Offcanvas

보안 / 비즈니스|경제 / 클라우드

칼럼 | 클라우드 보안에 필요한 CISO의 대응 계획

2024.06.12 David Linthicum  |  InfoWorld
CISO는 여전히 잘못된 가정과 시대에 뒤떨어진 접근 방식으로 인해 어려움을 겪고 있다. 비즈니스 요구 사항을 해결하려면 CISO가 처음부터 의사 결정에 참여할 필요가 있다.
 
ⓒ Getty Images Bank

클라우드로 마이그레이션하는 기업이 증가하면서 최고 정보 보안 책임자(CISO)는 강력한 클라우드 보안을 보장하는 데 있어 수많은 과제에 직면해 있다. 전문가들은 가트너 보안 및 위험 관리 서밋에서 이 점을 강조했다. 가트너는 클라우드 보안에 대한 지출이 24% 증가해 전 세계 보안 및 위험 관리 시장에서 빠르게 성장하는 부문으로 자리매김할 것이라고 예상했다.

적응, 조정, 실행
결론부터 말하자면 클라우드 컴퓨팅으로 전환하려면 보안을 근본적으로 다시 생각해야 한다는 것이다. 조직은 클라우드를 표준 비즈니스 운영에 통합하기 위해 노력하고 있지만, 이러한 전환에는 대부분 CISO가 이해하는 것보다 더 많은 함정이 있다. 20년 동안의 연구와 컨설턴트로서의 경험을 바탕으로 이런 문제를 클라우드 이전과 이후로 나눠 살펴봤다.

클라우드에서는 거버넌스, 잘못된 구성, 안전하지 않은 공급망 및 파이프라인, 데이터 손실 또는 유출, 기밀 및 키 관리의 실패 등 기존 IT 환경에 존재했던 문제가 지속되고 있는 것으로 나타났다. 클라우드는 제한된 가시성, 동적 공격 표면, 신원 확산, 공유 책임, 규정 준수, 규제 및 주권에 대한 오해 등 고유한 위험을 초래할 수 있다. 그리고 이는 빙산의 일각에 불과하다.

많은 CISO가 아직 무엇이 바뀌어야 하는지 정확히 이해하지 못했다고 말했다. 클라우드 배포 보안에 필요한 작업과 관련해 클라우드 서비스 업체가 잘못 안내하고 있다고 느끼는 경우가 많다. 이에 대해 조언을 해왔지만, 어려움을 겪고 있는 사람에게 ‘내가 그랬잖아’라고 말하는 것은 바람직한 생각이 아니므로 더 잘할 수 있는 방법을 찾아야 한다.

공유 책임 모델
많은 CISO와 보안팀에게는 AWS 및 마이크로소프트 애저(Azure)와 같은 주요 퍼블릭 클라우드 업체에서 사용하는 공유 책임 모델(shared responsibility model)에 대한 명확한 설명이 필요하다. 이 모델은 클라우드 업체와 고객의 보안 책임을 설명하는 것으로, 2008년 이후에는 클라우드 보안 프레젠테이션의 첫 번째 슬라이드에 포함되는 것이 일반적이다.

문제는 종종 기술 및 클라우드 업체의 보안 의무 범위와 관련된 가정에서 발생한다. 규정 준수, 민감한 데이터의 가시성, 비즈니스 연속성, 혼란스러운 서비스 수준 계약(SLA)은 CISO가 예상치 못한 문제다. 12년 동안 클라우드 보안을 다뤄온 한 CISO는 “클라우드 보안은 ‘공동 책임’이 아니라 항상 내 책임이었다”라고 말하기도 했다.

CISO는 클라우드 보안을 관리할 때 직면하게 되는 함정은 다음과 같다.

• 비즈니스 부서에서 보안 요구 사항을 적절히 해결하지 못한 경우.
• 클라우드는 처음에 이해한 것보다 더 복잡하다.
• 클라우드 전략, 아키텍처 또는 혁신 이니셔티브가 CISO의 의견 없이 진행되는 경우가 많으며, 이 모든 것을 안전하게 만들어야 한다.
• CIO와 협력해 보안을 플랫폼 엔지니어링에 통합하지 못하면 오래된 보안 프로세스로 인해 개발 파이프라인에 병목 현상이 발생한다.
• 오래된 보안 패턴을 새로운 기술에 적용한다.

힘들고 지루한 일을 대신할 수 있는 것은 없다
이런 문제를 해결하기 위한 몇 가지 전략을 추천한다. 클라우드 환경 보안을 관리하기 위해서는 자동화된 도구를 활용하는 것이 중요하다. 자동화는 CISO의 동반자다. 또한 강력한 클라우드 보안 거버넌스를 구축하면 경보의 우선순위를 정하고 서비스 엣지를 보호하는 데 도움이 될 수 있다. 모든 이상 징후에 대해 일일이 대응하면 규모를 확장할 수 없으며, ‘양치기 소년’이 될 위험성도 있다.

보안 노력을 통합하고 불변성을 위해 노력하는 것도 필수적인 모범 사례다. 또한 진화하는 클라우드 보안 환경에 적응하기 위해서는 보안 인력의 재교육과 숙련도 향상도 중요하다. 대부분의 침해 사고는 기술 부족이 아니라 교육 부족으로 인해 발생한다. CISO는 최고의 클라우드 보안 기술을 가질 수 있지만 잘못된 구성은 고칠 수 없다는 것을 알고 있다. 잘못된 구성은 클라우드 침해의 주요 원인이다.

물론 고유한 요구 사항에 따라 구체적인 문제를 해결해야 한다. CISO는 종종 분석가나 컨설팅 회사의 좋은 아이디어를 자사에 적합하지 않은 방식으로 채택하기도 한다. 클라우드 보안은 결코 ‘모든 경우에 맞는’ 솔루션이 아니며, 배포의 마지막 단계에서 설치할 것이 아니라 모든 시스템에 체계적으로 적용돼야 한다. 보안이 느슨하게 연동돼 효과가 떨어지기 때문에 기업들은 종종 문제를 겪게 된다.

더 나은 클라우드 보안을 원하는 CISO에게 마법의 공식이 있다면 좋겠지만, 결국엔 게임에서 승리하기 위해 현명하고 목적 의식적으로 일을 처리해야 한다. 사람들은 지루한 계획과 조사를 해야 한다는 말을 듣기 싫어한다. 하지만 대체할 방법은 없다. 

* David S. Linthicum은 국제적으로 인정받는 컴퓨팅 산업 전문가다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
Sponsored
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.