📸 컨퍼런스 현장 스케치 : 공공 클라우드, 이제 보안이 먼저다

2025. 3. 26.

😊 안녕하세요. 😊

테이텀은 이번 eGISEC 2025 행사에 참여해 3월 19일부터 21일까지 전시 부스를 운영하며 N2SF에 최적화된 클라우드 보안 전략을 제시했습니다. 더불어, 컨퍼런스 기술 발표를 통해 <공공 클라우드 보안의 정석>을 주제로 공공기관이 클라우드를 도입할 때 고려해야 할 새로운 보안 위협과 대응 방안을 제시했습니다. 기술 발표 내용은 다음과 같습니다.

클라우드는 더 이상 선택이 아닌, 디지털 혁신의 기본 인프라로 자리 잡았습니다. 민간 기업은 이미 '클라우드 네이티브'로 전환을 가속화하고 있습니다. 정부는 2030년까지 전 행정·공공기관의 90%를 클라우드로 전환할 계획입니다.

정부 공공기관은 전문인력 부족과 보안에 대한 불신, 법·규정 준수의 불확실성 등 3개 문제에 봉착해 있습니다.

[ 클라우드 도입의 3대 걸림돌 ]

1. 전문 인력 부족

- 클라우드 인프라 운영 및 보안 인력의 절대적 부족

- 내부 역량 강화를 위한 장기 투자 필요

2. 보안에 대한 불신

- 데이터를 외부(클라우드)에 저장하는 것에 대한 불안감

- “데이터가 유출되면 공공 신뢰는 무너진다”는 우려

3. 법·규정 준수의 불확실성

- 공공기관의 보안 요구사항과 클라우드 서비스 제공자의 준수 여부 확인이 어려움

- 규정 미준수 시 법적 책임 우려

이 중에서도 데이터 보안과 법·규정 준수에 대한 신뢰 부족이 클라우드 전환을 가로막는 주된 원인입니다. 테이텀은 이런 우려를 해소하는 방법을 국가망보안체계(N2SF), 제로트러스트, 클라우드 컴퓨팅 가이드 라인에 기반해 제시합니다.

📝 N2SF-제로트러스트-클라우드 컴퓨팅 가이드라인 기반 보안책

기존의 ‘망 분리 정책’은 완전한 인터넷 차단을 통한 보안 강화에 중점을 뒀습니다. 하지만 클라우드, 재택근무, 생성형 AI 등 IT 환경의 급격한 변화에 따라 경직된 망 분리는 업무 효율성과 공공 데이터 활용에 제약을 주기 시작했습니다. 그래서 등장한 것이 바로 ‘국가망 보안 체계(National Network Security Framework, N2SF)’입니다.

클라우드 환경에서는 기존 네트워크 경계 중심의 보안은 무력화됩니다. 따라서 모든 자산에 대해 '신뢰하지 않고 검증(Zero Trust)'하는 구조 필요합니다. 공격 표면 증가에 따른 세분화된 자산 식별 및 위협 탐지가 중요합니다.

📝 N2SF로 공공기관 클라우드 활용의 길 열려

국가정보원이 마련한 ‘국가망 보안체계(N2SF)’는 공공기관의 업무 중요도에 따라 정보를 ‘기밀(C), 민감(S), 공개(O)’ 3단계로 구분하고, 보안 통제를 차등 적용하는 프레임 워크입니다. 이는 기존의 일률적인 망 분리 정책을 개선해, ‘보안성과 활용성을 동시에 확보’하려는 취지입니다.

공공의 디지털 전환은 ‘보안’이라는 거대한 장벽을 넘지 않고서는 완성될 수 없습니다. N2SF는 기술적 보호뿐 아니라 제도적·운영상 정합성을 고려한 종합적 접근 방식입니다. 이제는 기술-정책-운영을 아우르는 통합적 보안 전략이 필요한 시점입니다.

✔ 기밀(C) : 망 분리 유지

✔ 민감(S) : 제한적 공유 가능

✔ 공개(O) : 민간 클라우드에서 적극 활용 가능

🔎 제로 트러스트, 신뢰하지 말고 항상 검증하라

“한 번 인증되면 끝”이던 시대는 지났습니다. 제로 트러스트(Zero Trust)는 ‘절대 신뢰하지 말고 항상 검증하라’는 철학을 기반으로, 지속적인 인증과 최소 권한 원칙을 적용합니다. 클라우드 자산, 사용자, 접속 이력 등을 끊임없이 추적하고 식별해야만 보안 위협을 줄일 수 있다.

클라우드에서 중요한 것은 과거와 같은 레거시 보안이 아니라, '1. 누가 접속했는가 2. 무엇에 접근했는가 3. 어떤 활동을 했는가'를 끊임없이 모니터링하고 자동화하는 것입니다.

⁉️ 클라우드 보안, 공급자의 책임이 아니다?

많은 분들이 오해하는 부분 중 하나가, “클라우드니까 보안도 클라우드 공급자가 알아서 해줄 거야”입니다. 하지만 실제로는 그렇지 않습니다. 보안의 대부분은 ‘사용자 책임(User Responsibility)’에 해당합니다.

데이터 분류
접근 권한 관리
암호화 설정
인증 정책 수립

이 모든 것은 기관 스스로 결정하고 책임져야 합니다. 해외에서는 이미 수많은 사고가 발생하고 있습니다.

미 국토안보부 : 스토리지 설정 오류로 인한 대규모 유출
영국 NHS : 의료정보를 클라우드로 통합 중 해킹 피해
호주 세무청 : AWS 권한 설정 오류로 기밀 정보 유출

이들 사고의 공통점은 단순합니다. ‘기술 부족이 아닌, 관리 미비’가 문제였습니다.

💠 보안은 기술이 아니라 ‘운영’이다

기술적 보호도 중요하지만, 진짜 핵심은 ‘보안 통제를 어떻게 자동화할 것인가’입니다.

복잡한 프라이빗 클라우드 환경
다수의 취약점 존재
다양한 규정 준수

이런 문제들을 해결하려면, 보안 점검 → 규정 준수 → 자동 레포트 생성까지 이어지는 통합 관리 체계가 필요합니다.

💯 공공 클라우드의 ‘보안 정석’을 위하여

앞으로 공공기관은 클라우드를 쓰지 않는 것이 아니라 어떻게 안전하게 쓸 것인가를 고민해야 합니다.

N2SF는 차세대 보안 정책의 뼈대가 될 것입니다.
제로 트러스트는 그 안에 담긴 철학입니다.
그리고 이를 실행으로 옮기기 위한 자동화된 시스템이 필요합니다.

보안은 더 이상 ‘비용’이 아니라, 디지털 전환의 필수 요소입니다. 이제, 공공도 클라우드 보안을 고민해야 할 때입니다.

🛡 CNAPP란

CNAPP(Cloud-Native Application Protection Platform)은 이름 그대로 클라우드 네이티브 환경 전반을 보호하는 통합 보안 플랫폼입니다. CSPM, CWPP, CIEM 등 여러 보안 기술을 하나의 플랫폼으로 묶어 클라우드 자산을 전방위로 보호합니다.

1️⃣ CSPM – 클라우드 보안 설정부터 자동화된 점검까지

클라우드 리소스가 수십 수백 개에 달하면, 사람이 하나하나 설정을 점검하는 건 현실적으로 불가능합니다. 테이텀의 CSPM(Cloud Security Posture Management)은 이를 자동화합니다. 실시간 클라우드 리소스 식별 및 시각화합니다. 주요 이벤트 발생 시 알람을 제공합니다. 보안 설정 오류 탐지(예: Public 스토리지 여부, MFA 미설정 등) 합니다. 다양한 국내외 컴플라이언스(ISO 27001, ISMS 등)을 점검합니다.

2️⃣ CWPP –컨테이너와 워크로드까지 빈틈없이

클라우드 환경에서 컨테이너와 호스트, 쿠버네티스(Kubernetes)는 기본이 되었습니다. 하지만 그만큼 공격 표면도 늘어납니다. 테이텀은 CWPP(Cloud Workload Protection Platform)를 통해 다음과 같은 기능을 제공합니다. 컨테이너 이미지 취약점(CVE)을 스캔합니다. 클러스터 및 호스트 기반 컴플라이언스를 점검합니다. 한국인터넷진흥원(KISA)와 금융보안원 등 정부 가이드라인을 기반으로 취약점을 진단합니다.

3️⃣ CIEM – 클라우드 사용자 권한까지 컨트롤

“누가 어떤 권한으로 무슨 작업을 했는가?”를 모르면 보안은 그림의 떡입니다. CIEM(Cloud Infrastructure Entitlement Management)은 사용자의 활동을 투명하게 모니터링하고, 최소 권한 원칙을 적용할 수 있게 합니다. 사용자 계정 권한 분석에서 접근 이력 및 활동 모니터링, 과도한 권한 경고 및 대응 가이드를 제공합니다.

CSAP, ISMS, ISO27001 등 국내외 규제와 가이드라인을 충족해야 하는 기관은 테이텀 CNAPP의 컴플라이언스 관리 기능에 주목해야 합니다. 테이텀 CNAPP는 국가망보안체계(N2SF)를 지원합니다. 국내·글로벌 클라우드 환경과 멀티 클라우드 환경에서도 유연하게 적용할 수 있습니다.