2021.04.29

보안-클라우드팀 간의 원활한 협업을 위한 팁 6가지

Will Kelly | CSO
원활한 커뮤니케이션, 각 팀의 목표에 관한 상호이해, 적절한 프로세스 및 인프라는 클라우드와 보안팀 간의 효율적인 업무 관계를 보장한다.  

클라우드 엔지니어팀과 보안팀 간의 협업은 클라우드 성숙도와 함께 자연스럽게 성장해야 한다. 하지만 보안팀을 그저 ‘안 돼요(No)’만 외치는 부서로 간주하는 클라우드팀이 많다. 이러한 인식 및 관계는 오래된 관계 구축 방식, 데이터 공유 방식, 협업 방식으로부터 비롯됐다. 

사전예방적 대응과 팀 간 커뮤니케이션을 통해 기존의 사일로를 무너뜨리면 데이터 침해 사건이 발생하더라도 서로를 더욱더 잘 지원할 수 있다. 여기서는 클라우드 엔지니어팀과 사이버 보안팀 간의 협업을 개선하는 팁 6가지를 소개한다. 
 
ⓒGetty Images

1. 미리 질문하라. 일찍 그리고 공개적으로 이야기하라. 
마이크로소프트의 보안 아키텍트 웨인 앤더슨은 시스템 사용자의 신뢰와 프라이버시를 보호하는 보안이 모든 직원의 책임이라고 강조했다. 그는 두 팀이 보안을 더 쉽게 그리고 덜 성가시게 만들 방법에 관해 질문하고 이야기해야 한다고 말했다. 

또 예산, ID 및 액세스 관리, 도메인 할당과 같은 중요 리소스의 승인 및 온보딩이 빠르게 이뤄질 수 있도록 이를 둘러싼 마찰을 제거할 방법을 논의해야 한다고 덧붙였다. 이를 위해 팀 간 스탠드업 미팅을 할 수 있는 장소나 서로 질문할 수 있는 공유 온라인 채널 등을 갖추는 게 좋다. 

2. 두 팀의 ‘성공’을 정의하라 
이어서 앤더슨은 두 팀에 있어 ‘성공’이 무엇을 의미하는지 사전에 정의해야 한다고 권고했다. 이를 통해 조직의 보안 기준을 분명히 해야 하며, 예산을 책정하거나 프로젝트 진행을 승인하는 조직의 이해관계자를 납득시켜야 한다. 

그는 “사전에 공감대를 형성하라. 프로젝트 콘셉트 그리고 보안팀과 연관된 사항을 검토하고, 당면할 수 있는 우려 사항을 확인해야 한다”라고 설명했다. 이를 사전에 파악하는 것은 추후 상황에 대비해 기준점을 제공한다고 그는 덧붙였다.

갈등 해결은 결국 비즈니스 결정이다. 따라서 앤더슨이 양측에 조언하는 가장 중요한 사항은 다음과 같다. 첫째, 보안과 관련된 결정을 개인적인 문제로 삼아서는 안 된다. 둘째, 처음부터 팀이나 프로젝트가 어떻게 성공했는지가 아니라 비즈니스에 필요한 게 무엇인지 그리고 어떻게 협업할 수 있는지에 초점을 맞춰야 한다. 

3. 클라우드 계정 권한을 엄격하게 관리하라
어센트 솔루션(Ascent Solutions)의 CISSP이자 사이버보안 전략 담당 케인 맥글래드레이는 엄격한계정 권한 관리가 필요하다고 강조했다. 이렇게 되면 클라우드팀 사용자 계정 및 권한을 상세하게 볼 수 있는데, 두 팀 모두 사전에 액세스 제어의 필요성을 이해하고 받아들이는 게 중요하다고 그는 전했다. 

예를 들어 클라우드 엔지니어가 작업에 필요한 것보다 더 많은 관리자 권한을 가졌다고 가정해보자. 이때 공격자가 해당 엔지니어의 자격증명을 탈취한다면 데이터부터 가상머신까지 모든 것을 훔칠 수 있다. 맥글래드레이는 클라우드 엔지니어가 작업에 필요한 권한만 요청하고 그 이상은 요청하지 않아야 한다고 말했다. 

보안팀은 작업에 필요한 권한만 클라우드팀에 부여해야 한다. 또 보안팀에는 조직의 티켓팅 시스템에 내장된 권한 상승 요청을 지원하는 워크플로우가 정의돼 있어야 한다. 여기서 중요한 점은 이 프로세스를 클라우드팀과 협력해 만들어야 한다. 

4. 정보 공유 도구를 배포하라 
제로 트러스트 사이버 보안 솔루션 업체 칼라토큰(ColorTokens)의 수석 솔루션 아키텍트 겸 기술 에반젤리스트 벤키 라주는 팀 간의 정보 공유를 지원하는 클라우드 네이티브 및 서드파티 도구를 사용하는 게 중요하다고 언급했다. 또한 그는 비즈니스 및 애플리케이션 측면을 지원하는 보안과 클라우드 관리 보기를 구성하는 데 있어 사전에 시간을 할애하라고 조언했다. 

라주에 따르면 정보 공유 도구는 클라우드 관리 플랫폼(Cloud Management Platform; CMP), 보안 정보 및 이벤트 관리 플랫폼(Security Information and Event Management; SIEM) 또는 기타 보안 및 백엔드 관리 도구의 형태를 취할 수 있다. 이들은 구축부터 운영까지 소프트웨어 개발 수명주기 동안 검토해야 할 데이터 및 애널리틱스를 제공한다. 

맥글래드레이는 마이크로소프트 팀즈, 슬랙 등의 그룹 채팅 플랫폼을 사용해 팀 간에 오픈 커뮤니케이션 채널을 확보해야 한다고 말했다. 팀 또는 프로젝트용 공유 채널을 생성해 이를 수행할 수 있다. 이 밖에 팀 간의 관계를 구축하고 공유할 사람을 임명하라고 그는 권고했다. 

5. 기술만 아니라 데이터에 집중하라 
“두 팀 모두 기술이 아니라 데이터에 집중해야 한다. 기술 전문가로서 이런 말을 하는 게 이상하게 들릴 수 있지만 언론을 보면 기술 침해는 거의 언급되지 않는다”라고 맥글래드레이는 말했다. 

그에 따르면 기업들은 기술 문제 때문에 벌금을 물진 않는다. 법에 따라 규제되는 개인식별가능정보(PII) 또는 개인건강정보(PHI)를 유출한 데이터 침해 때문에 벌금을 문다. 맥글레드레이는 클라우드팀이 데이터 저장 위치를 투명하게 공개하고 문서화하라고 조언했다. 보안팀이 데이터 저장 위치를 모른다면 원격 분석값을 수집하거나 복잡한 보안 제어를 배포할 수 없다. 

6. 보안 및 클라우드 문서를 하드카피로 보관하라 
라주는 랜섬웨어 공격 등으로 백엔드 시스템에 저장된 온라인 문서에 접근하지 못하는 경우에 대비해 주요 보안 및 클라우드 관련 결정을 문서화하고 이를 하드카피 버전으로 보관하라고 권고했다. 

테크니컬 라이터(Technical Writer; 전문 기술 정보를 전달하는 역할)가 상주하지 않더라도 아틀라시안 컨플루언스(Atlassian Confluence)나 다른 플랫폼을 사용하면 콘텐츠를 마이크로소프트 워드에 적합한 포맷으로 내보낼 수 있으며, 이를 하드카피로 인쇄해 보관하면 응급 상황 시에도 문제없이 액세스할 수 있다고 그는 설명했다.
 
ciokr@idg.co.kr
 



2021.04.29

보안-클라우드팀 간의 원활한 협업을 위한 팁 6가지

Will Kelly | CSO
원활한 커뮤니케이션, 각 팀의 목표에 관한 상호이해, 적절한 프로세스 및 인프라는 클라우드와 보안팀 간의 효율적인 업무 관계를 보장한다.  

클라우드 엔지니어팀과 보안팀 간의 협업은 클라우드 성숙도와 함께 자연스럽게 성장해야 한다. 하지만 보안팀을 그저 ‘안 돼요(No)’만 외치는 부서로 간주하는 클라우드팀이 많다. 이러한 인식 및 관계는 오래된 관계 구축 방식, 데이터 공유 방식, 협업 방식으로부터 비롯됐다. 

사전예방적 대응과 팀 간 커뮤니케이션을 통해 기존의 사일로를 무너뜨리면 데이터 침해 사건이 발생하더라도 서로를 더욱더 잘 지원할 수 있다. 여기서는 클라우드 엔지니어팀과 사이버 보안팀 간의 협업을 개선하는 팁 6가지를 소개한다. 
 
ⓒGetty Images

1. 미리 질문하라. 일찍 그리고 공개적으로 이야기하라. 
마이크로소프트의 보안 아키텍트 웨인 앤더슨은 시스템 사용자의 신뢰와 프라이버시를 보호하는 보안이 모든 직원의 책임이라고 강조했다. 그는 두 팀이 보안을 더 쉽게 그리고 덜 성가시게 만들 방법에 관해 질문하고 이야기해야 한다고 말했다. 

또 예산, ID 및 액세스 관리, 도메인 할당과 같은 중요 리소스의 승인 및 온보딩이 빠르게 이뤄질 수 있도록 이를 둘러싼 마찰을 제거할 방법을 논의해야 한다고 덧붙였다. 이를 위해 팀 간 스탠드업 미팅을 할 수 있는 장소나 서로 질문할 수 있는 공유 온라인 채널 등을 갖추는 게 좋다. 

2. 두 팀의 ‘성공’을 정의하라 
이어서 앤더슨은 두 팀에 있어 ‘성공’이 무엇을 의미하는지 사전에 정의해야 한다고 권고했다. 이를 통해 조직의 보안 기준을 분명히 해야 하며, 예산을 책정하거나 프로젝트 진행을 승인하는 조직의 이해관계자를 납득시켜야 한다. 

그는 “사전에 공감대를 형성하라. 프로젝트 콘셉트 그리고 보안팀과 연관된 사항을 검토하고, 당면할 수 있는 우려 사항을 확인해야 한다”라고 설명했다. 이를 사전에 파악하는 것은 추후 상황에 대비해 기준점을 제공한다고 그는 덧붙였다.

갈등 해결은 결국 비즈니스 결정이다. 따라서 앤더슨이 양측에 조언하는 가장 중요한 사항은 다음과 같다. 첫째, 보안과 관련된 결정을 개인적인 문제로 삼아서는 안 된다. 둘째, 처음부터 팀이나 프로젝트가 어떻게 성공했는지가 아니라 비즈니스에 필요한 게 무엇인지 그리고 어떻게 협업할 수 있는지에 초점을 맞춰야 한다. 

3. 클라우드 계정 권한을 엄격하게 관리하라
어센트 솔루션(Ascent Solutions)의 CISSP이자 사이버보안 전략 담당 케인 맥글래드레이는 엄격한계정 권한 관리가 필요하다고 강조했다. 이렇게 되면 클라우드팀 사용자 계정 및 권한을 상세하게 볼 수 있는데, 두 팀 모두 사전에 액세스 제어의 필요성을 이해하고 받아들이는 게 중요하다고 그는 전했다. 

예를 들어 클라우드 엔지니어가 작업에 필요한 것보다 더 많은 관리자 권한을 가졌다고 가정해보자. 이때 공격자가 해당 엔지니어의 자격증명을 탈취한다면 데이터부터 가상머신까지 모든 것을 훔칠 수 있다. 맥글래드레이는 클라우드 엔지니어가 작업에 필요한 권한만 요청하고 그 이상은 요청하지 않아야 한다고 말했다. 

보안팀은 작업에 필요한 권한만 클라우드팀에 부여해야 한다. 또 보안팀에는 조직의 티켓팅 시스템에 내장된 권한 상승 요청을 지원하는 워크플로우가 정의돼 있어야 한다. 여기서 중요한 점은 이 프로세스를 클라우드팀과 협력해 만들어야 한다. 

4. 정보 공유 도구를 배포하라 
제로 트러스트 사이버 보안 솔루션 업체 칼라토큰(ColorTokens)의 수석 솔루션 아키텍트 겸 기술 에반젤리스트 벤키 라주는 팀 간의 정보 공유를 지원하는 클라우드 네이티브 및 서드파티 도구를 사용하는 게 중요하다고 언급했다. 또한 그는 비즈니스 및 애플리케이션 측면을 지원하는 보안과 클라우드 관리 보기를 구성하는 데 있어 사전에 시간을 할애하라고 조언했다. 

라주에 따르면 정보 공유 도구는 클라우드 관리 플랫폼(Cloud Management Platform; CMP), 보안 정보 및 이벤트 관리 플랫폼(Security Information and Event Management; SIEM) 또는 기타 보안 및 백엔드 관리 도구의 형태를 취할 수 있다. 이들은 구축부터 운영까지 소프트웨어 개발 수명주기 동안 검토해야 할 데이터 및 애널리틱스를 제공한다. 

맥글래드레이는 마이크로소프트 팀즈, 슬랙 등의 그룹 채팅 플랫폼을 사용해 팀 간에 오픈 커뮤니케이션 채널을 확보해야 한다고 말했다. 팀 또는 프로젝트용 공유 채널을 생성해 이를 수행할 수 있다. 이 밖에 팀 간의 관계를 구축하고 공유할 사람을 임명하라고 그는 권고했다. 

5. 기술만 아니라 데이터에 집중하라 
“두 팀 모두 기술이 아니라 데이터에 집중해야 한다. 기술 전문가로서 이런 말을 하는 게 이상하게 들릴 수 있지만 언론을 보면 기술 침해는 거의 언급되지 않는다”라고 맥글래드레이는 말했다. 

그에 따르면 기업들은 기술 문제 때문에 벌금을 물진 않는다. 법에 따라 규제되는 개인식별가능정보(PII) 또는 개인건강정보(PHI)를 유출한 데이터 침해 때문에 벌금을 문다. 맥글레드레이는 클라우드팀이 데이터 저장 위치를 투명하게 공개하고 문서화하라고 조언했다. 보안팀이 데이터 저장 위치를 모른다면 원격 분석값을 수집하거나 복잡한 보안 제어를 배포할 수 없다. 

6. 보안 및 클라우드 문서를 하드카피로 보관하라 
라주는 랜섬웨어 공격 등으로 백엔드 시스템에 저장된 온라인 문서에 접근하지 못하는 경우에 대비해 주요 보안 및 클라우드 관련 결정을 문서화하고 이를 하드카피 버전으로 보관하라고 권고했다. 

테크니컬 라이터(Technical Writer; 전문 기술 정보를 전달하는 역할)가 상주하지 않더라도 아틀라시안 컨플루언스(Atlassian Confluence)나 다른 플랫폼을 사용하면 콘텐츠를 마이크로소프트 워드에 적합한 포맷으로 내보낼 수 있으며, 이를 하드카피로 인쇄해 보관하면 응급 상황 시에도 문제없이 액세스할 수 있다고 그는 설명했다.
 
ciokr@idg.co.kr
 

X