Kant's IT/Issue on IT&Security

클라우드 퍼스트, 보안 내재화의 필요성과 도전 과제

Kant Jo 2024. 9. 25. 11:07

[클라우드 내비게이터] 클라우드 퍼스트, 보안 내재화에서 시작 - 데이터넷

 

[클라우드 내비게이터] 클라우드 퍼스트, 보안 내재화에서 시작 - 데이터넷

[데이터넷] 기업·기관 대부분이 ‘클라우드 퍼스트(Cloud-First)’ 전략을 취하고 있으며, ‘보안 내재화(Security by Design)’ 원칙이 필수다. 그러나 이 원칙을 지키기가 쉽지 않다. 가트너 조사에 따

www.datanet.co.kr

 

1. 클라우드 보안의 중요성

  • 클라우드 퍼스트(Cloud-First) 전략이 확산되면서 보안 내재화(Security by Design) 원칙이 필수적임
  • 가트너에 따르면, 2027년까지 전체 침해사고의 2/3가 클라우드 관련 사고가 될 것으로 예측됨
  • 클라우드 서비스 사업자(CSP) 와 사용자의 책임 공유 모델로 인해 보안 관리의 복잡성이 증가하고, 보안 가시성 확보가 어려워짐

2. 멀티 클라우드 환경의 복잡성

  • 많은 기업이 멀티 클라우드를 채택하고 있으며, 거버넌스보안 정책이 복잡해짐
  • 다양한 컴플라이언스 요구 사항이 존재하며, 여러 국가와 지역에 걸쳐 데이터 보호 규정을 준수해야 하는 어려움이 있음
  • 가트너멀티 클라우드 사용일관된 거버넌스 전략이 없으면 보안 사고 발생률이 25% 증가하고, 비용45% 더 많이 지출될 것으로 경고함

3. 주요 클라우드 보안 위협

  • 클라우드 보안 연합(CSA) 는 클라우드 보안에서 가장 큰 위협으로 잘못된 설정과 부적절한 변경 제어를 꼽음
    • 비밀 관리 실패, 과도한 접근권한 부여, 모니터링 비활성화 등이 대표적인 잘못된 설정 사례임
  • API 및 인터페이스 보안도 중요한 위협으로 떠오르고 있으며, 잘못 설계된 API로 인해 공격 표면이 넓어짐
  • 서드파티 리소스의 부적절한 관리 및 안전하지 않은 소프트웨어 개발 관행도 공급망 공격을 초래할 수 있음

4. 클라우드 보안 투자 및 필요 조치

  • 클라우드 보안에 대한 투자는 증가 중이며, 레드햇 조사에 따르면 49%의 IT 리더가 향후 12개월간 보안을 최우선 투자 분야로 꼽음
  • IDC 조사에 따르면, 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP) 수요가 클라우드 보안 시장의 성장을 주도하고 있음
  • 그러나 클라우드 확장에 따라 보안 복잡성도 증가하며, 클라우드 거버넌스, 리스크 관리, 보안 모니터링, 인프라 보안 등 다양한 영역에서 체계적인 관리가 필요함

5. 클라우드 보안 전략 수립

  • 기업은 클라우드 보안 전략을 수립할 때 자산 보호 우선순위를 설정하고, 보안 사고 대응책을 마련해야 함
  • 제로 트러스트 모델AI 활용, 취약성 관리 등을 통해 보안 태세를 강화해야 함
  • 클라우드 기술의 발전에 따라 보안 요구 사항이 지속적으로 변화하므로, 적응형 보안을 통해 위협 환경에 대응해야 함

6. 보안 내재화 전략

  • 클라우드 보안 전략은 단계적으로 수립되며, 기존 온프레미스 시스템과의 통합, 서드파티공급망 관리까지 포함해야 함
  • 보안 내재화를 위해서는 클라우드와 온프레미스 통합, 기업 비즈니스 특성에 맞는 보안 정책 수립이 필수적임
  • 침해 사고 발생 시 신속히 대응할 수 있는 회복탄력성을 확보하는 것이 중요함