클라우드 보안, 우리 모두의 책임입니다

클라우드 보안이란 클라우드 컴퓨팅 사용에 포함되는 데이터, 애플리케이션, 인프라를 보호하기 위한 노력을 의미하는 것으로, 관련 정책, 기술 및 제어 역량 등을 포함합니다.

클라우드 기반 애플리케이션 및 이와 관련하여 사용되는 데이터는 갈수록 다양한 환경에 걸쳐 분산되면서 조직의 민첩성을 높이고 비용을 절감하고 있습니다. 이러한 환경에는 프라이빗 및 퍼블릭 클라우드(하이브리드 또는 전용)와 서비스로서의 소프트웨어(SaaS)가 포함되며 이들 각각에는 고유한 편익과 보안 문제가 수반됩니다.

최근 데이터 노출에 대한 우려로 인해 클라우드 보안이 더욱 부각되고 있습니다. 다만 그러한 편익에 대한 필요성의 균형을 도모하는 동시에 애플리케이션과 여러 클라우드 간을 이동하는 데이터의 보안을 강화하는 것이 관건입니다. 가시성을 확보하고 외부 및 측면 공격을 통해 데이터를 빼내려 시도하는 공격을 예방하는 것은 애플리케이션과 데이터가 상주하는 모든 위치에 대해 필수적입니다.

기업 내에는 네트워크 팀, 보안팀, 앱 개발팀, 규정 준수팀, 인프라 팀과 같이 클라우드 보안을 책임질 수 있는 다양한 집단이 존재합니다. 하지만 클라우드 보안은 클라우드 공급업체와 기업의 공동 책임입니다.

프라이빗 클라우드 – 기업은 자체 데이터 센터 내에서 호스팅되는 클라우드의 모든 측면에서 보안을 책임져야 합니다. 여기에는 물리적 네트워크, 인프라, 하이퍼바이저, 가상 네트워크, 운영 체제, 방화벽, 서비스 구성, 신원, 접근 관리 등이 포함되며, 그 외에도 기업은 데이터와 그에 대한 보안을 책임져야 합니다.

퍼블릭 클라우드 – AWS^® 및 Microsoft^® Azure™와 같은 퍼블릭 클라우드의 공급업체는 인프라, 물리적 네트워크, 하이퍼바이저를 소유합니다. 기업이 워크로드 운영 체제, 앱, 가상 네트워크, 테넌트 환경/계정 및 데이터에 대한 액세스 권한을 소유하는 것입니다.

SaaS – SaaS 공급업체는 주로 자사의 플랫폼에 대한 보안을 책임지며 여기에는 물리적 보안, 인프라, 애플리케이션 보안이 포함됩니다. 이러한 공급업체는 고객 데이터를 소유하지 않으며 고객이 자사의 애플리케이션을 사용하는 방식에 관여하지도 않습니다. 그러므로 기업은 악성 데이터 누출, 우발적 노출 또는 멀웨어 진입 위험을 최소화하고 예방하는 보안 조치를 책임져야 합니다.

기업들이 프라이빗, 퍼블릭 클라우드 또는 SaaS 애플리케이션으로 점차 이전함에 따라 데이터, 앱, 인프라에 대한 보안은 기업보다 공급업체에 더 큰 책임이 됩니다. 그러나 플랫폼과 무관하게 기업은 항상 자체 데이터의 보안을 책임져야 합니다.

애플리케이션을 안전하게 보호하려면, IT 보안팀은 클라우드 공급업체가 적절한 보안 조치를 취하여 귀사의 애플리케이션과 데이터를 보호하고 있다는 확신을 가질 수 있어야 합니다. 클라우드 공급업체가 이러한 보호를 제공하지 못한다면, 기업은 이를 만회하기 위해 적절한 도구를 적재적소에 사용하여 데이터를 보호할 수 있도록 위험을 효과적으로 관리해야 합니다. 이러한 도구는 SaaS 애플리케이션 내 활동에 대한 가시성을 제공하고, 데이터 위험 및 규정 준수 위반을 방지하기 위해 사용 정보를 상세히 분석하며, 컨텍스트 인식 정책 제어를 통해 정책을 적용하고 위반이 발생할 시 해당 사용자 및 데이터를 격리하고, 알려진 위협에 대한 실시간 위협 정보를 제공하며 알려지지 않은 위협을 감지하여 새로운 멀웨어 진입 지점을 예방할 수 있어야 합니다.