2018.09.14

디지털 변혁 추진 중에 만나는 4가지 보안 쟁점

Maria Korolov | CSO
디지털 변혁은 수많은 기업의 장기 생존에서 매우 중요하다. 민첩한 신생 창업 회사들을 방어하고, 더 효과적으로 고객의 기대 사항을 충족하며, 새로운 기회를 찾고, 비용을 절감하는 데 도움을 줄 수 있기 때문이다.



여기에 더해, 보안까지 강화할 수 있다. 451 리서치가 지난해 말 시행한 조사 결과에 따르면, 고객 데이터를 안전하게 만드는 것이 변혁에서 중요한 목표 중 하나라고 대답한 IT 종사자 및 현업 부서장의 비율이 49%였다.

시장조사 회사인 루시드(Lucid)가 올해 여름 IT리더들을 대상으로 한 조사 결과에서도 49%의 IT리더들은 사이버보안을 강화하는 것이 디지털 변혁을 추구하는 이유 중 하나라고 답했다(루시드는 아직 조사 보고서를 발행하지 않았다). 그리고 40%는 소속 회사가 가장 많이 투자하는 디지털 변혁 분야로 사이버보안을 꼽았다.

이번 조사를 후원한 보안 업체인 닌텍스(Nintex)의 보안 및 컴플라이언스 디렉터 모니카 부시는 “디지털 변혁 프로젝트로 사이버보안 전략을 강화하는 IT리더들이 실제 증가하는 추세”라고 강조했다. 직원이 입사하고 퇴사하는 동안 접근 권한 관리 강화부터 GDPR을 비롯한 규제 요건을 위해 민감한 데이터의 위치를 추적하는 대형 프로젝트까지 다양한 노력을 기울이고 있다.

오피스365 같은 클라우드 기반 솔루션 등 최신 인프라를 도입하는 경우에 보안이 향상되는 경우도 많다. 리스크렌즈(RiskLens)의 프로페셔널 서비스 VP 채드 와인먼은 자신의 회사가 최근 클라우드로 마이그레이션을 고려하는 대기업들을 위해 위험을 분석했다고 말했다. 그는 “이메일 환경이 더 이상 온프레미스(내부) 환경이 아니라는 점 때문에 ‘정지’와 ‘데이터 보호’ 문제를 더 걱정한다. 그러나 조사 결과는 다르다. 마이크로소프트가 오피스 365를 관리하는 방식은 보통 기업과 기관의 방식보다 앞서 있다. 즉 클라우드로 마이그레이션을 하면 위험 노출이 증가하는 것이 아니라 감소한다”고 설명했다.

전문가들은 디지털 변혁 프로젝트를 추진하면서 기업 환경에 대한 가시성이 줄어들고, 사람이 직접 확인을 하는 지점이 줄어들고, 새로운 종류의 위협에 노출될 수 있다고 지적했다. 포티넷의 최근 조사 결과에 따르면, 디지털 변혁 노력에서 가장 큰 과제로 보안이 꼽혔다. 85%에 달하는 CSO와 CISO가 보안이 큰 장애물이라고 대답했다.

프라이스워터하우스쿠퍼스(PwC) US 사이버보안 및 프라이버시 리더인 숀 조이스는 최근 발표한 보고서에서 디지털 변혁을 추진하면서 사이버 및 프라이버시 위험 관리를 올바르게 실천하고 있는 기업은 소수에 불과하다고 지적했다. 그는 “디자인(설계) 단계부터 프로덕션 단계까지 위험을 관리하는 기업이 ‘미래의 승자’가 될 것이다. 이는 브랜드를 규정 짓는 중요한 기회다”고 강조했다.


다음은 디지털 변혁을 추진하면서 보안을 구현하기 위해 극복해야 할 중요 도전 과제 4가지다.

데이터와 프로세스에 대한 가시성이 줄어든다
리스크렌즈의 와이먼에 따르면, 써드파티가 인프라를 호스팅하는 경우 기업은 수집할 수 있는 데이터에 대한 지배력이 줄어드는 경향이 있다. 그는 “온프레미스에 호스팅을 할 경우, 가시성이 높고 항상 상황과 조건을 통제할 수 있다. 또 인텔리전스(정보)도 많다”고 설명했다. 업체가 일정 수준의 통제력이나 보고서를 제공할 수 있지만, 기업이 자신의 인프라를 직접 통제할 때와는 수준이 다르다.

새 시스템을 로컬 설치하는 경우에도 새 인프라에 대한 관리를 사전에 계획하지 않았다면 문제가 될 수 있다. 디지털 가디언의 첨단 위협 방어 디렉터인 윌 그래지도는 “자산 상태와 자산에 새 소프트웨어를 배포하는 것과 관련된 ‘불확실성’이 있을 때마다 위험에 노출이 된다. 공격 표면이 증가하는 것이다”고 말했다.

온프레미스, 하이브리드, 클라우드 환경에 모두 구현할 수 있는 컨테이너를 예로 들 수 있다. 그래지도는 "몇 년 동안 컨테이너 보안 실패가 문제가 됐었다”고 언급했다.

보안이 수익 창출 활동이 아니라는 것이 문제이다. 그는 “대부분은 보안이 ‘돈벌이’ 수단이 아니다. 따라서 (시간이 지나면서 나아졌지만)역사적으로 대부분은 보안을 크게 신경 쓰지 않았다. 그 결과 보안 관점에서 보조를 맞추는 것보다 더 빠른 속도로 인프라가 성숙기에 접어들고, 확장되고, 증가된다.”고 설명했다.

현업 부서가 IT의 개입 없이 새 기술을 조달할 때 이런 문제가 더 가중된다. 특히 클라우드 서비스는 쉽고 빠르게 설정할 수 있으며, 기술 전문성이 부족해도 사용할 수 있다. 그래지도는 “사업 단위(비즈니스 부서)가 멋대로 독자적인 인프라를 구축하는 사례들을 봤다. IT를 기다릴 수 없다. 그래서 허가나 승인을 요청하지 않고, 나중에 용서를 구하는 쪽을 선택한다. 이것이 문제를 야기한다”고 지적했다. 회사는 시스템의 존재 사실을 모르기 때문에 시스템에 대한 가시성이 없다.


2018.09.14

디지털 변혁 추진 중에 만나는 4가지 보안 쟁점

Maria Korolov | CSO
디지털 변혁은 수많은 기업의 장기 생존에서 매우 중요하다. 민첩한 신생 창업 회사들을 방어하고, 더 효과적으로 고객의 기대 사항을 충족하며, 새로운 기회를 찾고, 비용을 절감하는 데 도움을 줄 수 있기 때문이다.



여기에 더해, 보안까지 강화할 수 있다. 451 리서치가 지난해 말 시행한 조사 결과에 따르면, 고객 데이터를 안전하게 만드는 것이 변혁에서 중요한 목표 중 하나라고 대답한 IT 종사자 및 현업 부서장의 비율이 49%였다.

시장조사 회사인 루시드(Lucid)가 올해 여름 IT리더들을 대상으로 한 조사 결과에서도 49%의 IT리더들은 사이버보안을 강화하는 것이 디지털 변혁을 추구하는 이유 중 하나라고 답했다(루시드는 아직 조사 보고서를 발행하지 않았다). 그리고 40%는 소속 회사가 가장 많이 투자하는 디지털 변혁 분야로 사이버보안을 꼽았다.

이번 조사를 후원한 보안 업체인 닌텍스(Nintex)의 보안 및 컴플라이언스 디렉터 모니카 부시는 “디지털 변혁 프로젝트로 사이버보안 전략을 강화하는 IT리더들이 실제 증가하는 추세”라고 강조했다. 직원이 입사하고 퇴사하는 동안 접근 권한 관리 강화부터 GDPR을 비롯한 규제 요건을 위해 민감한 데이터의 위치를 추적하는 대형 프로젝트까지 다양한 노력을 기울이고 있다.

오피스365 같은 클라우드 기반 솔루션 등 최신 인프라를 도입하는 경우에 보안이 향상되는 경우도 많다. 리스크렌즈(RiskLens)의 프로페셔널 서비스 VP 채드 와인먼은 자신의 회사가 최근 클라우드로 마이그레이션을 고려하는 대기업들을 위해 위험을 분석했다고 말했다. 그는 “이메일 환경이 더 이상 온프레미스(내부) 환경이 아니라는 점 때문에 ‘정지’와 ‘데이터 보호’ 문제를 더 걱정한다. 그러나 조사 결과는 다르다. 마이크로소프트가 오피스 365를 관리하는 방식은 보통 기업과 기관의 방식보다 앞서 있다. 즉 클라우드로 마이그레이션을 하면 위험 노출이 증가하는 것이 아니라 감소한다”고 설명했다.

전문가들은 디지털 변혁 프로젝트를 추진하면서 기업 환경에 대한 가시성이 줄어들고, 사람이 직접 확인을 하는 지점이 줄어들고, 새로운 종류의 위협에 노출될 수 있다고 지적했다. 포티넷의 최근 조사 결과에 따르면, 디지털 변혁 노력에서 가장 큰 과제로 보안이 꼽혔다. 85%에 달하는 CSO와 CISO가 보안이 큰 장애물이라고 대답했다.

프라이스워터하우스쿠퍼스(PwC) US 사이버보안 및 프라이버시 리더인 숀 조이스는 최근 발표한 보고서에서 디지털 변혁을 추진하면서 사이버 및 프라이버시 위험 관리를 올바르게 실천하고 있는 기업은 소수에 불과하다고 지적했다. 그는 “디자인(설계) 단계부터 프로덕션 단계까지 위험을 관리하는 기업이 ‘미래의 승자’가 될 것이다. 이는 브랜드를 규정 짓는 중요한 기회다”고 강조했다.


다음은 디지털 변혁을 추진하면서 보안을 구현하기 위해 극복해야 할 중요 도전 과제 4가지다.

데이터와 프로세스에 대한 가시성이 줄어든다
리스크렌즈의 와이먼에 따르면, 써드파티가 인프라를 호스팅하는 경우 기업은 수집할 수 있는 데이터에 대한 지배력이 줄어드는 경향이 있다. 그는 “온프레미스에 호스팅을 할 경우, 가시성이 높고 항상 상황과 조건을 통제할 수 있다. 또 인텔리전스(정보)도 많다”고 설명했다. 업체가 일정 수준의 통제력이나 보고서를 제공할 수 있지만, 기업이 자신의 인프라를 직접 통제할 때와는 수준이 다르다.

새 시스템을 로컬 설치하는 경우에도 새 인프라에 대한 관리를 사전에 계획하지 않았다면 문제가 될 수 있다. 디지털 가디언의 첨단 위협 방어 디렉터인 윌 그래지도는 “자산 상태와 자산에 새 소프트웨어를 배포하는 것과 관련된 ‘불확실성’이 있을 때마다 위험에 노출이 된다. 공격 표면이 증가하는 것이다”고 말했다.

온프레미스, 하이브리드, 클라우드 환경에 모두 구현할 수 있는 컨테이너를 예로 들 수 있다. 그래지도는 "몇 년 동안 컨테이너 보안 실패가 문제가 됐었다”고 언급했다.

보안이 수익 창출 활동이 아니라는 것이 문제이다. 그는 “대부분은 보안이 ‘돈벌이’ 수단이 아니다. 따라서 (시간이 지나면서 나아졌지만)역사적으로 대부분은 보안을 크게 신경 쓰지 않았다. 그 결과 보안 관점에서 보조를 맞추는 것보다 더 빠른 속도로 인프라가 성숙기에 접어들고, 확장되고, 증가된다.”고 설명했다.

현업 부서가 IT의 개입 없이 새 기술을 조달할 때 이런 문제가 더 가중된다. 특히 클라우드 서비스는 쉽고 빠르게 설정할 수 있으며, 기술 전문성이 부족해도 사용할 수 있다. 그래지도는 “사업 단위(비즈니스 부서)가 멋대로 독자적인 인프라를 구축하는 사례들을 봤다. IT를 기다릴 수 없다. 그래서 허가나 승인을 요청하지 않고, 나중에 용서를 구하는 쪽을 선택한다. 이것이 문제를 야기한다”고 지적했다. 회사는 시스템의 존재 사실을 모르기 때문에 시스템에 대한 가시성이 없다.


X