CWPP(Cloud Workload Protection Platform)이란 무엇인가?
CWPP 정의
CWPP(Cloud Workload Protection Platform)는 클라우드에서 실행되는 워크로드를 보호하는 보안 플랫폼이다. 여기서 워크로드는 가상 머신(VM), 컨테이너, Kubernetes, 서버리스 함수, 애플리케이션 프로세스, 관련 데이터 등을 포함한다. CWPP는 이러한 워크로드가 어디에서 실행되는지보다, 실제로 어떤 코드와 프로세스가 실행되고 어떤 위험에 노출되는지를 본다.
기존 서버 보안은 고정된 시스템을 기준으로 설계된 경우가 많았다. 그러나 클라우드 환경에서는 워크로드가 짧게 생성됐다 사라지고, 여러 계정과 리전, 클러스터에 분산된다. 보안팀이 모든 워크로드를 수동으로 확인하기 어렵다. CWPP는 이 지점에서 취약점, 설정, 권한, 런타임 행위를 함께 확인한다.
클라우드 워크로드 보안이 필요한 이유
클라우드 침해는 하나의 취약점만으로 끝나지 않는 경우가 많다. 외부에 노출된 워크로드가 있고, 그 안에 장기 자격 증명이 남아 있으며, 연결된 권한이 과도하면 공격자는 다음 시스템으로 이동할 수 있다. 이 조합이 단일 취약점보다 더 큰 문제가 된다.
컨테이너 이미지에 취약한 패키지가 포함될 수 있다. 서버리스 함수는 짧게 실행되기 때문에 일반적인 엔드포인트 방식으로 추적하기 어렵다. Kubernetes 환경에서는 잘못된 권한과 네트워크 설정이 공격 경로를 넓힐 수 있다. 보안팀은 “취약점이 있는가”만 보는 것이 아니라 “그 취약점이 실제 실행 중인 워크로드에서 악용될 가능성이 있는가”를 확인해야 한다.
Article
하이브리드 클라우드 시대, 보안 공백을 어떻게 메울 것인가?
CWPP는 어떻게 작동하는가
CWPP는 보통 세 단계로 작동한다. 먼저 워크로드를 식별한다. 클라우드 계정, VM, 컨테이너 이미지, Kubernetes 리소스, 서버리스 함수 등을 확인해 보호 대상의 범위를 잡는다.
다음으로 위험을 분석한다. 이미지와 패키지의 취약점, 잘못된 설정, 비정상 권한, 민감 정보 노출 여부를 확인한다. 이때 단순히 목록을 만드는 데 그치면 운영 부담이 커진다. 보안팀은 외부 노출 여부, 실행 상태, 권한 범위, 데이터 접근 가능성을 함께 봐야 한다.
마지막은 런타임 보호이다. 런타임은 워크로드가 실제로 실행되는 시점이다. 공격자는 이 단계에서 악성 프로세스를 실행하거나, 권한을 높이거나, 컨테이너 탈출을 시도하거나, 크립토마이닝을 수행할 수 있다. CWPP는 이러한 행위를 탐지하고 경고, 차단, 격리, 조사 흐름으로 연결한다.
CWPP의 주요 기능
워크로드 가시성
CWPP는 클라우드에 있는 워크로드를 보여준다. 중요한 점은 단순 자산 목록이 아니다. 어떤 워크로드가 외부에 노출됐는지, 어떤 이미지로 배포됐는지, 어떤 권한을 쓰는지, 어떤 데이터와 연결되는지를 함께 보여줘야 한다.
취약점 및 이미지 보안
컨테이너와 VM 이미지는 배포 전에 취약한 라이브러리나 패키지를 포함할 수 있다. CWPP는 이미지와 실행 중인 워크로드를 스캔해 취약점을 찾고, 실제 위험이 큰 항목을 먼저 보도록 돕는다. 개발 단계에서 발견한 문제는 배포 전에 고칠 수 있고, 운영 중 발견한 문제는 노출도와 실행 여부를 기준으로 우선순위를 정해야 한다.
런타임 위협 탐지
런타임 보호는 CWPP의 핵심 기능이다. 파일리스 실행, 의심스러운 프로세스 생성, 권한 상승, 비정상 네트워크 연결, 컨테이너 탈출 시도 같은 행위는 배포 전 스캔만으로는 알기 어렵다. 워크로드 내부에서 실제로 어떤 행위가 발생하는지 봐야 한다.
Host IPS (Host Intrusion Prevention System)
Host IPS는 서버나 워크로드 내부에서 발생하는 공격 시도를 차단하는 기능이다. 공격자가 알려진 취약점을 악용하려 하거나 비정상적인 시스템 호출을 실행할 경우 Host IPS가 이를 탐지하고 차단할 수 있다. 패치가 즉시 어려운 환경에서는 가상 패치(Virtual Patching) 형태로 위험을 줄이는 데 도움이 된다. 클라우드 환경에서는 인터넷에 노출된 워크로드가 많기 때문에 Host IPS가 추가 방어 계층으로 사용되는 경우가 많다.
무결성 모니터링 (Integrity Monitoring)
무결성 모니터링은 중요한 파일이나 시스템 구성이 예상치 않게 변경됐는지 확인하는 기능이다. 예를 들어 공격자가 시스템 파일을 수정하거나 악성 스크립트를 추가하면 정상적인 운영 환경과 다른 상태가 된다. CWPP는 이러한 변화를 지속적으로 감시하고 예상되지 않은 변경이 발생하면 경고를 생성한다. 특히 규제 준수 요구사항이 있는 환경에서는 중요 파일 변경 이력을 추적하는 용도로도 활용된다.
Application Control
Application Control은 워크로드에서 실행 가능한 애플리케이션을 관리하는 기능이다. 보안팀은 승인된 프로그램만 실행하도록 허용하거나, 특정 프로세스의 실행을 제한할 수 있다. 이를 통해 공격자가 침해 이후 임의의 도구를 설치하거나 악성 프로그램을 실행하는 것을 어렵게 만들 수 있다. 예를 들어 웹 서버는 웹 서비스에 필요한 프로세스만 실행하고, 승인되지 않은 쉘이나 관리 도구는 차단하도록 정책을 구성할 수 있다.
Anti-Malware
Anti-Malware는 악성코드 탐지 및 차단 기능이다. 랜섬웨어, 백도어, 크립토마이너, 트로이목마 등 알려진 악성코드 패턴을 탐지하거나 의심스러운 파일 행위를 분석한다. 최근에는 시그니처 기반 탐지뿐 아니라 행위 기반 분석을 함께 적용하는 경우가 많다. 컨테이너 환경에서도 악성 파일 다운로드, 비정상 프로세스 생성, 암호화폐 채굴 활동 등을 탐지하는 데 활용된다.
정책 적용과 컴플라이언스 점검
기업은 보안 기준과 규제 요구사항을 워크로드 운영에 반영해야 한다. CWPP는 암호화 설정, 불필요한 포트, 취약한 구성, 기준 미준수 항목을 확인한다. 다만 컴플라이언스 점검은 보안의 전부가 아니다. 기준을 충족해도 런타임 공격은 발생할 수 있다.
CWPP와 CSPM, CNAPP의 차이
CSPM(Cloud Security Posture Management)은 클라우드 설정과 구성 오류를 확인하는 데 초점을 둔다. 예를 들어 공개 스토리지, 과도한 보안 그룹, 잘못된 IAM 설정 등을 찾는다.
CWPP는 실행 중인 워크로드 자체를 본다. 취약점, 프로세스, 컨테이너 행위, 런타임 위협이 중심이다. CSPM이 “클라우드 구성이 안전한가”를 본다면, CWPP는 “실행 중인 워크로드가 공격받고 있는가, 악용될 수 있는가”를 본다.
CNAPP(Cloud-Native Application Protection Platform)는 CSPM, CWPP, CIEM, 코드 보안 등 여러 기능을 하나의 흐름으로 묶는 개념이다. CWPP는 CNAPP의 한 축으로 볼 수 있다.
CWPP 도입 시 확인할 점
CWPP를 검토할 때는 탐지 기능의 이름보다 운영 흐름을 봐야 한다. 보안팀이 실제로 어떤 신호를 보고, 어떤 조치를 할 수 있는지가 중요하다.
먼저 보호 범위를 확인해야 한다. VM만 보는지, 컨테이너와 Kubernetes, 서버리스까지 포함하는지 확인할 필요가 있다. 다음으로 런타임 탐지가 실제 프로세스와 네트워크 행위를 얼마나 잘 보여주는지 봐야 한다. 마지막으로 개발, 운영, 보안팀의 업무 흐름과 연결되는지도 중요하다. 티켓, 알림, 정책 예외, 배포 파이프라인과 연결되지 않으면 탐지는 쌓이지만 조치는 늦어진다.
CWPP의 목적은 모든 위험을 한 번에 없애는 것이 아니다. 보안팀이 실제 공격 가능성이 큰 워크로드를 먼저 보고, 실행 중인 위협을 놓치지 않도록 돕는 것이다.
FAQ
CWPP는 EDR과 다른가?
EDR(Endpoint Detection and Response)은 주로 엔드포인트와 서버의 행위를 탐지하고 대응한다. CWPP는 클라우드 워크로드의 특성을 반영한다. 컨테이너, Kubernetes, 서버리스, 클라우드 권한, 이미지 취약점 같은 요소를 함께 본다는 점이 다르다.
CWPP는 에이전트가 꼭 필요한가?
제품과 방식에 따라 다르다. 에이전트 기반 방식은 런타임 행위를 자세히 볼 수 있다. 에이전트리스 방식은 배포 부담을 줄이고 넓은 범위를 빠르게 확인하는 데 유리하다. 실제 운영에서는 보호 대상과 필요한 탐지 깊이에 따라 방식을 선택해야 한다.
CWPP는 개발 단계에서도 필요한가?
필요하다. 취약한 이미지나 패키지는 배포 전에 발견하는 것이 가장 좋다. 다만 개발 단계 점검만으로 충분하지 않다. 운영 중인 워크로드에서는 새로운 공격, 설정 변경, 권한 오남용이 발생할 수 있다. CWPP는 배포 전 점검과 런타임 보호를 이어주는 역할을 한다.
안랩의 클라우드 워크로드 보안
AhnLab CPP는 물리 서버, 가상 서버, 클라우드 VM, 쿠버네티스 (Kubernetes) 클러스터, 서버리스 컨테이너 등 다양한 형태의 클라우드 인프라에서 운영되는 워크로드를 통합적으로 보호하는 클라우드 워크로드 보안 플랫폼(CWPP)이다. AhnLab CPP는 안티멀웨어, IDS/IPS, 방화벽, 애플리케이션 제어, 무결성 검사 등 호스트 보호부터 실행 중인 컨테이너 식별 및 이미지 검사까지 하나의 매니지먼트에서 운영하여 클라우드 워크로드에 대한 단일 보안 관리 역량을 제공한다.