IT 보안의 이해

IT 보안은 컴퓨터 시스템, 네트워크 및 데이터와 같은 정보 기술의 무결성을 시스템 공격이나 손상 또는 무단 액세스로부터 보호합니다. 디지털 트랜스포메이션 환경에서 경쟁하는 기업은 설계 단계부터 시작되는 정보 보안 솔루션을 채택하는 방식을 이해할 필요가 있습니다. 이는 "보안 시간 단축", 즉 가능한 빨리 보안을 인프라 및 제품 라이프사이클의 일부로 만드는 것을 의미합니다. 이를 통해 사전 예방적이면서도 사후 대응적인 보안을 실현할 수 있습니다.

지속적 보안은 피드백과 조정의 일상적인 시스템을 통해 구현되며 자동 검사점을 사용해 처리되는 경우가 많습니다. 자동화는 신속하고 효과적인 피드백을 제공해 제품 라이프사이클이 지연되지 않도록 합니다. 이러한 방식으로 네트워크 보안을 통합하면 보안 환경 변화에 따라 신속하게 종합적으로 업데이트 및 인시던트 대응을 구현할 수 있습니다.

전통적으로 IT 및 사이버 보안은 데이터센터 경계를 강화, 유지관리, 모니터링하는 데 중점을 두었으나, 현재 그러한 경계는 소실되고 있습니다. IT 개발, 배포, 통합, 관리 방식이 급격히 변화하는 상황에서 퍼블릭 및 하이브리드 클라우드로 인해 컴플라이언스 및 데이터 보안에 대한 책임이 여러 벤더로 다시 분산되고 있습니다. 원하는 규모로 컨테이너를 도입하려면 새로운 방식으로 애플리케이션 제공을 분석하고 보호하며 업데이트해야 합니다. 모바일 애플리케이션은 다양한 기기에 분산되어 있으며 점점 더 많은 인프라가 하드웨어에서 소프트웨어로 옮겨가고 있습니다. 장치 네트워크 또는 프로세스가 복잡해지면 내부 위협이나 맬웨어와 같은 보안 침해 위험이 증가할 수 있습니다. 전통적인 보안 관리 방식으로는 이를 유지 관리하는 데 한계가 있습니다. 디지털 트랜스포메이션을 위해서는 IT 보안 서비스와 프로그램의 변화가 필요합니다. 즉, 보안은 디지털 환경에서 지속적이고 통합적이며 유연해야 합니다.

일부 기업의 경우, 보안이 비즈니스 정보 보안 책임자(Business Information Security Officer, BISO)를 고용한다는 것을 뜻하기도 합니다. BISO는 비즈니스에 포함되어, 설계에서 제공 및 도입까지 제품 라이프사이클에 관여합니다. 일반적으로 보안 분석가와 함께 최고 정보보안 책임자(Chief Information Security Officer, CISO)에게 보고하여 보안 이니셔티브 및 문제가 모든 단계에서 철저히 관리 및 통합되도록 하고, 비즈니스 리스크와 보안 요구 사항 간의 균형을 적절히 유지하여 필요한 기능을 신속히 제공합니다.

SELinux(Security-Enhanced Linux)는 관리자가 정보 시스템 액세스 권한을 효과적으로 제어할 수 있는 Linux® 시스템용 보안 아키텍처입니다. 이는 원래 미국 국가안보국(NSA)이 LSM(Linux Security Module)을 사용하는 Linux 커널에 대한 일련의 패치로 개발한 것입니다.

SELinux는 2000년에 오픈 소스 커뮤니티에 릴리스되어 2003년에 업스트림 Linux 커널로 통합되었습니다.

제로 트러스트란 모든 상호작용이 신뢰할 수 없는 상태에서 시작된다는 전제를 기반으로 네트워크 보안 아키텍처를 설계하는 방식입니다. 이는 통신이 방화벽 내부에서 시작되는지 여부에 따라 신뢰성을 결정하던 전통적인 아키텍처와는 대조적입니다. 더욱 구체적으로 말하자면, 제로 트러스트는 절대적인 신뢰 모델 및 일회성 인증에 의존하는 보안 아키텍처의 간극을 줄이려는 시도라고 볼 수 있습니다.

제로 트러스트 아키텍처는 전 세계적으로 사이버 보안 위협 환경이 진화하면서, 네트워크 내부의 활동은 신뢰할 수 있다는 오랜 가정이 흔들리자 인기를 얻기 시작했습니다. 체계적인 사이버 범죄자 조직은 내부자를 모집하고, 전통적인 보안 아키텍처 외부를 통과할 수 있는 새로운 방법을 계속해서 찾아 나갑니다. 치밀한 해커와 상용화된 서비스 플랫폼으로서의 랜섬웨어 역시 널리 보급되면서 금전적 이득을 노리는 새로운 유형의 사이버 범죄가 발생하기 더 쉬워졌습니다. 이러한 모든 사이버 위협은 귀중한 데이터를 유출하고, 비즈니스 및 상거래에 지장을 주거나 일상 생활에 영향을 미칠 가능성이 있습니다.

DevSecOps는 조직이 IT 보안을 강화하고 소프트웨어 환경의 위험을 줄일 수 있는 수단으로 DevOps 사례와 보안 전략을 결합한 것입니다. 조직은 DevSecOps를 통해 기존 IT 보안 전략에 비해 더 빠르게 대규모로 소프트웨어 환경을 통합적으로 보호할 수 있습니다.

컨테이너는 다양한 환경과 배포 대상 전반에 걸쳐 애플리케이션이나 서비스를 쉽게 구축, 패키징 및 활성화할 수 있습니다. 그러나 컨테이너 보안에는 몇 가지 과제가 남아 있습니다. 컨테이너 기술을 채택하는 기업이 늘어나면서 보안 팀이 새로운 적대적 모델로부터 새로운 인프라 구성 요소를 보호해야 하는 상황입니다. 

정적인 보안 정책과 체크리스트가 엔터프라이즈 컨테이너로 확장되지는 않습니다. 공급망에는 더 많은 보안 정책 서비스가 필요하며, 각 팀에서는 컨테이너의 네트워킹과 거버넌스 요구 사항이 균형을 이루도록 해야 합니다. 성공적인 조직의 컨테이너 보안 프로그램은 기본 컨테이너 인프라뿐만 아니라 컨테이너 라이프사이클의 구축, 배포, 실행 단계 전반에 걸쳐 핵심 제어를 구현해야 합니다. 

어떻게 시작할까요?

이 웨비나 시리즈를 시청하여 컨테이너 애플리케이션 스택 및 라이프사이클 전반에서 보안의 필요성과 가치에 대한 전문가의 관점을 확인하세요.

컨테이너 보안에 대해 자세히 알아보기

많은 기업이 클라우드 서비스의 장점을 잘 알고 있지만 보안 위협 때문에 사용하기를 주저하고 있습니다. Red Hat도 이를 잘 알고 있습니다. 형태가 없는 리소스가 인터넷과 물리 서버를 통해 전송될 때 그 경로에 있는 모든 것을 파악하기란 쉽지 않습니다. 이러한 다이나믹한 환경에서는 상황이 계속 변하며 보안 위협도 예외가 아닙니다.

클라우드 네이티브 기술을 채택하면 새로운 보안 과제가 발생하기도 하지만 기존 보안 전략을 강화할 수 있는 기회도 생깁니다. 효과적인 클라우드 네이티브 보안 전략의 목표는 팀이 소프트웨어 제공 수준을 높이면서도 더 안전한 시스템을 구축할 수 있도록 해야 합니다. 

하이브리드 클라우드 환경은 사용자에게 다양한 옵션과 유연성을 제공합니다. 민감하거나 중요한 정보를 퍼블릭 클라우드에서 분리하는 동시에 그러한 위험이 없는 데이터에 대해서는 클라우드 공급업체를 활용할 수 있습니다. 몇 가지 하이브리드 클라우드 보안 과제와 이를 해결하는 데 필요한 툴을 살펴보세요. 

보통은 현금을 매트리스 밑에 두는 방식으로 저축하지는 않을 것입니다. 대부분은 신뢰할 수 있는 환경(은행)에 현금을 맡기고, 개별적으로 결제를 승인하고 인증합니다. API 보안은 이와 비슷합니다. 인증 및 권한 부여 정책을 갖춘 신뢰할 수 있는 환경이 필요합니다.

API 보안 모범 사례에는 토큰 사용, 암호화 및 서명, 할당량 및 제한, API 게이트웨이 등이 포함됩니다. 그러나 특히 API 보안을 유지하려면 API를 제대로 관리해야 합니다.

악성 소프트웨어를 뜻하는 맬웨어는 사용자의 이익을 침해하는 소프트웨어를 뜻하며, 랜섬웨어 및 애드웨어부터 봇넷에 이르기까지 각종 맬웨어는 데이터를 파괴하고 사생활을 침해하며 막대한 생산성 손실을 야기하고 있습니다. 피싱 사기를 통해 전달되기도 하는 맬웨어는 감염된 컴퓨터, 노트북 또는 기기는 물론, 감염된 기기가 통신할 수 있는 다른 기기에까지 영향을 줄 수 있습니다. 맬웨어 공격은 심각한 위협이지만, 효과적인 IT 보안을 통해 조직의 취약성과 사이버 공격에 대한 노출을 줄일 수 있습니다.

쿠버네티스(k8s 또는 '큐브(kube)'라고도 함)는 컨테이너화된 애플리케이션을 배포, 관리, 확장할 때 수반되는 다수의 수동 프로세스를 자동화하는 오픈소스 컨테이너 오케스트레이션 플랫폼입니다. 효과적인 예방 조치와 위험 관리 체계를 구축하려면 IT 보안 팀은 쿠버네티스 및 클라우드 네이티브 기술을 충분히 이해해야 합니다. 

쿠버네티스 네이티브 보안은 보다 심층적인 인사이트, 더 빠른 분석, 운영 간소화를 제공하여 보안 구현에 필요한 시간, 노력, 구성원에 대한 전반적인 투자 비용을 줄여줍니다.

CVE(Common Vulnerabilities and Exposures)는 공개적으로 알려진 컴퓨터 보안 결함 목록입니다. CVE는 보안 결함에 부여되는 CVE ID 번호의 약칭이기도 합니다. CVE를 통해 IT 전문가들은 이러한 취약점에 우선순위를 지정하고 해결하기 위해 협력하면서 컴퓨터 네트워크를 보다 안전하게 관리할 수 있습니다.

컨테이너 및 하이브리드 클라우드 기술이 등장하면서 보안 환경이 훨씬 더 복잡해졌습니다. 이러한 기술에 의해 유입되는 가변적인 위험, 컴플라이언스 요구 사항, 툴, 아키텍처 변경을 처리해야 하는 보안 팀의 어려움이 가중되고 있습니다. 전통적인 경계 기반 네트워크 보안만으로는 더 이상 대응하기가 어려우므로 보안 팀은 접근 방식을 새로운 관점에서 검토할 필요가 있습니다.

고객은 Red Hat의 계층화된 심층 방어 접근 방식을 통해 전체 인프라 및 애플리케이션 스택, 라이프사이클 전반에서 보안을 구현할 수 있습니다.

Red Hat은 고객이 확신을 갖고 지속적 보안 전략을 채택할 수 있도록 엔터프라이즈용 오픈소스를 지원합니다.Red Hat의 목표는 기업이 IT 보안 및 컴플라이언스를 유지하면서도 비즈니스 경쟁력과 유연성 및 적응력을 확보하도록 돕는 것입니다.

Red Hat의 고유한 서브스크립션 모델을 통해 고객은 전문가로 구성되어 연중무휴 24시간 지원을 제공하는 기술 전담 팀의 도움을 받을 수 있습니다. 다음은 오픈소스 보안 솔루션에 포함된 사항입니다.