CSPM·CWPP·CNAPP 차이 — 우리 조직에 맞는 클라우드 보안은?
CSPM은 클라우드 설정·구성의 위험을 점검하고 컴플라이언스를 관리하는 기술이며, CWPP는 서버·컨테이너 같은 워크로드를 런타임 단계에서 보호합니다. CNAPP는 이 둘을 하나로 통합한 플랫폼으로, 설정 점검부터 워크로드 보호까지 클라우드 보안을 단일 체계로 다루는 접근입니다.
클라우드로 인프라가 옮겨가면서 "우리는 어떤 클라우드 보안이 필요한가"라는 질문이 늘었습니다. 시장에는 CSPM, CWPP, CNAPP라는 약어가 혼재하는데, 이들은 경쟁하는 제품군이 아니라 보호하는 대상과 역할이 서로 다른 기술 계층입니다. 이 글은 세 가지를 명확히 구분하고, 어떻게 상호 보완하는지, 그리고 조직 상황에 따라 무엇부터 시작해야 하는지를 정리합니다.
CSPM이란 — 클라우드 설정·구성을 점검하는 기술
CSPM(Cloud Security Posture Management, 클라우드 보안 상태 관리)은 클라우드 환경의 설정과 구성이 안전한지 지속적으로 점검하고 잘못된 구성을 찾아내는 기술입니다. 클라우드 사고의 상당수는 외부 공격보다 "잘못 설정된 권한"이나 "공개된 스토리지" 같은 구성 오류(misconfiguration)에서 비롯됩니다. CSPM은 바로 이 지점을 다룹니다.
CSPM이 점검하는 대표적 항목은 다음과 같습니다.
- 과도하게 열린 보안 그룹·방화벽 규칙
- 외부에 공개된 오브젝트 스토리지(버킷) 등 데이터 노출 위험
- 최소 권한 원칙을 위반한 IAM 계정·역할
- 암호화·로깅·다중 인증(MFA) 미적용 등 보안 기준 미준수
- ISMS-P, ISO 27001 같은 인증·규제 기준 대비 컴플라이언스 격차
CSPM은 워크로드 내부에 무엇이 동작하는지를 보는 것이 아니라, 클라우드 계정 전체의 "자세(posture)"를 외부에서 조망합니다. 따라서 대부분 클라우드 API를 읽기 전용(read-only) 권한으로 연동해 동작하며, 운영 환경에 부하나 변경을 주지 않고 위험을 가시화한다는 점이 특징입니다.
CWPP란 — 워크로드를 런타임에서 보호하는 기술
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)는 서버, 가상머신, 컨테이너 등 실제로 애플리케이션이 실행되는 "워크로드"를 런타임 단계에서 보호하는 기술입니다. CSPM이 "설정이 올바른가"를 본다면, CWPP는 "실행 중인 워크로드가 공격받거나 변조되고 있지 않은가"를 봅니다.
CWPP가 제공하는 대표적 기능은 다음과 같습니다.
- Host IPS(호스트 침입 방지) — 서버·컨테이너로 향하는 공격 트래픽과 악성 행위 차단
- 가상 패칭(virtual patching) — 보안 패치를 즉시 적용하기 어려운 시스템의 취약점을 보호 규칙으로 임시 방어
- 악성코드·이상 프로세스 탐지 및 파일 무결성 점검
- 취약점 진단과 컨테이너 이미지 점검
CWPP는 워크로드에 에이전트를 두거나 시스템 동작을 관찰하는 방식으로 운영체제 내부와 런타임을 직접 보호합니다. 특히 가상 패칭은 패치 적용에 시간이 걸리는 운영 환경, 또는 더 이상 패치가 제공되지 않는 레거시 시스템에서 공격 표면을 줄이는 현실적인 수단입니다.
CNAPP란 — CSPM과 CWPP를 통합한 플랫폼
CNAPP(Cloud-Native Application Protection Platform, 클라우드 네이티브 애플리케이션 보호 플랫폼)는 CSPM과 CWPP를 비롯한 여러 클라우드 보안 기능을 하나의 플랫폼으로 통합한 접근입니다. 설정 점검(CSPM)과 워크로드 보호(CWPP)를 별개 도구로 운영하면 위험 정보가 흩어지고, 어떤 위험이 실제로 위험한지 판단하기 어렵습니다. CNAPP는 이를 단일 체계에서 연결해 보안의 사각지대를 줄입니다.
CNAPP의 핵심 가치는 "통합으로 인한 맥락(context)"입니다. 예를 들어 "외부에 공개된 설정"이라는 구성 위험(CSPM)과 "그 워크로드에 알려진 취약점이 있다"는 사실(CWPP)을 함께 보면, 단순한 경보 목록이 아니라 우선순위가 매겨진 실제 공격 경로를 도출할 수 있습니다. 도구를 따로 쓸 때보다 운영 부담이 줄고, 대응이 빨라진다는 것이 CNAPP를 도입하는 이유입니다.
한눈에 보는 비교 — CSPM · CWPP · CNAPP
| 구분 | 보호 대상 | 핵심 기능 | 대표 사용 시나리오 |
|---|---|---|---|
| CSPM | 클라우드 계정·설정·구성 | 설정 오류 점검, 컴플라이언스 관리, 위험 가시화 | 인증 준비, 멀티클라우드 구성 점검, 데이터 노출 방지 |
| CWPP | 서버·VM·컨테이너 등 워크로드 | Host IPS, 가상 패칭, 악성코드·이상행위 탐지 | 운영 서버 보호, 패치 지연 시스템 방어, 컨테이너 보안 |
| CNAPP | 설정 + 워크로드 통합 | CSPM·CWPP 기능 통합, 위험 상관분석·우선순위화 | 분산된 보안 도구 통합, 대규모·규제 환경의 종합 관제 |
우리 조직은 무엇부터 시작해야 하나 — 상황별 가이드
세 가지는 양자택일이 아니라 성숙도에 따른 단계적 확장으로 보는 것이 현실적입니다. 조직 상황별로 정리하면 다음과 같습니다.
스타트업·초기 클라우드 도입 조직
먼저 CSPM부터 시작하는 것을 권합니다. 적은 운영 인력으로도 클라우드 전체의 설정 위험을 빠르게 가시화할 수 있고, 읽기 전용 연동이라 도입 부담이 작기 때문입니다. 사고의 큰 비중을 차지하는 구성 오류를 가장 비용 효율적으로 줄이는 출발점입니다.
인증(ISMS-P 등) 준비 조직
컴플라이언스 항목을 기준으로 격차를 점검하는 CSPM이 핵심이며, 인증이 요구하는 침입 방지·취약점 관리 통제를 충족하기 위해 CWPP를 함께 갖추는 경우가 많습니다. 점검 결과를 인증 항목과 매핑해 보여주는 기능이 있으면 준비 기간이 크게 단축됩니다.
금융·대규모·규제 산업 조직
워크로드 수가 많고 규제 요건이 엄격할수록 도구가 분산되면 운영이 무너집니다. 이 경우 CSPM과 CWPP를 통합 운영하고 관제까지 연결하는 CNAPP 형태의 종합 체계가 적합합니다. 흩어진 경보 대신 우선순위화된 위험과 일관된 관제 흐름이 필요하기 때문입니다.
gnFortress의 접근 — 한국형 CNAPP로의 단계적 확장
gnFortress는 이 단계적 확장을 하나의 체계(삼중 방패)로 구현합니다. 먼저 Posture(CSPM)로 클라우드 설정 위험과 컴플라이언스 격차를 가시화하고, HostIPS(CWPP)로 서버·워크로드를 런타임에서 보호하며, XDR(관제)로 탐지·대응을 통합합니다. 설정 점검에서 워크로드 보호, 관제까지 연결된다는 점에서 한국형 CNAPP에 해당합니다.
특히 Posture는 ISMS-P 186개 점검 항목에 맞춰 인증 준비를 지원하며, 클라우드에는 읽기 전용(read-only) IAM 권한으로 연동해 운영 환경에 변경을 주지 않습니다. 이 체계는 클라우드 보안 경험이 많은 가디언넷(금융권 1위, 4,000개 이상 워크로드 운영)이 설계했습니다. 작게 시작해 필요에 따라 단계적으로 넓혀갈 수 있다는 것이 핵심입니다.