 보안 제어 적용은 이제 보안만의 고유 영역이 아니며 핀옵스에도 영향을 끼칠 수 있다.

핀옵스 관행은 사이버 보안팀이 공격 표면을 줄이거나 검증하도록 돕는다. 이는 잠재적 취약점을 최소화하는 데 유용할 수 있다.

CMP 및 쿠버네티스 관리 도구 활용

보안과 핀옵스 사이에 있는 또 다른 핵심 기술 계층은 클라우드 관리 플랫폼(CMP)이다. CMP 스타트업 클라우드볼트의 CTO인 카일 캄포스는 초기 배포 템플릿과 구성 변경 감지의 중요성을 강조하며, CMP가 클라우드 및 보안팀에 구성 데이터를 포함한 실용적인 인사이트를 제공할 수 있다고 설명했다.

쿠버네티스 자동화 플랫폼이자 클라우드 및 쿠버네티스 비용 관리 기능을 갖춘 캐스트AI(Cast AI)는 플랫폼 기반의 쿠버네티스 보안 상태 관리(KSPM) 솔루션을 출시하는 등 핀옵스와 보안 통합 논의를 주도하고 있다. 캐스트AI의 공동 설립자이자 최고 제품 책임자(CPO)인 로랑 길은 이런 솔루션을 통해 팀이 ‘동일한 도구’로 비용과 보안을 관리할 수 있다고 언급했다.

길은 또한 자동화를 통한 효율성을 향상을 강조했다. 핀옵스팀은 보안팀보다 규모가 작은 경우가 더 많은데, 이런 상황에서 수동 작업과 협업에 많은 시간을 할애하기는 비효율적일 수 있다. CMP와 쿠버네티스 관리 도구의 자동화는 정기 노드 순환과 기타 운영 작업을 가능하게 하며, 다운타임 없이 취약점을 크게 줄여 양 팀 모두 더 전략적인 업무에 집중할 수 있게 한다.

보고 체계 통합을 위한 태깅 표준화

앞서 언급했듯 핀옵스팀은 규모가 작은 경우가 많다. 따라서 팀이 비동기식으로 데이터에 접근하고 공통된 용어로 소통하는 것이 중요하다. 클라우드볼트의 캄포스는 태깅 분류 체계에 초점을 맞춰야 한다고 언급했다.

진정한 협업을 위해서는 보안팀과 핀옵스팀이 클라우드 워크로드 수준까지 분류 체계 표준화에 대한 의견을 일치시켜야 한다. 표준화를 통해 양 팀은 동일한 보고서, 경고 및 대응 패턴을 볼 수 있다.

캄포스의 경험에 따르면 조직의 사일로화는 데이터 구조에서 시작된다. 이는 행동과 소통 부족으로 이어지며, 종종 자신도 모르게 업무가 중복되는 결과를 초래한다. 그는 보통 핀옵스 도구가 데이터 가시성이 더 늦게 확보되는 경향이 있어 보안 도구가 문제를 더 일찍 감지할 수 있다고 설명했다. 이런 이유로 보안팀과 핀옵스팀이 같은 관점을 공유하고 동일한 용어를 사용하는 것이 더 중요해지고 있다. 기업 전체의 이익을 도모하려면 양 팀이 서로의 업무와 도구를 효과적으로 활용할 수 있어야 한다는 의미다.

공통 언어 개발

CMP는 보안과 비용 인사이트를 모두 제공한다. 이는 보안팀과 핀옵스팀 간의 공통 언어를 만드는 기반이 된다. 공통 언어를 만드는 데는 다음 추가 단계도 필요하다.

• 클라우드 보안과 핀옵스 모두에 관련된 주요 용어와 개념을 정의하고 문서화하는 공통 용어를 내부적으로 개발하고 배포한다.
• 보안과 비용 최적화 모두에 도움이 되는 공통 목표를 파악하고 양쪽에 적용되는 KPI를 개발한다.

팀 간 교차 교육

교차 교육은 팀 협업과 성과를 향상시키는 주요 방법이다. 회사는 보안팀과 핀옵스팀 간의 비공식 지식 공유 세션을 열거나 업계 인증을 취득하도록 전폭적으로 지원할 수 있다.

물론 보안 팀원이 핀옵스 공인 실무자 교육에 참여하려면 자발적인 의지도 필요하다. 하지만 우선순위를 설정하고 인센티브를 제공해 교육 참여를 독려할 수 있다. 이는 실제 업무에 투입되는 시간이나 가용 인력 수준과 같은 비즈니스 상황이 교육 전략에도 영향을 미치는 것과 같은 맥락이다.

클라우드 CoE 구축

아쿠아의 전략 담당 수석 부사장인 라니 오스낫은 많은 기업이 “클라우드 보안, 핀옵스, 클라우드 관리자, 데브옵스나 인프라 관리자가 함께 근무하거나 주기적으로 모이는 교차 기능 클라우드팀(Center of Excellence, CoE)”을 설립한다고 언급했다. 그는 클라우드 배포가 보안과 재무 양쪽에 중요한 영향을 미치기 때문에 CoE를 통해 조직 전반의 인식을 높이는 것이 중요하다고 말했다.

클라우드 CoE는 클라우드 보안 및 재무 측면을 통합하는 보고서를 설계하고 개발하는 데 협력해 공통의 이해를 촉진할 수 있다. 몇 가지 예가 있다.

• 보안 조치의 재무적 영향을 보여주는 보고서 설계
• 비용 지표와 보안 상태를 함께 표시하는 대시보드 생성
• 정기 공동 회의에서 보고서를 검토하고 영향과 조치 사항을 논의

데브옵스를 통한 협업

보안팀과 핀옵스팀 협업에서 데브옵스(DevOps)의 역할에는 전문가들의 의견이 엇갈렸다. 캄포스는 양 팀의 협업에서 데브옵스의 역할이 크지 않다고 보는 반면, 길은 비용과 보안의 균형을 맞추기 위해 데브섹옵스(DevSecOps)를 통한 협업이 필요할 수 있다고 언급했다.

캄포스는 핀옵스팀이 적은 인원으로도 조직 전처에 큰 영향을 미치는 것을 목표로 해야 한다고 조언했다. 이는 자동화와 더불어 개선된 보고 체계 등 다양한 도구, 전략을 실험해 핀옵스 데이터의 활용 범위를 확장해야 한다는 의미다. 이때 자동화에 전문성을 가진 데브옵스팀은 아이디어 구상 또는 실제 구현 단계에서 도움을 줄 수 있다.

보안을 비즈니스 영역으로 취급

핀옵스 재단의 책임자인 롭 마틴은 보안을 조직의 비즈니스 영역으로 취급할 것을 제안했다. 그는 “보안팀이나 CISO 조직은 일반적으로 기업이 의무적으로 수행해야 하는 영역으로 취급되곤 한다. 하지만 보안은 회사가 투자하는 하나의 사업 영역이다. 성과를 기대할 수 있다는 의미다. 다만 그 성과가 반드시 재무적일 이유는 없다”라고 설명했다.

마틴은 “핀옵스 재단이 지난 몇 년 동안 투자해 온 주요 프로젝트 중 하나가 FOCUS(핀옵스 오픈 비용 및 사용량 명세)”라고 말했다. 그는 “이 오픈소스 프로젝트는 실무자 커뮤니티에 매우 중요하며, 4대 주요 클라우드 플랫폼이 이미 FOCUS 형식으로 데이터를 생성하고 있다. 기업이 비용과 사용량 데이터를 더 쉽게 표준화해 핀옵스 관행을 지원할 수 있다”라고 설명했다. 최신 FOCUS 릴리스에서는 사이버보안도 새로이 추가됐다.

마틴은 “보안 맥락에서는 클라우드 리소스와 사용량 데이터에 대한 FOCUS의 일관된 뷰가 보안팀에 도움이 될 수 있는 영역”이라고 설명했다. 예를 들어 FOCUS는 클라우드에만 국한되지 않고 청구 데이터를 공유하는 모든 사람에게 적용된다. 따라서 팀은 공동 데이터 레이크에서 조회하고, 시간이 지나면서 SaaS 제품이나 다른 데이터 소스에서도 해당 데이터의 일관성을 확인할 수 있다.

하향식 접근을 통한 문화 변화 촉진

핀옵스팀와 보안팀의 협업은 어려울 수 있다. 핀옵스 관행이 더 새로워 대부분의 조직에서 사이버 보안 관행을 따라잡아야 하는 상황이기 때문이다. 더욱이 클라우드 비용과 기술의 교차점을 찾는다는 것은 숙련된 사이버 보안 엔지니어나 클라우드 솔루션 아키텍트에게도 부담스러울 수 있다. 팀 간 협업을 설득하기 어려운 지점이다. 이를 현실화하려면 경영진의 지원이 필요하다.

양 팀이 더 긴밀히 협력하는 교차 기능 이니셔티브를 시작하려면 대개 CIO와 CISO의 지원이 중요하다. 그 다음 양 팀이 새로 통합된 데이터에 접근할 수 있도록 보고, 태깅, 자동화 구축의 우선순위를 설정해야 한다. 이 작업은 팀이 아직 워크플로우에 통합하지 못한 새로운 데이터와 정보를 도출할 수 있다. 반복을 두려워해선 안 된다.

아쿠아의 오스낫은 “클라우드 비용과 보안의 균형을 맞추려면 비용 때문에 발생하는 문제에 보안상의 이유가 있을 수 있고 그 반대의 경우도 있다는 사실을 인식해야 한다”라고 말했다. 그는 보안팀의 활동이 비용에 긍정적 또는 부정적 영향을 미칠 수 있다면서, 만약 보안팀이 클라우드 비용 절감에 기여하는 활동을 한다면 이를 조직 내에 적극적으로 알려야 한다고 조언했다.
[email protected]