2021.05.31

IDG 블로그 | 클라우드 보안 문제 대부분이 시작되는 곳

David Linthicum | InfoWorld
포네몬(Ponemon)과 IBM의 공동 조사에 따르면, 잘못 구성된 클라우드 서버가 데이터 침해 사고의 19%를 유발했다. 데이터 사고 한 건마다 평균 50만 달러의 비용이 든다는 점에서 값비싼 문제이다. 더구나 이 비용에는 회사를 무너뜨릴 수도 있는 평판 손상은 포함되지도 않았다. 
 
ⓒ Getty Images Bank

요즘은 코로나19 팬데믹 때문에 많은 사람이 집에서 일을 하고, 그래서 클라우드 컴퓨팅을 더 많이 이용한다. 덕분에 클라우드의 부가적인 이점도 얻을 수 있는데, 클라우드는 온프레미스 플랫폼보다 좀 더 현대적인 보안 도구를 제공한다는 것이다. 이 때문에 글로벌 2000대 기업은 발 빠르게 퍼블릭 클라우드를 도입하고 있다. 이런 급격한 마이그레이션은 바로잡아야 하는 실수를 낳았다. 전환의 속도가 신중함보다 더 중요했기 때문이다. 

하지만 전혀 새로운 것이거나 팬데믹 이전에는 드물었던 문제는 아니다. 

클라우드로의 급격한 전환이 야기하는 문제의 근본 원인은 무엇일까? 잘못된 구성의 수를 줄일 방법은 없는가? 필자는 좀 더 구체적인 흔적이나 공통된 실수를 찾아내고 싶었지만, 실제로는 인간이 오류투성이에 종잡을 수 없다는 것이 근본 원인이다. 발생하는 실수를 줄일 수는 있겠지만, 완전히 없앨 수는 없다. 

제로 트러스트 개념이 해답이 될 수 있다. 제로 트러스트의 근간은 말 그대로 아무도 아무것도 믿지 않는 것이다. 모든 사람, 모든 것은 검증해야 하며, 종종 잘못 구성되는 클라우드 서비스도 마찬가지다. 모든 것이 지속적으로 재검증을 받기 때문에 데이터 사고의 위험은 낮아지고 보안은 더욱 더 엄격해진다.

사람이 클라우드 자원과 서비스를 제대로 구성한다면, 약 20%의 잘못된 설정으로 인한 보안 위험을 제거할 수 있다. 신뢰의 개념을 사람에 적용한다면, 절대로 신뢰해서는 안되는 존재로 정의해야 한다. 

지금의 기술력은 모든 보안을 자동화할 수 있는 수준에 이르렀다. 환경 구성을 점검하고 자주 재점검하고 ID와 암호화, 키 관리, 다중 인증의 사용에 관해 선제적으로 대응할 수 있다.

보안을 관리하는 사람 대부분은 이런 종류의 엄격함을 다소 신뢰하지 않는 편이다. 클라우드 보안을 자동화에 넘겨버리는 것이 불안한 것이다. 하지만 그보다 더 불안한 것은 사람이 유발하는 잘못된 구성으로, 클라우드 배치가 더 복잡해지고 여러 종류가 뒤섞이면 이런 실수는 더 증가할 것이다. 보안 사고 한 건당 50만 달러의 비용이 든다고 생각하면, 엄격한 보안을 위해 투여하는 비용은 충분히 저렴한 편이다.

실전 전략은 보안 프로세스에서 사람의 개입을 배제하고 가능한 한 모든 것을 자동화하는 것이다. 최소한 수작업의 유효성을 확인하고 검증하는 작업을 최대한 자주 해야 한다. 장기적으로는 모두의 일자리를 지킬 수 있다는 점에서 사람에게는 제로 트러스트 전략이 더 좋다. editor@itworld.co.kr


2021.05.31

IDG 블로그 | 클라우드 보안 문제 대부분이 시작되는 곳

David Linthicum | InfoWorld
포네몬(Ponemon)과 IBM의 공동 조사에 따르면, 잘못 구성된 클라우드 서버가 데이터 침해 사고의 19%를 유발했다. 데이터 사고 한 건마다 평균 50만 달러의 비용이 든다는 점에서 값비싼 문제이다. 더구나 이 비용에는 회사를 무너뜨릴 수도 있는 평판 손상은 포함되지도 않았다. 
 
ⓒ Getty Images Bank

요즘은 코로나19 팬데믹 때문에 많은 사람이 집에서 일을 하고, 그래서 클라우드 컴퓨팅을 더 많이 이용한다. 덕분에 클라우드의 부가적인 이점도 얻을 수 있는데, 클라우드는 온프레미스 플랫폼보다 좀 더 현대적인 보안 도구를 제공한다는 것이다. 이 때문에 글로벌 2000대 기업은 발 빠르게 퍼블릭 클라우드를 도입하고 있다. 이런 급격한 마이그레이션은 바로잡아야 하는 실수를 낳았다. 전환의 속도가 신중함보다 더 중요했기 때문이다. 

하지만 전혀 새로운 것이거나 팬데믹 이전에는 드물었던 문제는 아니다. 

클라우드로의 급격한 전환이 야기하는 문제의 근본 원인은 무엇일까? 잘못된 구성의 수를 줄일 방법은 없는가? 필자는 좀 더 구체적인 흔적이나 공통된 실수를 찾아내고 싶었지만, 실제로는 인간이 오류투성이에 종잡을 수 없다는 것이 근본 원인이다. 발생하는 실수를 줄일 수는 있겠지만, 완전히 없앨 수는 없다. 

제로 트러스트 개념이 해답이 될 수 있다. 제로 트러스트의 근간은 말 그대로 아무도 아무것도 믿지 않는 것이다. 모든 사람, 모든 것은 검증해야 하며, 종종 잘못 구성되는 클라우드 서비스도 마찬가지다. 모든 것이 지속적으로 재검증을 받기 때문에 데이터 사고의 위험은 낮아지고 보안은 더욱 더 엄격해진다.

사람이 클라우드 자원과 서비스를 제대로 구성한다면, 약 20%의 잘못된 설정으로 인한 보안 위험을 제거할 수 있다. 신뢰의 개념을 사람에 적용한다면, 절대로 신뢰해서는 안되는 존재로 정의해야 한다. 

지금의 기술력은 모든 보안을 자동화할 수 있는 수준에 이르렀다. 환경 구성을 점검하고 자주 재점검하고 ID와 암호화, 키 관리, 다중 인증의 사용에 관해 선제적으로 대응할 수 있다.

보안을 관리하는 사람 대부분은 이런 종류의 엄격함을 다소 신뢰하지 않는 편이다. 클라우드 보안을 자동화에 넘겨버리는 것이 불안한 것이다. 하지만 그보다 더 불안한 것은 사람이 유발하는 잘못된 구성으로, 클라우드 배치가 더 복잡해지고 여러 종류가 뒤섞이면 이런 실수는 더 증가할 것이다. 보안 사고 한 건당 50만 달러의 비용이 든다고 생각하면, 엄격한 보안을 위해 투여하는 비용은 충분히 저렴한 편이다.

실전 전략은 보안 프로세스에서 사람의 개입을 배제하고 가능한 한 모든 것을 자동화하는 것이다. 최소한 수작업의 유효성을 확인하고 검증하는 작업을 최대한 자주 해야 한다. 장기적으로는 모두의 일자리를 지킬 수 있다는 점에서 사람에게는 제로 트러스트 전략이 더 좋다. editor@itworld.co.kr


X