2021.07.23

구글 클라우드 CIO가 말하는 클라우드 보안의 미래

Bob Violino | CSO
2021년 3월, 구글 클라우드(Google Cloud)는 위험 보호 프로그램(Risk Protection Program)이란 새로운 서비스를 발표했다. 자사 클라우드 고객의 보안 위험을 낮추고 보험 협력사인 알리안츠, 뮌헨 Re와의 연결을 지원하는 것이 핵심이다. 두 보험사는 구글 클라우드 고객만을 위한 특수한 사이버 보험인 클라우드 프로텍션+(Cloud Protection +)를 만들었다. 

구글이 대형 클라우드 서비스 업체와 선도적인 사이버 보험사 간의 첫 협력관계라고 밝힌 이 서비스의 목적은 중요한 워크로드를 클라우드로 이전하는 것을 고려 중인 기업의 신뢰도를 높이기 위한 것이다. 이 프로그램에는 리스크 매니저(Risk Manager)라는 새로운 보안 진단 도구가 포함되어 있으며, 기업은 구글 클라우드에 대한 위험을 측정하고 관리하며 보안 상태에 대한 보고서를 획득하고 더욱 표적화 된 사이버 보안 보험에 대한 비용을 절감할 수도 있다. 
 
ⓒ Google

CSO는 최근 전 골드만 삭스의 CISO이자 현재 구글 클라우드의 부사장 겸 CISO인 필 베너블스와 클라우드 보안 동향과 구글 클라우드의 새로운 서비스가 클라우드 서비스 전반에 미칠 영향에 관해 이야기했다.

CISO가 잠재적인 협력사와 고객을 위해 자체적인 클라우드 보안 상태를 인증하기 위해 준법감시 설문조사지를 작성하는 것이 중요한 일인가?
고객, 감사자, 규제 당국의 문의에 응답하는 것은 중요한 서비스 운영에 있어서 필요한 부분이다. 이런 평가 프레임워크의 표준화가 크게 진전되었으며, ISO, SOC1/2 등이 제공하는 인증의 측면에서 더욱 그렇다. 준법감시 친화적인 클라우드 서비스의 장점 중 하나는 일련의 인증을 보유하고 있으며, 서비스 사용의 일환으로 모든 필요한 정보를 제공함으로써 CISO 또는 다른 팀의 대응을 돕는 것이다. 

구글 클라우드가 최근에 발표한 것과 같은 새로운 서비스가 이 문제를 어떻게 해결할 수 있는가?
보안 건전성 분석 및 준법감시 보고를 위해 취하는 조치에 기반한 위험 보호 프로그램의 리스크 매니저 툴을 통해 고객은 구글 클라우드에서의 위험을 더욱 효율적이며 정확하게 측정하고 관리할 수 있다. 

리스크 매니저 툴은 기업이 지속적으로 보안 위험 상태를 파악하는 데 도움이 되는 보고서를 생성하며, 보안 기준선의 지표로 작용한다. 이를 통해 기업은 보안 설정을 전달하는 데 소요되는 시간을 절약하고, 툴을 이용해 더 효율적으로 관리할 수 있다. 그리고 해당 보고서를 보험 협력사인 알리안츠 및 뮌헨 Re와 직접 공유해 특수 사이버 보험에 대한 적격성을 평가할 수 있다.  

클라우드에서 기업의 보안 상태를 평가하는 데 있어서 텔레메트리는 어떤 역할을 하는가?
보안 구성의 관측 가능성은 깊이, 너비, 빈도가 중요하며, 클라우드의 여러 보안 및 통제 이점 중 하나이다. 보안 지표 개선과 보안 측정 정확도 향상은 중요하다. 구글은 클라우드 서비스 업체로서 문제를 보고 고객에게 신속하게 지원을 제공할 수 있기 때문에 일종의 디지털 면역체계가 될 수 있다. 이 작업의 구성요소가 보안을 중심으로 더 나은 지표와 측정을 개발하는 것이다. 

하지만 우리는 모든 상황에 완벽한 지표를 찾는 것에 과도하게 집착하는 경향이 있다. 리스크 매니저를 통해 CIS(Center for Internet Security) 표준에 따라 클라우드 리소스에 관한 구성 베스트 프랙티스를 살펴보면서 프로그램을 개시하고 있다. 

현재 결과물에 대한 허점을 보완하는 능력이 이 프로그램의 장점이라고 생각한다. 협력사인 뮌헨 Re와 알리안츠는 어떤 지표가 손실과 상관관계가 있는지에 대한 데이터를 수집하고, 구글이 위험에 관해 고객에게 제공하는 피드백의 깊이를 지속적으로 증가시킬 것이다. 

현재 텔레메트리가 실제로 추가적인 가시성과 확신을 어느 정도 제공할 수 있으며, 이것이 지속적으로 개선되려면 어떻게 해야 하는가? 
위험 보호 프로그램은 보험 협력사가 기초가 될 수 있는 실용적인 데이터에 액세스하도록 하는 첫 걸음이다. 이 툴은 데이터는 보험 협력사의 계약 심사 프로세스를 간소화하고 보험사가 배치하는 데이터 중심적인 기술로 보험 증권을 발전시키는 데 도움이 된다. 

통제 비용을 낮추고 고객에게 도움이 되는 통제 기준을 플랫폼에 적용함으로써 보안 기준을 높일 수 있다고 생각한다. 고객이 구글이 제공하는 보안 기술을 적극적으로 도입해야 하며, 구글은 명확한 도입과 손쉬운 도입 프로세스를 위해 비즈니스 사례를 만들 의무가 있다. 

구글이 제공하는 최고의 보안 기능은 고객들이 절대로 생각할 필요가 없는 것이다. 

클라우드 서비스 업체는 준법감시 보고의 자동화를 추진하고 있는가? 이것이 CISO와 그 조직에 갖는 의미는 무엇인가? 
클라우드에서의 운영 중 중요한 부분은 의도한 구성을 명확하게 정의해 의도가 지속적으로 준수되고 있는지 모니터링할 수 있는 능력이다. 정책 또는 코드로 표현된 이 제어 접근방식은 지속적인 제어 모니터링의 중요한 부분이다. 결과적으로, 이런 통제를 위험 및 준법감시 목표에 맞추는 것과 함께 다른 유형의 환경을 위한 준법감시 확보 시 수고를 덜어주는 자동화된 보고를 위한 기초가 된다. 

클라우드 서비스 업체와 보험사가 이런 협업을 하는 것이 중요한가?
이번 프로그램은 업계 최초로 대형 클라우드 서비스 업체와 선도적인 사이버 보험사가 협력한 것이다. 기업은 오랫동안 스스로 효과적인 클라우드 보안 프로그램을 개발해야 했다. 그 결과, 클라우드를 위험을 관리하는 플랫폼이 아니라 관리해야 하는 위험으로 보게 됐다. 위험 보호 프로그램을 구글은 고객이 공유 책임의 레거시 모델을 넘어 새로운 공유 운명 모델로 전환할 수 있도록 하고 있으며, 여기에는 클라우드 보안을 최적화하는 세부적인 지침, 지속적인 보안 및 준법감시 요건을 관리하는 도구, 강력한 보안 상태와 직접 연동되는 가격 정책을 통한 사이버 보험에 대한 간소화된 접근성이 포함된다. 

과거에는 ‘구조적 변화’나 방어적인 측면의 발전을 언급했으며, 정보 공유 및 분석 센터 구축과 CISO 역할의 등장을 예로 제시했다. 최근의 발전이 그 정도 수준까지 이루어졌는가? 
클라우드가 전반적으로 좋은 예다. 특히, 클라우드의 규모의 경제는 보안 게임을 근본적으로 바꾸어 놓고 있다. 보안 개선 속도와 보안 제품이 아닌 안전한 제품의 보안 기능 추가 범위가 가속화되고 있다. 물론, 다른 클라우드 서비스 업체도 유사하게 진행하고 있다. 민첩성 및 생산성과 함께 보안을 지속적으로 강화하려는 이 거대하고 전 세계적인 가속화는 모두에게 이익이 된다. 

클라우드와 보안에 큰 영향을 미치는 다른 유망한 새로운 기술이나 프로세스가 있다면?
조직은 보안 데이터에 대한 실시간 비즈니스 맥락이 필요하다. 위험 수준을 결정하기 위해 비즈니스 맥락에 보안 문제를 맵핑하는 것은 시간이 소요되는 작업이다. 이런 지연으로 인해 궁극적으로 조직은 더 큰 보안 사건 위험에 처하게 된다. 

클라우드를 통해 보안은 긍정적인 방향으로 나아가고 있다. 왜냐하면 클라우드 기술 덕분에 잘 정립된 보안 경로부터 코드형 구성 등의 선언적 접근방식과 더욱 정밀한 인벤토리 및 진단까지 위험 투명성이 더 용이해지고 있기 때문이다. editor@itworld.co.kr


2021.07.23

구글 클라우드 CIO가 말하는 클라우드 보안의 미래

Bob Violino | CSO
2021년 3월, 구글 클라우드(Google Cloud)는 위험 보호 프로그램(Risk Protection Program)이란 새로운 서비스를 발표했다. 자사 클라우드 고객의 보안 위험을 낮추고 보험 협력사인 알리안츠, 뮌헨 Re와의 연결을 지원하는 것이 핵심이다. 두 보험사는 구글 클라우드 고객만을 위한 특수한 사이버 보험인 클라우드 프로텍션+(Cloud Protection +)를 만들었다. 

구글이 대형 클라우드 서비스 업체와 선도적인 사이버 보험사 간의 첫 협력관계라고 밝힌 이 서비스의 목적은 중요한 워크로드를 클라우드로 이전하는 것을 고려 중인 기업의 신뢰도를 높이기 위한 것이다. 이 프로그램에는 리스크 매니저(Risk Manager)라는 새로운 보안 진단 도구가 포함되어 있으며, 기업은 구글 클라우드에 대한 위험을 측정하고 관리하며 보안 상태에 대한 보고서를 획득하고 더욱 표적화 된 사이버 보안 보험에 대한 비용을 절감할 수도 있다. 
 
ⓒ Google

CSO는 최근 전 골드만 삭스의 CISO이자 현재 구글 클라우드의 부사장 겸 CISO인 필 베너블스와 클라우드 보안 동향과 구글 클라우드의 새로운 서비스가 클라우드 서비스 전반에 미칠 영향에 관해 이야기했다.

CISO가 잠재적인 협력사와 고객을 위해 자체적인 클라우드 보안 상태를 인증하기 위해 준법감시 설문조사지를 작성하는 것이 중요한 일인가?
고객, 감사자, 규제 당국의 문의에 응답하는 것은 중요한 서비스 운영에 있어서 필요한 부분이다. 이런 평가 프레임워크의 표준화가 크게 진전되었으며, ISO, SOC1/2 등이 제공하는 인증의 측면에서 더욱 그렇다. 준법감시 친화적인 클라우드 서비스의 장점 중 하나는 일련의 인증을 보유하고 있으며, 서비스 사용의 일환으로 모든 필요한 정보를 제공함으로써 CISO 또는 다른 팀의 대응을 돕는 것이다. 

구글 클라우드가 최근에 발표한 것과 같은 새로운 서비스가 이 문제를 어떻게 해결할 수 있는가?
보안 건전성 분석 및 준법감시 보고를 위해 취하는 조치에 기반한 위험 보호 프로그램의 리스크 매니저 툴을 통해 고객은 구글 클라우드에서의 위험을 더욱 효율적이며 정확하게 측정하고 관리할 수 있다. 

리스크 매니저 툴은 기업이 지속적으로 보안 위험 상태를 파악하는 데 도움이 되는 보고서를 생성하며, 보안 기준선의 지표로 작용한다. 이를 통해 기업은 보안 설정을 전달하는 데 소요되는 시간을 절약하고, 툴을 이용해 더 효율적으로 관리할 수 있다. 그리고 해당 보고서를 보험 협력사인 알리안츠 및 뮌헨 Re와 직접 공유해 특수 사이버 보험에 대한 적격성을 평가할 수 있다.  

클라우드에서 기업의 보안 상태를 평가하는 데 있어서 텔레메트리는 어떤 역할을 하는가?
보안 구성의 관측 가능성은 깊이, 너비, 빈도가 중요하며, 클라우드의 여러 보안 및 통제 이점 중 하나이다. 보안 지표 개선과 보안 측정 정확도 향상은 중요하다. 구글은 클라우드 서비스 업체로서 문제를 보고 고객에게 신속하게 지원을 제공할 수 있기 때문에 일종의 디지털 면역체계가 될 수 있다. 이 작업의 구성요소가 보안을 중심으로 더 나은 지표와 측정을 개발하는 것이다. 

하지만 우리는 모든 상황에 완벽한 지표를 찾는 것에 과도하게 집착하는 경향이 있다. 리스크 매니저를 통해 CIS(Center for Internet Security) 표준에 따라 클라우드 리소스에 관한 구성 베스트 프랙티스를 살펴보면서 프로그램을 개시하고 있다. 

현재 결과물에 대한 허점을 보완하는 능력이 이 프로그램의 장점이라고 생각한다. 협력사인 뮌헨 Re와 알리안츠는 어떤 지표가 손실과 상관관계가 있는지에 대한 데이터를 수집하고, 구글이 위험에 관해 고객에게 제공하는 피드백의 깊이를 지속적으로 증가시킬 것이다. 

현재 텔레메트리가 실제로 추가적인 가시성과 확신을 어느 정도 제공할 수 있으며, 이것이 지속적으로 개선되려면 어떻게 해야 하는가? 
위험 보호 프로그램은 보험 협력사가 기초가 될 수 있는 실용적인 데이터에 액세스하도록 하는 첫 걸음이다. 이 툴은 데이터는 보험 협력사의 계약 심사 프로세스를 간소화하고 보험사가 배치하는 데이터 중심적인 기술로 보험 증권을 발전시키는 데 도움이 된다. 

통제 비용을 낮추고 고객에게 도움이 되는 통제 기준을 플랫폼에 적용함으로써 보안 기준을 높일 수 있다고 생각한다. 고객이 구글이 제공하는 보안 기술을 적극적으로 도입해야 하며, 구글은 명확한 도입과 손쉬운 도입 프로세스를 위해 비즈니스 사례를 만들 의무가 있다. 

구글이 제공하는 최고의 보안 기능은 고객들이 절대로 생각할 필요가 없는 것이다. 

클라우드 서비스 업체는 준법감시 보고의 자동화를 추진하고 있는가? 이것이 CISO와 그 조직에 갖는 의미는 무엇인가? 
클라우드에서의 운영 중 중요한 부분은 의도한 구성을 명확하게 정의해 의도가 지속적으로 준수되고 있는지 모니터링할 수 있는 능력이다. 정책 또는 코드로 표현된 이 제어 접근방식은 지속적인 제어 모니터링의 중요한 부분이다. 결과적으로, 이런 통제를 위험 및 준법감시 목표에 맞추는 것과 함께 다른 유형의 환경을 위한 준법감시 확보 시 수고를 덜어주는 자동화된 보고를 위한 기초가 된다. 

클라우드 서비스 업체와 보험사가 이런 협업을 하는 것이 중요한가?
이번 프로그램은 업계 최초로 대형 클라우드 서비스 업체와 선도적인 사이버 보험사가 협력한 것이다. 기업은 오랫동안 스스로 효과적인 클라우드 보안 프로그램을 개발해야 했다. 그 결과, 클라우드를 위험을 관리하는 플랫폼이 아니라 관리해야 하는 위험으로 보게 됐다. 위험 보호 프로그램을 구글은 고객이 공유 책임의 레거시 모델을 넘어 새로운 공유 운명 모델로 전환할 수 있도록 하고 있으며, 여기에는 클라우드 보안을 최적화하는 세부적인 지침, 지속적인 보안 및 준법감시 요건을 관리하는 도구, 강력한 보안 상태와 직접 연동되는 가격 정책을 통한 사이버 보험에 대한 간소화된 접근성이 포함된다. 

과거에는 ‘구조적 변화’나 방어적인 측면의 발전을 언급했으며, 정보 공유 및 분석 센터 구축과 CISO 역할의 등장을 예로 제시했다. 최근의 발전이 그 정도 수준까지 이루어졌는가? 
클라우드가 전반적으로 좋은 예다. 특히, 클라우드의 규모의 경제는 보안 게임을 근본적으로 바꾸어 놓고 있다. 보안 개선 속도와 보안 제품이 아닌 안전한 제품의 보안 기능 추가 범위가 가속화되고 있다. 물론, 다른 클라우드 서비스 업체도 유사하게 진행하고 있다. 민첩성 및 생산성과 함께 보안을 지속적으로 강화하려는 이 거대하고 전 세계적인 가속화는 모두에게 이익이 된다. 

클라우드와 보안에 큰 영향을 미치는 다른 유망한 새로운 기술이나 프로세스가 있다면?
조직은 보안 데이터에 대한 실시간 비즈니스 맥락이 필요하다. 위험 수준을 결정하기 위해 비즈니스 맥락에 보안 문제를 맵핑하는 것은 시간이 소요되는 작업이다. 이런 지연으로 인해 궁극적으로 조직은 더 큰 보안 사건 위험에 처하게 된다. 

클라우드를 통해 보안은 긍정적인 방향으로 나아가고 있다. 왜냐하면 클라우드 기술 덕분에 잘 정립된 보안 경로부터 코드형 구성 등의 선언적 접근방식과 더욱 정밀한 인벤토리 및 진단까지 위험 투명성이 더 용이해지고 있기 때문이다. editor@itworld.co.kr


X