2020.08.28

토픽 브리핑 | 사용만 하면 된다던 클라우드, 보안 책임은 기업이 진다

이대영 기자 | ITWorld
클라우드가 IT 세계뿐만 아니라 기업 프로세스와 일반인의 생활 방식까지도 혁신하고 있다. 하지만 이와 동시에 여러가지 새로운 보안 위협과 문제도 발생하고 있다.   



가트너의 클라우드 보안 리서치 책임자 제이 하이저는 “퍼블릭 클라우드 이용이 급증하면서 많은 민감한 정보가 잠재적인 위험에 노출된 상태”라고 지적했다. 많은 사람의 생각과 달리 클라우드에 보관된 기업 데이터를 보호하는 책임은 클라우드 서비스 업체가 아니라 고객인 기업에 있다.

하이저는 “우리는 클라우드 보안에 있어 전환기에 있다. 초점이 공급업체에서 고객으로 이동하는 단계다. 기업은 특정 클라우드 서비스 업체가 안전한지, 해당 서비스에서 ROI를 회수할 수 있을지 여부를 파악하는 데 많은 시간을 투자하고 있으며, 이를 학습하고 있다”라고 말했다.

“클라우드에서도 보안 책임은 기업 스스로” 클라우드 보안 과제와 기업의 대응 전략 - IDG DeepDive

또한 클라우드 보안 협회(Cloud Security Alliance, CSA)는 기업이 클라우드 보안에 관한 최신 정보를 기반으로 올바른 클라우드 도입 의사결정을 내릴 수 있도록 지원하기 위해 매년 클라우드 컴퓨팅 보안 위협 관련 보고서를 발표한다. 이 보고서에 따르면, '중대한 정도' 순으로 열거한 클라우드 보안 문제는 다음과 같다. 

1. 데이터 침해 
2. 잘못된 구성과 부적절한 변경 관리
3. 클라우드 보안 아키텍처와 전략 미흡
4. ID, 크리덴셜, 액세스, 키 관리 불충분
5. 계정 하이재킹
6. 내부자 위협
7. 안전하지 못한 인터페이스와 API
8. 취약한 제어 영역
9. 메타스트럭처와 애플리스트럭처의 실패
10. 클라우드 사용과 관련된 가시성이 제한되는 문제
11. 클라우드 서비스 오용 및 악용


최악의 클라우드 보안 위협 11가지

이렇게 수많은 위협이 도사리고 있지만 클라우드 서비스 업체는 클라우드 보안에 대해 잘 알려주지 않는다. 특히 대형 클라우드 서비스 업체가 제공하는 클라우드 네이티브 보안 솔루션은 이기종 멀티클라우드 솔루션에는 도움이 되지 않는다. 이들 보안 기술은 특정 클라우드 서비스 업체의 자체 서비스에서는 잘 동작할지 몰라도 다른 퍼블릭 클라우드, 그리고 대부분 기업이 사용하는 멀티클라우드는 지원하지 않거나 제한적으로 지원한다.

IDG 블로그 | 클라우드 서비스 업체는 잘 알려주지 않는 클라우드 보안의 비밀

멀티클라우드는 온프레미스나 네이티브 퍼블릭 클라우드와는 다른 보안 접근법과 메커니즘을 배워야 한다. 멀티클라우드 배치와 운영에서 흔히 보는 보안 실책은 보안 아키텍처와 구현 기술을 선택하고 배치하는 과정에서 발생한다. 

우선 멀티클라우드에서는 보안에 대한 전통적인 접근법이 통하지 않는다. 역할 기반의 전통적인 보안 접근법으로 기업 환경에서 성공했다 해도 멀티클라우드에서는 같은 결과를 얻을 수 없다.

둘째, 클라우드 네이티브 보안은 사용할 수 없다. 세번째, 생각보다 책임져야 할 것이 많다. 퍼블릭 클라우드 환경에서도 서비스 업체는 일부 기본적인 보안을 제공하면서 책임 분담 모델을 제시한다. 궁극적으로는 기업 사용자가 보안을 책임져야 한다는 것을 알려주려는 것이다. 사용만 하면 된다는 클라우드에서 정작 가장 중요한 보안과 이에 대한 책임은 해당 기업이 안고가는 것이다. 그것도 지금까지 경험하지 못했던 새로운 위협이 등장하는 상황에서 말이다.    

IDG 블로그 | 우리가 몰랐던 멀티클라우드 보안의 3가지 복병

특히 코로나19로 인해 급하게 클라우드 기반 플랫폼으로 마이그레이션하는 기업은 얼마나 빨리 이전하느냐에 따라 중요한 보안 실수를 저지를 가능성이 크다. 이런 상황은 모두에게 처음이고, 클라우드 보안과 관련된 베스트 프랙티스도 별로 없으며, IT 부서는 클라우드로 신속하고 안전하게 이전해야 한다는 임무에 압도되기 때문이다.

IDG 블로그 | 모르고 저지르기 쉬운 클라우드 보안 실수 3가지
하이브리드 클라우드 복잡성, 조급한 도입에 따르는 보안 위험

클라우드 보안은 정말 중요하다. 거의 모든 보안 업체가 클라우드 보안 제품을 출시하고 있으며, 클라우드 액세스 보안 브로커(Cloud Access Security Broker, CASB)라는 제품군도 생겼고 해당 시장은 빠르게 성장하고 있다. 

'멀티 클라우드 보안의 시작'··· CASB 제품을 비교하는 방법

하지만, 기업 보안 담당자에게 필요한 것은 자사에 맞는 보안 해법이다. 일반적으로 한 기업에 안성맞춤인 보안 솔루션은 없다. 대부분 보안 솔루션은 기업이 퍼블릭 클라우드 보안을 가동시키고 약간의 반복 작업을 하고는 끝이다. 또한 실제로 일단 클라우드 시스템이 안전해지면 기업 IT 부서는 보안을 변경하거나 업그레이드하는 것을 꺼린다. 그렇게 하는 것 자체가 위험이기 때문이다. 

보안 시스템을 지속적으로 개선하고 베스트 프랙티스와 툴, 그리고 손쉬운 비법을 사용하면 침해의 가능성은 훨씬 낮아진다. 이 손쉬운 비법을 요약하면 다음과 같다. 자세한 내용은 다음 기사를 참조하길 바란다. 
 
  • 디렉토리 통합
  • 거버넌스 통합 
  • 자동화된 보안 테스트 

IDG 블로그 | 지금 생각해야 할 클라우드 보안 비법 3가지
IDG 블로그 | 클라우드 보안 사일로를 해체하라
IDG 블로그 : 클라우드 보안 바로 잡기  
editor@itworld.co.kr


2020.08.28

토픽 브리핑 | 사용만 하면 된다던 클라우드, 보안 책임은 기업이 진다

이대영 기자 | ITWorld
클라우드가 IT 세계뿐만 아니라 기업 프로세스와 일반인의 생활 방식까지도 혁신하고 있다. 하지만 이와 동시에 여러가지 새로운 보안 위협과 문제도 발생하고 있다.   



가트너의 클라우드 보안 리서치 책임자 제이 하이저는 “퍼블릭 클라우드 이용이 급증하면서 많은 민감한 정보가 잠재적인 위험에 노출된 상태”라고 지적했다. 많은 사람의 생각과 달리 클라우드에 보관된 기업 데이터를 보호하는 책임은 클라우드 서비스 업체가 아니라 고객인 기업에 있다.

하이저는 “우리는 클라우드 보안에 있어 전환기에 있다. 초점이 공급업체에서 고객으로 이동하는 단계다. 기업은 특정 클라우드 서비스 업체가 안전한지, 해당 서비스에서 ROI를 회수할 수 있을지 여부를 파악하는 데 많은 시간을 투자하고 있으며, 이를 학습하고 있다”라고 말했다.

“클라우드에서도 보안 책임은 기업 스스로” 클라우드 보안 과제와 기업의 대응 전략 - IDG DeepDive

또한 클라우드 보안 협회(Cloud Security Alliance, CSA)는 기업이 클라우드 보안에 관한 최신 정보를 기반으로 올바른 클라우드 도입 의사결정을 내릴 수 있도록 지원하기 위해 매년 클라우드 컴퓨팅 보안 위협 관련 보고서를 발표한다. 이 보고서에 따르면, '중대한 정도' 순으로 열거한 클라우드 보안 문제는 다음과 같다. 

1. 데이터 침해 
2. 잘못된 구성과 부적절한 변경 관리
3. 클라우드 보안 아키텍처와 전략 미흡
4. ID, 크리덴셜, 액세스, 키 관리 불충분
5. 계정 하이재킹
6. 내부자 위협
7. 안전하지 못한 인터페이스와 API
8. 취약한 제어 영역
9. 메타스트럭처와 애플리스트럭처의 실패
10. 클라우드 사용과 관련된 가시성이 제한되는 문제
11. 클라우드 서비스 오용 및 악용


최악의 클라우드 보안 위협 11가지

이렇게 수많은 위협이 도사리고 있지만 클라우드 서비스 업체는 클라우드 보안에 대해 잘 알려주지 않는다. 특히 대형 클라우드 서비스 업체가 제공하는 클라우드 네이티브 보안 솔루션은 이기종 멀티클라우드 솔루션에는 도움이 되지 않는다. 이들 보안 기술은 특정 클라우드 서비스 업체의 자체 서비스에서는 잘 동작할지 몰라도 다른 퍼블릭 클라우드, 그리고 대부분 기업이 사용하는 멀티클라우드는 지원하지 않거나 제한적으로 지원한다.

IDG 블로그 | 클라우드 서비스 업체는 잘 알려주지 않는 클라우드 보안의 비밀

멀티클라우드는 온프레미스나 네이티브 퍼블릭 클라우드와는 다른 보안 접근법과 메커니즘을 배워야 한다. 멀티클라우드 배치와 운영에서 흔히 보는 보안 실책은 보안 아키텍처와 구현 기술을 선택하고 배치하는 과정에서 발생한다. 

우선 멀티클라우드에서는 보안에 대한 전통적인 접근법이 통하지 않는다. 역할 기반의 전통적인 보안 접근법으로 기업 환경에서 성공했다 해도 멀티클라우드에서는 같은 결과를 얻을 수 없다.

둘째, 클라우드 네이티브 보안은 사용할 수 없다. 세번째, 생각보다 책임져야 할 것이 많다. 퍼블릭 클라우드 환경에서도 서비스 업체는 일부 기본적인 보안을 제공하면서 책임 분담 모델을 제시한다. 궁극적으로는 기업 사용자가 보안을 책임져야 한다는 것을 알려주려는 것이다. 사용만 하면 된다는 클라우드에서 정작 가장 중요한 보안과 이에 대한 책임은 해당 기업이 안고가는 것이다. 그것도 지금까지 경험하지 못했던 새로운 위협이 등장하는 상황에서 말이다.    

IDG 블로그 | 우리가 몰랐던 멀티클라우드 보안의 3가지 복병

특히 코로나19로 인해 급하게 클라우드 기반 플랫폼으로 마이그레이션하는 기업은 얼마나 빨리 이전하느냐에 따라 중요한 보안 실수를 저지를 가능성이 크다. 이런 상황은 모두에게 처음이고, 클라우드 보안과 관련된 베스트 프랙티스도 별로 없으며, IT 부서는 클라우드로 신속하고 안전하게 이전해야 한다는 임무에 압도되기 때문이다.

IDG 블로그 | 모르고 저지르기 쉬운 클라우드 보안 실수 3가지
하이브리드 클라우드 복잡성, 조급한 도입에 따르는 보안 위험

클라우드 보안은 정말 중요하다. 거의 모든 보안 업체가 클라우드 보안 제품을 출시하고 있으며, 클라우드 액세스 보안 브로커(Cloud Access Security Broker, CASB)라는 제품군도 생겼고 해당 시장은 빠르게 성장하고 있다. 

'멀티 클라우드 보안의 시작'··· CASB 제품을 비교하는 방법

하지만, 기업 보안 담당자에게 필요한 것은 자사에 맞는 보안 해법이다. 일반적으로 한 기업에 안성맞춤인 보안 솔루션은 없다. 대부분 보안 솔루션은 기업이 퍼블릭 클라우드 보안을 가동시키고 약간의 반복 작업을 하고는 끝이다. 또한 실제로 일단 클라우드 시스템이 안전해지면 기업 IT 부서는 보안을 변경하거나 업그레이드하는 것을 꺼린다. 그렇게 하는 것 자체가 위험이기 때문이다. 

보안 시스템을 지속적으로 개선하고 베스트 프랙티스와 툴, 그리고 손쉬운 비법을 사용하면 침해의 가능성은 훨씬 낮아진다. 이 손쉬운 비법을 요약하면 다음과 같다. 자세한 내용은 다음 기사를 참조하길 바란다. 
 
  • 디렉토리 통합
  • 거버넌스 통합 
  • 자동화된 보안 테스트 

IDG 블로그 | 지금 생각해야 할 클라우드 보안 비법 3가지
IDG 블로그 | 클라우드 보안 사일로를 해체하라
IDG 블로그 : 클라우드 보안 바로 잡기  
editor@itworld.co.kr


X