오라클은 기업들이 분산된 IT 환경에서 데이터 보안을 보다 강화할 수 있도록 지원하기 위해 네트워크 및 데이터 보안을 위한 업계 차원의 새로운 개방형 표준 구축 이니셔티브에 참여한다고 발표했다. 이 새로운 이니셔티브를 위해 오라클은 어플라이드 인벤션(Applied Invention)과 일본 최고의 컨설팅 및 IT 솔루션 제공업체 중 하나인 노무라 종합 연구소(Nomura Research Institute; NRI)를 포함한 업계 전반의 주요 조직들과 협업할 예정이며, 새로운 표준은 여러 네트워크가 공통의 보안 정책을 종합적으로 실행할 수 있게 해 기업이 기존 애플리케이션 및 네트워크 변경 없이도 이미 사용 중인 보안 아키텍처를 강화할 수 있게 한다.

오라클은 새로운 이니셔티브를 지원하기 위해 신규 표준을 기반으로 오라클 제로 트러스트 패킷 라우팅 플랫폼(Oracle Zero-Trust Packet Routing Platform)을 출시할 계획으로, 기업은 이를 활용해 합법적인 활동의 범주를 정의하는 추가 조치 없이도 데이터에 대한 무단 액세스 또는 사용을 방지할 수 있게 된다.

오라클의 마헤쉬 티아가라얀(Mahesh Thiagarajan) 오라클 클라우드 인프라스트럭처 보안 및 개발자 플랫폼 총괄 부사장은 “지난 20여 년간 사이버 보안 산업은 점진적 변화를 거듭해왔으나, 점점 더 복잡해지는 클라우드 영역에서 데이터를 보호하려면 근본적으로 새로운 접근 방식이 필요해졌다. 기업들은 데이터 보안 정책을 쉽게 이해하고 감사할 수 있도록 해당 정책을 한 곳에 기술할 수 있는 방법과 이 정책들이 클라우드를 포함한 전체 컴퓨팅 인프라스트럭처에 적용되도록 보장할 방법을 필요로 한다.”라면서 “이와 같은 요구사항을 충족하기 위해 오라클은 어플라이드 인벤션을 포함한 기술 업계 리더들과 손잡고 개방형 제로 트러스트 패킷(ZPR) 표준을 생성하기 위한 첫 걸음을 내디뎠다. 이 표준은 오라클이 참여하는 업계 컨소시엄을 통해 개발 및 관리될 예정이다. 보다 광범위한 정책 적용과 상호 운용성이 보장될수록 모두를 위한 더욱 강력하고 일관적인 데이터 보호가 가능해지는 만큼, 기술 업계 전반의 협업을 환영한다.”고 전했다.

클라우드 활용이 증가하고 분산형 클라우드 배포로 IT 환경이 더욱 복잡해짐에 따라 기업 조직이 기존 관행과 도구만으로 데이터를 보호하기가 어려워지고 있다. 예를 들어, 현존하는 대부분의 시스템 상에서는 보안 팀이 데이터베이스, 네트워크, 애플리케이션, ID 보안 전반의 사일로화된 솔루션을 조율해야 하며, 이를 여러 다양한 환경으로 확장할 경우 복잡성은 더욱 가중된다. 또한 애플리케이션과 환경은 물론 사용자들까지도 지속적 및 개별적으로 변화함에 따라 해당 솔루션들이 함께 작동하는지 확인하는 것은 어려울 수 있다. 오늘날의 보안 시스템은 과도하게 허용하거나 제한하지 않는 방식으로 정규직, 계약직 등 사용자의 유형을 구분하기 위한 확장 구성 역시 필요로 한다.

오라클과 어플라이드 인벤션은 이와 같은 도전 과제를 해결할 새로운 네트워크 및 데이터 중심 보안 표준의 구축 및 홍보를 위해 협력하고 있다. 이 보안 표준은 기업 조직이 분산형 클라우드 환경을 포함한 기반 아키텍처의 변경 없이도 기업의 전체 수명 주기에 걸쳐 데이터를 보호할 수 있게 지원하며, 이를 달성하기 위해 인간이 읽고, 감사하고, 이해할 수 있는 인텐트 기반 보안 정책을 사용한다. 이 인텐트는 발신자, 수신자, 사용 중인 데이터 유형에 대한 인증된 속성을 포함한 모든 트래픽과 함께 네트워크 계층에서 적용되며, 해당 네트워크는 이 속성들을 사용해 데이터가 이동할 수 있는 위치를 제한한다. 새로운 표준을 구현하거나 상호 운용하는 기술 제공업체 및 사용자들은 자체 네트워크 장치를 사용해 데이터가 저장된 곳 어디에서나 데이터에 대한 위협을 추적 및 차단함으로써 통합 보안 계층을 구축할 수 있다. 결과적으로, 수많은 장치 및 보안 매커니즘을 조정 및 구성하는 과정에서 야기되는 일반적인 보안 취약성을 악용하기가 전보다 더 어려워지게 된다. 예를 들어, 한 애플리케이션에 대해 권한을 부여받은 사용자가 데이터 악용 위험이 있는 다른 환경으로 데이터 내보내기를 시도하는 경우, 이 정책은 보안 인텐트의 위반을 감지해 데이터 이전을 차단하고 해당 인시던트에 대한 알림을 생성한다.

새로운 표준은 어플라이드 인벤션이 구축한 기술을 기반으로 한다. 어플라이드 인벤션의 대니 힐리스(Danny Hillis) 공동 설립자는 “현대의 보안 기술이 과거에도 존재했다면 인터넷은 처음부터 ZPR 방식으로 설계되었을 것이다. ZPR이 모두의 데이터 보안을 더욱 강화해 줄 것이라고 믿는다.”라며 “이 이니셔티브는 전 세계 사이버 보안을 한 차원 더 개선할 수 있는 기회를 제공한다. 오라클 및 다양한 업계 리더들과 협업을 통해 그 잠재력을 실현할 수 있기를 기대한다.”라고 말했다.

IDC의 데이브 매커시(Dave McCarthy) 클라우드 및 에지 인프라 서비스 담당 연구 부사장은 “안전한 사이버 보안 시스템을 설계하는 과정에서 더욱 많은 점검 항목과 제한 사항을 적용할수록 시스템에 저장되는 데이터의 보안은 강화된다. 다만 이와 같은 제한은 종종 시간 소모적인 장애를 야기하기 때문에 데이터에 대한 적법한 액세스 및 변경 요구사항을 보유한 사용자들에게는 큰 비효율성을 초래할 수 있다.”라며 “오라클이 개발을 지원 중인 이 새로운 표준은 기존 솔루션에 통합 보안 계층을 추가함으로써 이 모든 우려를 불식시킬 수 있다. 데이터 보호 정책 자체를 네트워크에 직접 구축하면 사용자들에게 필요한 액세스를 제공하는 동시에 데이터를 안전하게 보호할 수 있다.”라고 설명했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★