보안 / 클라우드

멀티클라우드 보안 과제 3가지와 대응 전략 수립 방법

Mary K. Pratt | CSO 2018.10.24
데이터 침해 또는 침입 경보가 발생하면 보안 팀은 신속하게 움직여 피해를 억제하고 원인을 파악한다. IT 부서가 모든 운영을 자체 인프라에서 실행했던 시절에도 이 작업은 벅찼다. 그러나 조직이 워크로드를 클라우드로 이전하고, 나아가 여러 클라우드 제공업체로 이전함에 따라 이 작업은 더욱 복잡해졌다.


Credit: Getty Images Bank

클라우드 제공업체 라이트스케일(RightScale)의 2018 클라우드 현황 보고서에 따르면, 997명의 기술 전문가 응답자 가운데 77%가 클라우드 보안이 과제라고 답했으며 29%는 중대한 과제라도 답했다. 이런 결과와 관련, 보안 전문가들은 특히 라이트스케일 설문 응답자의 81%가 멀티클라우드 전략을 채택하고 있음을 감안하면 놀라운 결과가 아니라고 평가했다.

경영 컨설팅 기업 프로티비티(Protiviti)의 기술 컨설팅 사업부 글로벌 책임자이자 이사인 론 레퍼츠는 "멀티클라우드 환경은 보안 통제 방안을 구현하고 관리하는 방법 측면에서 복잡성을 가중시킨다"고 말했다. 레퍼츠를 비롯한 보안 리더들은 기업이 클라우드로 더 많은 워크로드를 이전하면서 보안을 가장 중요한 사항으로 여기는 것은 현명한 처사라고 말했다.

멀티클라우드 보안의 과제
그러나 보안 리더들은 멀티클라우드 환경에는 전체적인 보안 전략에서 감안해야 하는 부가적인 과제가 따른다는 점 역시 인식해야 한다.

IT 거버넌스 전문가 협회인 ISACA의 이사이자 전 이사회 의장인 크리스토스 K. 디미트리아디스는 "멀티클라우드 환경에서 가장 중요한 것은 계약, 기술, 그리고 사람들 간의 조율"이라며, "사고가 발생하면 모든 주체가 조율하고 모두가 협력해 침해를 파악하고 분석을 수행하고 개선 계획을 수립해 더욱 효과적인 통제 방안을 마련해야 한다"고 말했다.

보안 전문가들이 지목한, 멀티클라우드 환경에서 보안 전략을 복잡하게 만드는 3가지 요소는 다음과 같다.

- 복잡성 증대: 여러 클라우드 제공업체, 그리고 훨씬 더 확장된 연결 포인트 네트워크 전반에서 보안 정책, 프로세스 및 대응을 조율하는 과정은 복잡성을 가중시킨다.

비영리 무역 기구 클라우드 보안 협회(CSA)의 ERP 보안 워킹 그룹 공동 의장인 후안 페레즈-에체고옌은 "자사의 데이터센터가 세계 여러 곳에 확장되어 있다고 생각하면 된다"면서, "이 상태에서 사업을 하는 모든 국가 또는 지역의 규정을 준수해야 한다. 규정은 무척 많고 계속 증가 중이므로 기업은 이에 맞춰 통제 수단과 메커니즘을 구현해야 한다. 이 모든 것이 데이터 보호의 복잡성 증대를 이끄는 원인이다"고 말했다.

- 가시성의 부재: IT 조직은 직원들이 사용하는 클라우드 서비스에 대해 속속들이 알지 못하는 경우가 많고, 직원은 기업 IT 부서를 거치지 않고 손쉽게 독단적으로 서비스형 소프트웨어 또는 기타 클라우드 기반 서비스를 구매할 수 있다.

디미트리아디스는 "사람들은 데이터의 위치에 대한 명확한 이해 없이 데이터를 보호하고 서비스를 보호하고 비즈니스를 보호하려고 한다"고 지적했다.

- 새로운 위협: 컨설팅 업체 시큐리티 리스크 매니지먼트(Security Risk Management Inc)의 창업자이자 CEO인 제프 스피비는 "기업 보안 리더들은 멀티클라우드 환경이 부상함에 따라 새로운 위협이 발생할 수 있음을 인식해야 한다"고 말했다.

스피비는 "사람들은 아직 모든 취약점을 알지 못하는 상태에서 무언가를 만들고 있으며 앞으로 만드는 과정에서 이런 취약점을 발견하게 될 가능성이 높다"고 말했다.

멀티클라우드 보안 전략 수립
멀티클라우드 환경이 확산되면서 다양한 보안 모범 사례가 등장했다. 이 가운데에는 모든 조직이 자체 보안 전략을 수립할 때 취해야 하는 몇 가지 핵심적인 단계가 있다.

디미트리아디스는 가장 먼저 해야 할 일은 데이터가 위치하는 모든 클라우드를 찾고 "데이터 현황과, 어떤 IT 서비스 및 자산이 그 정보와 관련되는 지에 대한 전체적인 그림이 포함된 견고한 데이터 거버넌스 프로그램을 마련하는 것"이라고 말했다.

ISACA 외에 게임 솔루션 제공업체 및 운영업체인 인트라롯 그룹(INTRALOT Group)에서 정보 보안, 정보 규정 준수 및 지적 재산 보호 책임자이기도 한 디미트리아디스는 이런 보안 권장 사항이 멀티클라우드 환경에만 해당되는 것은 아니라고 말했다.

그러나 디미트리아디스는 데이터가 클라우드로 이동되고 여러 클라우드 플랫폼에 걸쳐 분산되면 이런 근본적인 수단을 마련하는 것이 더욱 중요해진다고 말했다.

통계를 보면 강력한 보안 기반을 두는 것이 중요한 이유를 알 수 있다. KPMG와 오라클이 450명의 사이버 보안 및 IT 전문가를 대상으로 실시한 설문 조사 결과를 담은 2018 클라우드 위협 보고서에 따르면, 기업의 90%는 클라우드에 위치한 데이터의 절반을 민감한 데이터로 분류하고 있다.

또한 보고서에서 응답자의 82%는 직원들이 클라우드 보안 정책을 따르지 않는 것을 우려했으며, 38%는 클라우드 보안 사고를 탐지하고 대응하는 데 어려움을 겪고 있다.

ISACA 내의 리더이며 시만텍 CTO 사무실의 전략 및 기술 전도 담당자인 람세스 갈레고는 이런 상황에 대처하기 위해 기업은 정보를 분류해 보안 '성층권'을 형성해야 한다고 말했다. 즉, 데이터에 액세스하거나 데이터를 잠그기 위해 필요한 신뢰 및 검증 수준이 모든 데이터에 대해 동일하지는 않다는 것을 인식해야 한다.

또한 보안 전문가들은 기업이 멀티클라우드 환경을 보호하기 위해 필요한 기초적인 계층으로 전통적인 보안 대책도 구축해야 한다고 조언한다. 갈레고는 데이터 분류 정책 외에 암호화, 이중 요소 인증과 같은 ID 및 액세스 관리(IAM) 솔루션을 사용할 것을 권장했다.

KPMG의 신기술 위험 서비스 부문 파트너로 회사의 클라우드 위험 컨설팅 사업을 이끄는 세일레시 가디아는 정책 및 아키텍처를 표준화해 일관적인 적용을 보장하고 최대한 많은 부분을 자동화해서 보안 표준으로부터의 이탈을 억제해야 한다고 말했다.

가디아는 "회사가 기울이는 노력의 정도는 데이터가 처한 위험 및 데이터의 민감성에 따라야 한다. 즉, 기밀이 아닌 데이터 저장/처리에 클라우드를 사용한다면 가장 중요한 자산이 저장된 클라우드의 경우와 동일한 보안 접근 방법을 취할 필요는 없다"고 말했다.

또한 가디아는 표준화와 자동화가 효율성으로 이어진다고 강조했다. 효율성은 총 비용을 낮출 뿐만 아니라 보안 리더가 더 많은 리소스를 더 가치 있는 작업에 투입할 수 있게 해준다.

보안 전문가들은 이런 기초적인 요소가 더 광범위하고 응집력 있는 전략의 일부가 되어야 한다면서, 기업은 보안 작업을 통제하는 프레임워크를 도입하는 것이 좋다고 강조했다. 일반적인 프레임워크로는 미국 국립표준기술원의 NIST, ISACA의 COBIT(Control Objectives for Information Related Technology), ISO 27000 시리즈, 클라우드 보안 협회의 CCM(Cloud Control Matrix) 등이 있다.

공급업체 기대치 설정
디미트리아디스는 이렇게 선택한 프레임워크는 기업뿐만 아니라 공급업체의 작업에도 적용되어야 한다고 말했다. 디미트리아디스는 "이런 프레임워크를 클라우드 제공업체와의 계약에 넣어야 한다. 그러면 보호하고자 하는 데이터 및 서비스에 관한 통제 수단을 구축할 수 있게 된다"고 설명했다.

보안 전문가들은 클라우드 제공업체와의 협상과 이후 서비스 계약 시 제공되는 데이터 격리의 종류, 데이터 저장 위치, 공급업체 측에서 이 데이터에 액세스할 수 있는 사람, 그리고 그 기업에 서비스를 제공하는 다른 클라우드 공급업체와의 협력 및 조율 방법을 포함한 문제 발생 시 공급업체의 대응 방법을 다뤄야 한다고 말했다.

스피비는 "기대치와 이를 측정하는 방법을 구체적으로 마련해야 한다"면서, "각 제공업체로부터 어떤 서비스를 받는지, 그리고 각 업체에 서비스를 관리하고 통제할 역량이 있는지 여부에 대한 명확한 이해가 필요하다"고 덧붙였다.

갈레고는 클라우드 제공업체에 보안에 관한 권한을 너무 많이 이양해서는 안 된다고 말했다.
클라우드 공급업체는 서비스를 판매하면서 기업 고객을 대신해서 하는 작업을 강조하는 경우가 많다. 클라우드 공급업체가 맡는 작업 중에는 보안 서비스도 포함되지만 갈레고는 "충분하지 않다. 이들의 주 비즈니스 영역은 보안이 아니라 어디까지나 클라우드임을 인식해야 한다"고 충고했다.

갈레고는 따라서 기업 보안 리더가 "누가, 언제, 어떤 방법으로 무엇에 액세스할 수 있는가"에 대해 세부적인 수준까지 보안 계획을 공식화한 다음 이를 클라우드 제공업체에 적용해 이런 계획의 실천을 지원하도록 해야 한다"고 말했다. 갈레고는 "클라우드 제공업체 스스로 기업의 신뢰를 얻어야 한다"고 덧붙였다.

신기술 채택
정책, 거버넌스, 그리고 이중 요소 인증과 같은 전통적인 보안 대책은 필수적이지만 보안 전문가들에 따르면 여러 클라우드에 걸쳐 워크로드를 분산하는 데 따르는 복잡성에 대처하기에는 충분하지 않다.

기업은 기업 보안 팀이 멀티클라우드 보안 전략을 더 효과적으로 관리하고 이행할 수 있도록 설계된 새로운 기술을 채택해야 한다.

갈레고를 비롯한 전문가들은 클라우드 액세스 보안 브로커(CASB), 기업에서 인증, 자격 증명 매핑, 디바이스 프로파일링, 암호화 및 악성코드 탐지와 같은 보안 대책을 통합, 시행하기 위해 기업 자체와 클라우드 서비스 제공업체 사이에 두는 구내 소프트웨어와 같은 솔루션을 언급했다.

또한 전문가들은 학습을 통해 네트워크 트래픽을 분석해서 사람의 주의가 필요한 이상점을 더 정확하게 탐지, 경미한 사고에 투입되는 인력을 줄이고 대신 문제로 이어질 가능성이 가장 큰 사고에 투입할 수 있도록 하는 인공 지능 기술도 강조했다.

지속적인 자동화 역시 멀티클라우드 환경의 보안을 최적화하기 위한 핵심 기술로 언급됐다. 스피비는 "성공하는 조직은 많은 부분을 자동화하고 거버넌스와 관리에 집중하는 조직"이라고 말했다.

아울러 스피비를 비롯한 전문가들은 CASB와 같이 여러 클라우드에 걸쳐 데이터를 보호하는 데 사용되는 기술은 멀티클라우드 환경에 국한될 수 있지만 전체적인 보안 원칙은 사람, 프로세스, 기술을 조율해 최선의 전략을 공식화한다는 전통적인 접근 방법을 그대로 따른다고 강조했다.

오냅시스(Onapsis)의 CTO이기도 한 페레즈-에체고옌은 "다양한 기술, 다양한 시나리오, 데이터에 대한 초점 강화에 대해 이야기하지만, 사실 구현해야 하는 개념은 똑같다"면서, "멀티클라우드 환경의 기술적 접근 방법은 다르지만 전체적인 전략은 동일하다"고 말했다. editor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.