2020.11.09

IDG 블로그 | 3년 뒤의 클라우드 보안

David Linthicum | InfoWorld
최근 몇 년 동안 클라우드 보안은 온프레미스 보안보다 뛰어났다. 날로 강화되는 자동화와 상호호환성으로 클라우드 보안은 베스트 프랙티스 자리를 확실히 굳힐 것이다.

가트너는 2020년 한 해 동안 퍼블릭 IaaS 워크로드는 전통적인 데이터센터의 워크로드보다 보안 사고를 최소한 60% 더 적게 겪을 것이라고 밝혔다. 필자가 여러 해 전 이런 이야기를 하면, 많은 사람이 코웃음을 쳤다.

하이퍼스케일 업체와 서드파티 보안 서비스 업체 모두 자사 연구개발 예산의 70~80%를 퍼블릭 클라우드를 지원하는 데 사용하고 있다. 클라우드 보안 기술 대부분의 품질과 기능성이 전통적인 온프레미스 보안 시스템보다 뛰어난 것은 당연한 일이다.

그렇다면 클라우드 보안은 앞으로 어떤 모습일까? 필자가 생각하는 향후 3년의 클라우드 보안 지형은 다음과 같다. 

모든 것의 자동화. 현재는 일부 보안 시스템이 기존 프로세스를 자동화하지만, 5년 이내에 자동화는 한 단계 더 발전할 것이다. 잠재적인 위협에 대한 극히 역동적인 인터랙션이 자동으로 일어날 것이며, 머신러닝 시스템을 기반으로, 공격을 찾고 막기 위해 수많은 클라우드의 수많은 자원을 오케스트레이션해 이용할 것이다. 

이를 통해 클라우드 보안은 수동적인 상태에서 능동적인 상태로 바뀔 것이다. 더는 공격이 일어나길 기다리지 않고, 공격이 임박했는지를 탐색해 첫 침입 시도가 있기 전에 자동화된 방어 기술로 공격자를 막을 것이다. 경우에 따라서는 자동화된 반격을 실행할 역량도 갖추게 될 것이다.

인터클라우드 보안에 중점. 멀티클라우드 세상이 되면서 각 퍼블릭 클라우드의 네이티브 보안 시스템을 사용하는 것은 너무나 손이 많이 가는 방법이며, 사고로 이어질 수 있는 복잡성과 혼란을 야기한다는 사실을 알게 됐다. 

필자가 전에도 분명히 말했듯이, 멀티클라우드는 클라우드에 관한 문제가 아니다. 멀티클라우드는 클라우드 사이에 있는 기술에 대한 문제이다. 이 기술은 네이티브 인터페이스에 액세스하지만, 논리적으로는 모든 퍼블릭 클라우드 상에서 동작한다. 즉 여러 서비스의 오케스트레이션으로 통일된 방어책을 구성할 수 있고, 특정 공격 종류에 대응하는 최선의 방어법은 무엇인지에 관한 지식을 공유할 수도 있다.

또한 여러 퍼블릭 클라우드 사이에서 모든 주요 애플리케이션과 데이터베이스, 스토리지 시스템에 대한 가시성도 필요하다. 예를 들어, CPU 포화 상태는 공격 때문일 가능성이 있으므로 확인해야 한다.

인력의 배제. 기계가 지배하는 영화 터미네이터 같은 시나리오를 생각할 필요는 없다. 하지만 사실 인간은 보안에서는 가장 약한 고리이다. 가트너는 2025년까지 클라우드 보안 사고의 99%는 고객의 잘못에 의해 일어날 것이라고 전망했다. 필자는 99.999%일 것이라고 확신한다.

공격의 여지를 남겨둔 잘못된 환경 구성이거나 교육 부족으로 인한 단순한 실수이거나 상관없다. 클라우드 보안이란 방정식에서 인간이란 요소를 줄이면 줄일수록, 클라우드는 더 안전해질 것이다.

인적 요소의 배제는 모든 것을 자동화하는 접근법과 일맥상통한다. 그렇다고 일자리를 걱정할 필요는 없다. 누군가는 이런 자동화를 설정해야 하고, 또 끊임없이 개선해야만 한다.

결론을 말하자면, 보안은 계속 향상될 것이고 클라우드는 가장 안전한 곳이 될 것이다. 연구개발비가 클라우드 기반 보안에 투여되는 한, 필연적인 결과이다. editor@itworld.co.kr


2020.11.09

IDG 블로그 | 3년 뒤의 클라우드 보안

David Linthicum | InfoWorld
최근 몇 년 동안 클라우드 보안은 온프레미스 보안보다 뛰어났다. 날로 강화되는 자동화와 상호호환성으로 클라우드 보안은 베스트 프랙티스 자리를 확실히 굳힐 것이다.

가트너는 2020년 한 해 동안 퍼블릭 IaaS 워크로드는 전통적인 데이터센터의 워크로드보다 보안 사고를 최소한 60% 더 적게 겪을 것이라고 밝혔다. 필자가 여러 해 전 이런 이야기를 하면, 많은 사람이 코웃음을 쳤다.

하이퍼스케일 업체와 서드파티 보안 서비스 업체 모두 자사 연구개발 예산의 70~80%를 퍼블릭 클라우드를 지원하는 데 사용하고 있다. 클라우드 보안 기술 대부분의 품질과 기능성이 전통적인 온프레미스 보안 시스템보다 뛰어난 것은 당연한 일이다.

그렇다면 클라우드 보안은 앞으로 어떤 모습일까? 필자가 생각하는 향후 3년의 클라우드 보안 지형은 다음과 같다. 

모든 것의 자동화. 현재는 일부 보안 시스템이 기존 프로세스를 자동화하지만, 5년 이내에 자동화는 한 단계 더 발전할 것이다. 잠재적인 위협에 대한 극히 역동적인 인터랙션이 자동으로 일어날 것이며, 머신러닝 시스템을 기반으로, 공격을 찾고 막기 위해 수많은 클라우드의 수많은 자원을 오케스트레이션해 이용할 것이다. 

이를 통해 클라우드 보안은 수동적인 상태에서 능동적인 상태로 바뀔 것이다. 더는 공격이 일어나길 기다리지 않고, 공격이 임박했는지를 탐색해 첫 침입 시도가 있기 전에 자동화된 방어 기술로 공격자를 막을 것이다. 경우에 따라서는 자동화된 반격을 실행할 역량도 갖추게 될 것이다.

인터클라우드 보안에 중점. 멀티클라우드 세상이 되면서 각 퍼블릭 클라우드의 네이티브 보안 시스템을 사용하는 것은 너무나 손이 많이 가는 방법이며, 사고로 이어질 수 있는 복잡성과 혼란을 야기한다는 사실을 알게 됐다. 

필자가 전에도 분명히 말했듯이, 멀티클라우드는 클라우드에 관한 문제가 아니다. 멀티클라우드는 클라우드 사이에 있는 기술에 대한 문제이다. 이 기술은 네이티브 인터페이스에 액세스하지만, 논리적으로는 모든 퍼블릭 클라우드 상에서 동작한다. 즉 여러 서비스의 오케스트레이션으로 통일된 방어책을 구성할 수 있고, 특정 공격 종류에 대응하는 최선의 방어법은 무엇인지에 관한 지식을 공유할 수도 있다.

또한 여러 퍼블릭 클라우드 사이에서 모든 주요 애플리케이션과 데이터베이스, 스토리지 시스템에 대한 가시성도 필요하다. 예를 들어, CPU 포화 상태는 공격 때문일 가능성이 있으므로 확인해야 한다.

인력의 배제. 기계가 지배하는 영화 터미네이터 같은 시나리오를 생각할 필요는 없다. 하지만 사실 인간은 보안에서는 가장 약한 고리이다. 가트너는 2025년까지 클라우드 보안 사고의 99%는 고객의 잘못에 의해 일어날 것이라고 전망했다. 필자는 99.999%일 것이라고 확신한다.

공격의 여지를 남겨둔 잘못된 환경 구성이거나 교육 부족으로 인한 단순한 실수이거나 상관없다. 클라우드 보안이란 방정식에서 인간이란 요소를 줄이면 줄일수록, 클라우드는 더 안전해질 것이다.

인적 요소의 배제는 모든 것을 자동화하는 접근법과 일맥상통한다. 그렇다고 일자리를 걱정할 필요는 없다. 누군가는 이런 자동화를 설정해야 하고, 또 끊임없이 개선해야만 한다.

결론을 말하자면, 보안은 계속 향상될 것이고 클라우드는 가장 안전한 곳이 될 것이다. 연구개발비가 클라우드 기반 보안에 투여되는 한, 필연적인 결과이다. editor@itworld.co.kr


X