2019.06.26

IDG 블로그 : 클라우드 보안 바로 잡기

David Linthicum | InfoWorld
필자는 클라우드 보안 솔루션 업체인 레드록(RedRock)의 홈페이지 게시글에서 흥미로운 통계를 발견했다. 이 통계는 클라우드 보안 문제의 심각성을 다음과 같이 나타냈다.

-    7%의 기업만이 모든 중요 데이터에 대한 좋은 가시성을 확보하고 있으며, 58%는 약간의 가시성만 가지고 있다고 답했다(포스포인트 조사).
-    취약점 : 25%의 조직이 퍼블릭 클라우드에서 극히 심각한 패치를 빠트린채 호스팅을 했다(레드록 조사).
-    3/4 이상의 보안 침해(80%)가 특권 자격과 관련되어 있다(포레스터).
-    거의 절반(49%)의 데이터베이스는 암호화되어 있지 않다(레드록 조사).

이들 문제를 해결할 기술을 온전히 갖추고 있다는 사실을 생각하면, 참으로 실망스러운 조사 결과이다. 도대체 무엇이 문제일까?
 
ⓒ GettyImagesBank

기업이 적합한 기술을 사용하려 들지 않거나 해당 기술의 존재 자체를 모르는 것이다. 문제는 데이터베이스가 암호화되어 있지 않다는 것이 아니라 아무도 즉석에서 또는 대기 상태에서 암호화를 가동시키는 방법을 모른다는 것이다.

또한 문제가 되는 것은 “온프레미스가 아니”라는 사람들이다. 이들은 일부 보안 기능은 원래 온프레미스 시스템의 일부가 아니었다는 사실에 집착한다. 그래서 클라우드에서도 필요하지 않다는 것이다.

보안 문제를 제대로 다룰 시점은 온프레미스에서 퍼블릭 클라우드로 마이그레이션할 때다. 최소한 한두 주 시간을 들여 ID 액세스 관리, 암호화, 감사, 선제적인 보안 등을 살펴보고, 이들이 기업에 가져다줄 가시성을 평가해야 한다. 그렇지 않으며, 마이그레이션을 하면서 클라우드 보안이란 배를 놓칠 수 있다.

필자는 클라우드 마이그레이션에서 가장 중요한 단계라고 생각한다. 이를 통해 정말로 필요한 보안이 어떤 것인지를 알 수 있고, 또 필요한 문제를 기존에 온프레미스의 어떤 보안 기술보다 뛰어난 클라우드 컴퓨팅 기술을 사용해 해결할 수 있다는 것을 알 수 있다.

개인의 기술력을 업그레이드하기도 좋다. 비록 일부 기존 보안 관리자는 클라우드 기반 보안에 대해 재훈련을 받을 수 있겠지만, 그렇지 못한 경우도 많다. 이제 재훈련이나 교체를 통해 정말로 필요한 것을 적극적으로 추진해야 할 시점이다. 힘든 결정이 되겠지만, 그 대안은 더욱 불편할 것이다.

최적의 클라우드 컴퓨팅 보안을 보장하는 엄청난 양의 작업은 아니다. 대부분 보안 관리자에게 낯선 세계이겠지만, 제대로 된 클라우드 보안에 시간을 들일 만한 가치가 있다. editor@itworld.co.kr


2019.06.26

IDG 블로그 : 클라우드 보안 바로 잡기

David Linthicum | InfoWorld
필자는 클라우드 보안 솔루션 업체인 레드록(RedRock)의 홈페이지 게시글에서 흥미로운 통계를 발견했다. 이 통계는 클라우드 보안 문제의 심각성을 다음과 같이 나타냈다.

-    7%의 기업만이 모든 중요 데이터에 대한 좋은 가시성을 확보하고 있으며, 58%는 약간의 가시성만 가지고 있다고 답했다(포스포인트 조사).
-    취약점 : 25%의 조직이 퍼블릭 클라우드에서 극히 심각한 패치를 빠트린채 호스팅을 했다(레드록 조사).
-    3/4 이상의 보안 침해(80%)가 특권 자격과 관련되어 있다(포레스터).
-    거의 절반(49%)의 데이터베이스는 암호화되어 있지 않다(레드록 조사).

이들 문제를 해결할 기술을 온전히 갖추고 있다는 사실을 생각하면, 참으로 실망스러운 조사 결과이다. 도대체 무엇이 문제일까?
 
ⓒ GettyImagesBank

기업이 적합한 기술을 사용하려 들지 않거나 해당 기술의 존재 자체를 모르는 것이다. 문제는 데이터베이스가 암호화되어 있지 않다는 것이 아니라 아무도 즉석에서 또는 대기 상태에서 암호화를 가동시키는 방법을 모른다는 것이다.

또한 문제가 되는 것은 “온프레미스가 아니”라는 사람들이다. 이들은 일부 보안 기능은 원래 온프레미스 시스템의 일부가 아니었다는 사실에 집착한다. 그래서 클라우드에서도 필요하지 않다는 것이다.

보안 문제를 제대로 다룰 시점은 온프레미스에서 퍼블릭 클라우드로 마이그레이션할 때다. 최소한 한두 주 시간을 들여 ID 액세스 관리, 암호화, 감사, 선제적인 보안 등을 살펴보고, 이들이 기업에 가져다줄 가시성을 평가해야 한다. 그렇지 않으며, 마이그레이션을 하면서 클라우드 보안이란 배를 놓칠 수 있다.

필자는 클라우드 마이그레이션에서 가장 중요한 단계라고 생각한다. 이를 통해 정말로 필요한 보안이 어떤 것인지를 알 수 있고, 또 필요한 문제를 기존에 온프레미스의 어떤 보안 기술보다 뛰어난 클라우드 컴퓨팅 기술을 사용해 해결할 수 있다는 것을 알 수 있다.

개인의 기술력을 업그레이드하기도 좋다. 비록 일부 기존 보안 관리자는 클라우드 기반 보안에 대해 재훈련을 받을 수 있겠지만, 그렇지 못한 경우도 많다. 이제 재훈련이나 교체를 통해 정말로 필요한 것을 적극적으로 추진해야 할 시점이다. 힘든 결정이 되겠지만, 그 대안은 더욱 불편할 것이다.

최적의 클라우드 컴퓨팅 보안을 보장하는 엄청난 양의 작업은 아니다. 대부분 보안 관리자에게 낯선 세계이겠지만, 제대로 된 클라우드 보안에 시간을 들일 만한 가치가 있다. editor@itworld.co.kr


X