[디지털투데이 황치규 기자] 클라우드 컴퓨팅으로 보안 업계 판세도 변화가 거센 가운데, 새로운 개념과 용어들이 쏟아진다. 

최근에는 클라우드 네이티브 애플리케이션 보안 플랫폼(cloud-native app protection platform, CNAPP)을 둘러싼 관련 업계 움직임이 분주하다.

2021년 초 가트너가 정의한 CNAPP은 다양한 클라우드 네이티브 보안 툴들을 묶어 단일 플랫폼으로 제공하는 것에 초점이 맞춰져 있다. 따로 따로 진화해온 클라우드 네이티브 애플리케이션 보안 시장이 CNAPP이란 우산 아래 하나의 플랫폼으로 통합되는 흐름을 밑바탕에 깔고 있다.

클라우드 보안 상태 관리, 클라우드 워크로드 보호, 코드형 인프라infrastructure-as-code: 수동 프로세스가 아닌 코드를 통해 인프라를 관리하고 프로비저닝하는 것을 의미) 스캐닝, 클라우드 인프라 권한 관리 등이 CNAPP을 구성하는 핵심적인 컴포넌트들로 꼽힌다. 이를 통해 개발 중이거나 실행에 들어간 클라우드 애플리케이션들을 모니터링하고 위협에 대한 가시성을 제공할 수 있다는 것이 업게 설명이다

CNAPP에 출사표를 던지는 회사들도 늘었고 CNAPP으로 수렴되는 보안 기능들도 확산되는 모양새다. 현재 판세는 글로벌 보안 업체들이 CNAPP 시장 초반 레이스를 주도하는 분위기다. 이런 가운데 안랩 등 국내 보안 업체들이 CNAPP 시장 진출이 점점 구체화되는 양상이다.

네트워크 보안 업체로 유명한 팔로알토 네트웍스는 프리즈마 클라우드 플랫폼을 토해 CNAPP 솔루션을 제공하고 있다. 최근 팔로알토 네트웍스는 소프트웨어 구성 요소 분석(software composition analysis: SCA) 역량도 프리즈마 클라우드에 추가했다.

SCA를 통해 팔로알토 네트웍스는 개발자들과 보안 팀들이 선제적으로 애플리케이션 라이프 사이클에 영향을 미치는 알려진 취약점들에 대해 우선선위를 정할 수 있도록 한다는 목표다.

프리즈마 클라우드 SCA는 애플리케이션이 현장에 투입되기 전 오픈소스 소프트웨어에서 취약점을 탐지하고 개선할 수 있도록 한다는게 회사측 설명이다.

팔로알토 네트웍스의  안쿠르 샤(Ankur Shah) 프리즈마 클라우드 담당 부사장은 "오픈소스 소프트웨어를 활용하는 개발자들은 그들이, 조직들에 리스크를 열어주지 않는다는 확신을 갖고 애플리케이션을 개발할 수 있어야 한다"면서 "평균적으로 애플리케이션들은 75%가 오픈소스 컴포넌트들로 이뤄져 있다. 프리즈마 클라우드 SCA는 조직들이 코드부터 클라우드까지 보호할 수 있는 핵심"이라고 강조했다.

아쿠아 시큐리티도 최근 엔드투엔드 소프트웨어 서플라이 체인 보안을 표방하는 솔루션을 발표했다. 조직들이 클라우드 네이티브 애플리케이션들에 대한 서플라이 체인 공격들을 방지하고 막을 수 있도록 소프트웨어 개발 라이프 사이클(software development lifecycle (SDLC))에 걸쳐 보호 기능을 제공하는데 초점이 맞춰져 있다.

아쿠아 시큐리티 CNAPP 플랫폼 일환으로 제공되며, 코드 스캐닝, 지속적인 통합/지속적인  배포(CI/CD) 상태 관리, 파이프라인 보안, 강화된 소프트웨어 재료명세서(software Bill of Material: SBOM), 오픈소스 상태 측정과 같은 기능 등을 포함하고 있다.

아쿠아 시큐리티는 최근 국내 클라우드 보안 시장 공략에도 본격적인 시동을 걸었다. 한국 클라우드 리전을 통해 서비스를 제공하고 ISMS-P등 국내 컴플라이언스 이행 점검 기능을 제공해 국내 엔터프라이즈와 금융, 공공 시장 공략에 나선다는 방침이다.

팔로알토 네트웍스, 아쿠아시큐리이 외에 트렌드마이크로도 CNAPP 시장에서 중량감 있는 플레이어로 부상했고 CNAPP으로 확장하려는 기존 보안 업체들 행보에도 가속도가 붙었다.

클라우드 기반 엔드포인트 보안을 주특기로 하는 크라우드스트라이크도 CNAPP로의 확장에 적극적이다. 최근에는 크라우드스트라이크 클라우드 시큐리티(CrowdStrike Cloud Security) 솔루션에서 CNAPP 역량들을 추가했다.

CNAPP 시장을 겨냥한 국내 보안 업체들 행보도 꿈틀거리고 있다. 안랩도 구체적인 출시 시점은 공개하지 않았지만 현재 CNAPP을 준비 중이다. 안랩은 최근 개최한 ‘안랩 ISF 2022’ 컨퍼런스에서도 CNAPP를 중요한 주제로 다뤘다.

안랩 관계자는 "클라우드 워크로드 보안은 안랩 CPP로 제공 중이고, 클라우드 MSP인 안랩 클라우드로 클라우드 구축 및 운영, 보안을 지원하고 있다"고 말했다.