2021.08.19

SaaS 거버넌스 계획이 필요한 이유와 도입시 고려해야 할 사항

Chris Hughes | CSO
SaaS 도입 속도가 IaaS 소비량을 크게 앞서고 있다. 그럼에도 불구하고 기업들은 거의 인프라 보안에만 집중하고 있다. 이제 기업들은 SaaS 사용과 관련된 위험을 낮추기 위해 보안 조치를 구현하는 SaaS 거버넌스 계획을 고려해야 한다. 이 계획에는 준법감시 프레임워크, 문서화/상당한 주의, 지속적인 모니터링과 위험 감소를 위한 기술적 조치의 조합이 포함된다.
 
ⓒ Getty Images Bank

클라우드 도입에 관한 보안 논의의 상당 부분이 AWS, 마이크로소프트 애저, 구글 클라우드 등의 IaaS(Infrastructure as a Service)/PaaS(Platform as a Service) 제공업체에 집중되는 데는 그만한 이유가 있다. 기업들은 엄청난 IaaS 도입 증가를 경험했으며 잘못된 IaaS 구성과 관련된 무수히 많은 보안 사고를 목격했다. 

하지만 잘못 구현되어 안전하지 못한 SaaS로 인한 위험은 간과되고 있다. 가트너는 SaaS가 가장 큰 공공 클라우드 시장으로 유지될 것으로 전망했으며, 이 전망 이후 코로나19로 인해 SaaS 사용이 전례 없이 폭증했다. 또한 기업들은 일반적으로 3대 클라우드 서비스 제공업체를 비롯, 소수의 IaaS 제공업체만 이용하면서 많은 SaaS 제품을 소비하는 경향이 있다. 2020년 블리스풀리(Blissfully)의 조사에 따르면, 대기업은 최대 288개의 SaaS 앱을 사용하며 중소기업은 100개 이상을 사용하고 있는 것으로 나타났다.

기업이 IaaS 보안을 강화하기 시작했을 수 있지만 더 광범위하고 다양한 SaaS 부문은 그렇지 않을 가능성이 높다. 이런 현실로 인해 IaaS 제공업체보다 SaaS 제공업체의 비승인 IT 사용이 만연하며, 그 이유는 시장에 SaaS 제품이 많고 신용카드만으로도 손쉽게 소비할 수 있기 때문이다.

자일로(Zylo)의 연구에 따르면, 기업들은 월 평균 10개의 SaaS 제품을 추가하고 있으며 이 가운데 IT 부서가 직접 관리하는 것은 25%에 불과했다. 관리되지 않는 SaaS 위험이 상당히 크다. 이런 기하급수적인 SaaS 사용량 증가에도 불구하고 앱옴니(AppOmni)의 조사에 따르면, 응답자 가운데 32%만이 SaaS의 데이터 보안을 위한 도구를 도입하는 것으로 나타났다.

이런 광범위한 SaaS 도입에도 불구하고 기업들이 IaaS 보안 우려에만 집중하는 이유는 무엇일까? 그 이유는 공유 책임 모델에 대한 오해, 그리고 SaaS 환경에서 클라우드 서비스 제공업체가 모든 책임을 진다는 가정 때문이다. 또한 보안 부서가 기업의 클라우드 사용량과 널리 확산된 세간의 이목을 끄는 IaaS 데이터 유출의 좋지 못한 결과만 해결하는 것도 벅차기 때문인 것도 있다.

주요 IaaS 제공업체는 명확한 인증과 학습 경로를 제공해 전문가들이 플랫폼을 보호하는 방법을 배우고 이를 입증할 수 있도록 한다. SaaS는 이런 시나리오를 제공하지 않는다. 이제 SaaS 보안은 수없이 많은 해결되지 않은 위험을 완화하기 시작할 수 있는 수준으로 성숙했다.


SaaS 위험에 대한 접근 방식

SaaS 사용을 위한 보안 구현은 데이터 지향적이어야 한다. 즉, SaaS 제품이 접근하는 내부 데이터, 기업 내의 접근 레벨, 데이터가 부주의로 노출되거나 악의적으로 해킹된 경우 잠재적인 보안 및 규제 영향을 살펴봐야 한다. 특히, 사람들이 모든 곳에서 데이터에 접근하고 자신의 기기를 사용하는 경우가 많은, 오늘날의 지리적으로 다양화된 기업의 경우는 더욱 그렇다.

이 과정의 첫 단계는 기업이 사용하는 SaaS를 확인하는 것이다. 기업의 성숙도와 기술 아키텍처에 따라 수동 재고 관리 프로세스이거나 비승인 SaaS 사용을 식별하는 데 도움이 될 수 있는 CASB(Cloud Access Security Broker) 등의 기술적인 도구가 필요하다. 

기업이 SaaS 사용에 대한 보안을 강화하기 시작하면 2가지 접근방식을 취하는 경향이 있다. 하나는 문서 검토뿐 아니라 SOC(Service Organization Controls)2, PCI(Payment Card Industry), FedRAMP(Federal Risk and Authorization Management Program) 등의 보안 프레임워크에 집중하는 것이다. 다른 하나는 기술적 평가, 강화, 지속적인 모니터링에 집중하는 것이다. 이상적인 접근방식에는 다음에서 논의하는 것과 같이 두 가지 모두 수반된다.


프레임워크, 문서화, 보고

기업이 SaaS 제품을 조사할 때(구매 및 구현 전에 하는 것이 이상적임) SOC2, CSA(Cloud Security Alliance)의 CCM(Cloud Controls Matrix) 및 STAR(Security, Trust, Assurance Registry)/CAIQ(Consensus Assessments Initiative Questionnaire), FedRAMP 등의 인기 있는 프레임워크가 포함되는 경향이 있다.

SOC2는 보안, 가용성, 기밀성, 무결성, 개인정보 보호와 관련된 회사 내부의 제어를 검증하는 데 도움이 되기 때문에 점차 인기있는 SaaS 제공업체 선택지가 됐다. 또 다른 인기있는 선택지는 CSA의 CAIQ이며, SaaS 제품에 어떤 제어가 존재하는지 문서화하고 클라우드 전용 보안 제어 프레임워크인 CSA의 CCM과 관련되어 있다. 공공 부문에서 FedRAMP가 정부 소비를 위한 클라우드 서비스 제품을 승인하는 방법으로 널리 사용되며 NIST 800-53 보안 제어를 사용한다.

기업은 이런 인증을 요청하는 경우가 많고 그렇게 해야 하며, 그 이유는 여기에 서드파티가 SaaS 업체 및 그 제품이 특정 수준의 보안 엄격성을 충족하는지 여부를 검증하는 서드파티 평가 조직(3PAO)가 포함되는 경우가 많기 때문이다. 이를 통해 기업은 SaaS 제품이 어느 정도 안전하며 기업이 인프라와 고객 데이터 취급 및 저장 방법에 대해 기본적인 보안 활동을 수행하고 있음을 확인할 수 있다.

사용할 프레임워크의 선택은 주로 기업이 운영하고 있는 산업뿐 아니라 SaaS 제공업체의 성숙도에 달려 있다. 이런 프레임워크는 시간 및 리소스 집약적일 수 있기 때문에 새로운 SaaS 제공업체는 일반적으로 좀 더 성숙하고 고객이 요청할 때까지 인증을 추진하지 않는다. 또한 시장에 SaaS 상품의 수가 매우 많기 때문에 일부 주요 준법감시 프로그램은 FedRAMP 등을 따라잡지 못했다.

SaaS 제공업체가 인증이나 감사가 없는 경우, 또는 있다 하더라도 이것들에 사용하는 데이터가 매우 민감한 경우, 문서와 다른 기준을 자세히 조사해 적합성을 검토할 필요가 있다. 여기에는 내부 또는 외부 침투 테스트의 결과 및 아키텍처, 인증, 암호화 등에 대한 논의가 포함될 수 있다. 이런 추가적인 활동은 조직이 특정 SaaS 제품을 사용하는 위험과 관련해 일정 수준의 확신을 가지는 데 도움이 된다.


기술적 SaaS 범위/역량 

프레임워크는 SaaS 제품 조사 측면에서 좋은 출발점이지만 시작에 불과하다. 또한 SaaS 거버넌스 전략의 일환으로 기술적 제어, 설정, 모니터링을 고려해야 한다. 각 SaaS 제품에는 많은 기능, 구성, 설정이 수반되며, 대부분은 직원들이 보안 관점에서 익숙하지 않은 것들이다.

SaaS 애플리케이션의 보안 자세를 모니터링하는 SSPM(SaaS Security Posture Management) 도구를 도입한다. 인기있는 SSPM 도구는 앱옴니(AppOmni)와 옵시디언(Obsidian)이다. 이 제공업체들은 박스(Box), 깃허브(GitHub), 세일즈포스(Salesforce), 슬랙(Slack) 등의 선두 SaaS 제품 가운데 일부를 지원한다.

이 업체들은 기업이 SaaS 사용을 강화할 수 있도록 안전한 구성, 보안 검사, 모범 사례, 권고사항을 고안했다. 이런 제품 가운데 다수가 가능한 경우 민감한 데이터와 의사소통이 포함될 수 있는 마이크로소프트 365와 구글 워크스페이스 등의 SaaS 제품을 위한 CIS 벤치마크(CIS Benchmarks) 같은 산업 리소스를 사용한다.

이런 보호 노력은 계정 해킹, 불안전한 설정, 준법감시, 접근 관리 등의 만연한 보안 우려로부터 기업을 보호하는 데 도움이 된다. 또한 돌발 상황 대응에도 도움이 될 수 있다. 기업은 자체 인력에 각 SaaS 애플리케이션을 위한 구체적인 보안 인사이트와 전문지식이 없을 가능성이 있기 때문에 놀랍도록 중요한 부분이다. SSPM 제공업체는 범위에 더 많은 SaaS 제품을 지속적으로 추가하고 있으며, 기업의 규모에 따라 널리 사용되는 SaaS를 아우른 제품 로드맵을 형성하는 데 도움을 줄 수도 있다.

기술적인 보안 우려 외에 기업은 SaaS 패러다임의 준법감시에 대해서도 관심을 가져야 한다. 공유 책임 모델을 기억하는가? 여기에서도 적용된다.

앱옴니 등의 플랫폼은 PCI, HIPAA, GDPR, NIST 등의 널리 적용 가능한 프레임워크와 관련된 필수적인 준법감시 제어를 자동으로 이행하는 데 도움이 될 수 있다. 기업은 잠재적으로 수백 개의 SaaS 앱에서 이런 프레임워크에 대한 지속적인 준법감시를 유지할 수 없으며, 여기에서 이런 노력을 강화하기 위한 기술 솔루션이 실제로 빛을 발할 수 있다. editor@itworld.co.kr


2021.08.19

SaaS 거버넌스 계획이 필요한 이유와 도입시 고려해야 할 사항

Chris Hughes | CSO
SaaS 도입 속도가 IaaS 소비량을 크게 앞서고 있다. 그럼에도 불구하고 기업들은 거의 인프라 보안에만 집중하고 있다. 이제 기업들은 SaaS 사용과 관련된 위험을 낮추기 위해 보안 조치를 구현하는 SaaS 거버넌스 계획을 고려해야 한다. 이 계획에는 준법감시 프레임워크, 문서화/상당한 주의, 지속적인 모니터링과 위험 감소를 위한 기술적 조치의 조합이 포함된다.
 
ⓒ Getty Images Bank

클라우드 도입에 관한 보안 논의의 상당 부분이 AWS, 마이크로소프트 애저, 구글 클라우드 등의 IaaS(Infrastructure as a Service)/PaaS(Platform as a Service) 제공업체에 집중되는 데는 그만한 이유가 있다. 기업들은 엄청난 IaaS 도입 증가를 경험했으며 잘못된 IaaS 구성과 관련된 무수히 많은 보안 사고를 목격했다. 

하지만 잘못 구현되어 안전하지 못한 SaaS로 인한 위험은 간과되고 있다. 가트너는 SaaS가 가장 큰 공공 클라우드 시장으로 유지될 것으로 전망했으며, 이 전망 이후 코로나19로 인해 SaaS 사용이 전례 없이 폭증했다. 또한 기업들은 일반적으로 3대 클라우드 서비스 제공업체를 비롯, 소수의 IaaS 제공업체만 이용하면서 많은 SaaS 제품을 소비하는 경향이 있다. 2020년 블리스풀리(Blissfully)의 조사에 따르면, 대기업은 최대 288개의 SaaS 앱을 사용하며 중소기업은 100개 이상을 사용하고 있는 것으로 나타났다.

기업이 IaaS 보안을 강화하기 시작했을 수 있지만 더 광범위하고 다양한 SaaS 부문은 그렇지 않을 가능성이 높다. 이런 현실로 인해 IaaS 제공업체보다 SaaS 제공업체의 비승인 IT 사용이 만연하며, 그 이유는 시장에 SaaS 제품이 많고 신용카드만으로도 손쉽게 소비할 수 있기 때문이다.

자일로(Zylo)의 연구에 따르면, 기업들은 월 평균 10개의 SaaS 제품을 추가하고 있으며 이 가운데 IT 부서가 직접 관리하는 것은 25%에 불과했다. 관리되지 않는 SaaS 위험이 상당히 크다. 이런 기하급수적인 SaaS 사용량 증가에도 불구하고 앱옴니(AppOmni)의 조사에 따르면, 응답자 가운데 32%만이 SaaS의 데이터 보안을 위한 도구를 도입하는 것으로 나타났다.

이런 광범위한 SaaS 도입에도 불구하고 기업들이 IaaS 보안 우려에만 집중하는 이유는 무엇일까? 그 이유는 공유 책임 모델에 대한 오해, 그리고 SaaS 환경에서 클라우드 서비스 제공업체가 모든 책임을 진다는 가정 때문이다. 또한 보안 부서가 기업의 클라우드 사용량과 널리 확산된 세간의 이목을 끄는 IaaS 데이터 유출의 좋지 못한 결과만 해결하는 것도 벅차기 때문인 것도 있다.

주요 IaaS 제공업체는 명확한 인증과 학습 경로를 제공해 전문가들이 플랫폼을 보호하는 방법을 배우고 이를 입증할 수 있도록 한다. SaaS는 이런 시나리오를 제공하지 않는다. 이제 SaaS 보안은 수없이 많은 해결되지 않은 위험을 완화하기 시작할 수 있는 수준으로 성숙했다.


SaaS 위험에 대한 접근 방식

SaaS 사용을 위한 보안 구현은 데이터 지향적이어야 한다. 즉, SaaS 제품이 접근하는 내부 데이터, 기업 내의 접근 레벨, 데이터가 부주의로 노출되거나 악의적으로 해킹된 경우 잠재적인 보안 및 규제 영향을 살펴봐야 한다. 특히, 사람들이 모든 곳에서 데이터에 접근하고 자신의 기기를 사용하는 경우가 많은, 오늘날의 지리적으로 다양화된 기업의 경우는 더욱 그렇다.

이 과정의 첫 단계는 기업이 사용하는 SaaS를 확인하는 것이다. 기업의 성숙도와 기술 아키텍처에 따라 수동 재고 관리 프로세스이거나 비승인 SaaS 사용을 식별하는 데 도움이 될 수 있는 CASB(Cloud Access Security Broker) 등의 기술적인 도구가 필요하다. 

기업이 SaaS 사용에 대한 보안을 강화하기 시작하면 2가지 접근방식을 취하는 경향이 있다. 하나는 문서 검토뿐 아니라 SOC(Service Organization Controls)2, PCI(Payment Card Industry), FedRAMP(Federal Risk and Authorization Management Program) 등의 보안 프레임워크에 집중하는 것이다. 다른 하나는 기술적 평가, 강화, 지속적인 모니터링에 집중하는 것이다. 이상적인 접근방식에는 다음에서 논의하는 것과 같이 두 가지 모두 수반된다.


프레임워크, 문서화, 보고

기업이 SaaS 제품을 조사할 때(구매 및 구현 전에 하는 것이 이상적임) SOC2, CSA(Cloud Security Alliance)의 CCM(Cloud Controls Matrix) 및 STAR(Security, Trust, Assurance Registry)/CAIQ(Consensus Assessments Initiative Questionnaire), FedRAMP 등의 인기 있는 프레임워크가 포함되는 경향이 있다.

SOC2는 보안, 가용성, 기밀성, 무결성, 개인정보 보호와 관련된 회사 내부의 제어를 검증하는 데 도움이 되기 때문에 점차 인기있는 SaaS 제공업체 선택지가 됐다. 또 다른 인기있는 선택지는 CSA의 CAIQ이며, SaaS 제품에 어떤 제어가 존재하는지 문서화하고 클라우드 전용 보안 제어 프레임워크인 CSA의 CCM과 관련되어 있다. 공공 부문에서 FedRAMP가 정부 소비를 위한 클라우드 서비스 제품을 승인하는 방법으로 널리 사용되며 NIST 800-53 보안 제어를 사용한다.

기업은 이런 인증을 요청하는 경우가 많고 그렇게 해야 하며, 그 이유는 여기에 서드파티가 SaaS 업체 및 그 제품이 특정 수준의 보안 엄격성을 충족하는지 여부를 검증하는 서드파티 평가 조직(3PAO)가 포함되는 경우가 많기 때문이다. 이를 통해 기업은 SaaS 제품이 어느 정도 안전하며 기업이 인프라와 고객 데이터 취급 및 저장 방법에 대해 기본적인 보안 활동을 수행하고 있음을 확인할 수 있다.

사용할 프레임워크의 선택은 주로 기업이 운영하고 있는 산업뿐 아니라 SaaS 제공업체의 성숙도에 달려 있다. 이런 프레임워크는 시간 및 리소스 집약적일 수 있기 때문에 새로운 SaaS 제공업체는 일반적으로 좀 더 성숙하고 고객이 요청할 때까지 인증을 추진하지 않는다. 또한 시장에 SaaS 상품의 수가 매우 많기 때문에 일부 주요 준법감시 프로그램은 FedRAMP 등을 따라잡지 못했다.

SaaS 제공업체가 인증이나 감사가 없는 경우, 또는 있다 하더라도 이것들에 사용하는 데이터가 매우 민감한 경우, 문서와 다른 기준을 자세히 조사해 적합성을 검토할 필요가 있다. 여기에는 내부 또는 외부 침투 테스트의 결과 및 아키텍처, 인증, 암호화 등에 대한 논의가 포함될 수 있다. 이런 추가적인 활동은 조직이 특정 SaaS 제품을 사용하는 위험과 관련해 일정 수준의 확신을 가지는 데 도움이 된다.


기술적 SaaS 범위/역량 

프레임워크는 SaaS 제품 조사 측면에서 좋은 출발점이지만 시작에 불과하다. 또한 SaaS 거버넌스 전략의 일환으로 기술적 제어, 설정, 모니터링을 고려해야 한다. 각 SaaS 제품에는 많은 기능, 구성, 설정이 수반되며, 대부분은 직원들이 보안 관점에서 익숙하지 않은 것들이다.

SaaS 애플리케이션의 보안 자세를 모니터링하는 SSPM(SaaS Security Posture Management) 도구를 도입한다. 인기있는 SSPM 도구는 앱옴니(AppOmni)와 옵시디언(Obsidian)이다. 이 제공업체들은 박스(Box), 깃허브(GitHub), 세일즈포스(Salesforce), 슬랙(Slack) 등의 선두 SaaS 제품 가운데 일부를 지원한다.

이 업체들은 기업이 SaaS 사용을 강화할 수 있도록 안전한 구성, 보안 검사, 모범 사례, 권고사항을 고안했다. 이런 제품 가운데 다수가 가능한 경우 민감한 데이터와 의사소통이 포함될 수 있는 마이크로소프트 365와 구글 워크스페이스 등의 SaaS 제품을 위한 CIS 벤치마크(CIS Benchmarks) 같은 산업 리소스를 사용한다.

이런 보호 노력은 계정 해킹, 불안전한 설정, 준법감시, 접근 관리 등의 만연한 보안 우려로부터 기업을 보호하는 데 도움이 된다. 또한 돌발 상황 대응에도 도움이 될 수 있다. 기업은 자체 인력에 각 SaaS 애플리케이션을 위한 구체적인 보안 인사이트와 전문지식이 없을 가능성이 있기 때문에 놀랍도록 중요한 부분이다. SSPM 제공업체는 범위에 더 많은 SaaS 제품을 지속적으로 추가하고 있으며, 기업의 규모에 따라 널리 사용되는 SaaS를 아우른 제품 로드맵을 형성하는 데 도움을 줄 수도 있다.

기술적인 보안 우려 외에 기업은 SaaS 패러다임의 준법감시에 대해서도 관심을 가져야 한다. 공유 책임 모델을 기억하는가? 여기에서도 적용된다.

앱옴니 등의 플랫폼은 PCI, HIPAA, GDPR, NIST 등의 널리 적용 가능한 프레임워크와 관련된 필수적인 준법감시 제어를 자동으로 이행하는 데 도움이 될 수 있다. 기업은 잠재적으로 수백 개의 SaaS 앱에서 이런 프레임워크에 대한 지속적인 준법감시를 유지할 수 없으며, 여기에서 이런 노력을 강화하기 위한 기술 솔루션이 실제로 빛을 발할 수 있다. editor@itworld.co.kr


X