클라우드 보안과 제로 트러스트!

오늘은 보안 이야기를 해보려고 합니다. 팬데믹 이후로 사이버 공격은 2배 이상 증가했고 이로 인한 손실 위험도 급격히 커졌습니다. IMF에 따르면 2017년과 4년 뒤인 2021년의 보안 위협으로 인해 예상되는 손실 규모를 비교하면 4배 이상 커져 25억 달러(약 3.4조 원)에 달했는데요. 보안 공격으로 인한 평판 하락이나 향후 보안 강화 비용 등은 제외되어 있으니 간접적 손실까지 합치면 그 규모는 더욱 커집니다.

가트너 보안 공격

지난해 중국 최대 은행과 캐나다의 공공 도서관, 미국 주 정부, 일본의 주요 방산기업 등 기업과 공공시설을 가리지 않고 곳곳에서 랜섬웨어 공격을 당했고요. 미국의 거대 헬스케어 기업은 현지 시각으로 어제 ‘미국 내 사람 중 상당수를 커버할 수 있는’ 개인 데이터와 건강 정보가 포함된 파일이 랜섬웨어 공격을 통해 도난되었다고 밝혔습니다. 또 미국 기업의 61%가 지난 12개월 동안 공급망 공격을 받은 적 있다고 응답하는 등 타사 소프트웨어 플랫폼의 취약점을 통해 네트워크에 침투하는 소프트웨어 공급망 공격 역시 증가했습니다.

하지만 공공 서비스나 기업만이 사이버 보안 공격을 받는 것은 아닙니다. 최근 e-스포츠 LoL(League of Legend) 경기 중 디도스 공격으로 게임 진행이 중단되어 큰 관심을 모은 사실, 알고 계셨나요? 2시간 안팎이면 끝날 경기가 6시간을 훌쩍 넘겨 겨우 마무리되는 초유의 사태가 발생했습니다. 특히 유명 게이머 ‘페이커’가 속한 팀 T1이 집중 표적이 되었는데요. 페이커의 인터뷰에 따르면 개인 연습 중에도 디도스 공격을 경험했으며 이 때문에 경기력에도 영향을 미쳤다고 하죠.

이처럼 요즘 공공기관이나 기업을 넘어 유명 인사는 물론, 일반 게임 스트리머에게도 사이버 공격이 일어나고 있는데요. 사이버 위협이 금전 등의 사익을 얻으려는 목적이 아니더라도 단순한 악의만으로도 진행될 만큼, 그 허들이 낮아졌기 때문입니다. FraudGPT, WolfGPT 등 생성형 AI를 기반으로 ▲악성 코드 및 랜섬웨어 생성 ▲사기 메일 자동 작성 ▲가짜 뉴스 자동 생성 ▲무제한 문자 발송 ▲취약점 탐지 공격 등의 서비스를 제공하는 구독형 보안 위협 상품도 버젓이 등장했거든요.

클라우드 보안

사이버 위협이 이렇게 다각도로 뻗어나감에 따라 제로 트러스트 보안에 대한 관심 역시 높아지고 있습니다. 일단 제로 트러스트는 지속적이고 명시적인 검증과 최소 권한 액세스에 중점을 두기 때문에 AI 기능의 유무와 관계없이 지능형 위협에 대해 더욱 효과적인 방어를 제공합니다. 또 데이터 중심의 접근 방식으로 민감한 데이터에 대한 액세스를 엄격히 통제하기 때문에 승인되지 않은 위험을 보다 효율적으로 대비할 수 있게 됩니다. 마지막으로 제로 트러스트는 액세스 제어를 실시간으로 조정할 수 있기 때문에 피해를 최소화하고 잠재적인 위협을 억제할 수 있습니다.

 

 ​​​​​​여기서 잠깐! 

제로 트러스트 보안이 무엇인지 잠시 잊으셨다면 다음 글을 참고해 보시기 바랍니다.

 보안 방법론 및 전략 ‘제로 트러스트(Zero trust)

하지만 제로 트러스트를 구현하려면 그 단계가 만만치 않습니다. 가트너에 따르면 대기업 중에서도 단 10%만이 2026년까지 충분히 성숙하고 측정 가능한 제로 트러스트 프로그램을 시행할 것으로 보인다고 하는데요. 바꾸어 말하면 제로 트러스트를 제대로 구현하고 있는 기업은 대기업 중에서도 10% 미만이라고 볼 수 있겠죠.

최근 들어 제로 트러스트 관련 기술을 보유한 기업들이 서로 합종연횡하는 흐름이 특히 도드라지고 있는데요. 가장 대표적인 곳으로 구글과 마이크로소프트를 꼽습니다. 구글이 구현한 제로 트러스트 모델 ‘BeyondCorp’는 IT 환경 전반의 다양한 보안 도구와 원활하게 통합되어 제로 트러스트 오퍼링을 향상할 수 있도록 지원합니다. 마이크로소프트 역시도 하시코프, 클라우드플레어 등 다양한 보안 솔루션 기업과 파트너십을 확장하고 있습니다. 이렇게 대규모 글로벌 기업들도 제로 트러스트 기술 기업과 연대하거나 연대할 수 있도록 판을 짜고 있는데요. 그 이유는 무엇일까요? 바로 제로 트러스트를 한번에 완벽히 구축할 수 있는 단일한 제품이나 기술이란 존재하지 않기 때문입니다.

첫째로 제로 트러스트 보안은 네트워크, 애플리케이션, 데이터, 인프라 등 기업 환경의 다양한 영역에 걸쳐 적용되어야 합니다. 접근 제어, 사용자 인증, 네트워크 분할, 데이터 암호화, 위협 탐지 등 여러 보안 요소를 포괄해야 하고 각 요소마다 전문화된 기술을 보유해야 하죠. 게다가 조직마다 사용하는 기술과 플랫폼, 서비스가 다른 만큼 IT 인프라 역시 매우 다릅니다. 모든 환경에 완벽하게 딱 맞으면서 제로 트러스트를 완벽히 구현해 주는 단 하나의 솔루션을 찾기는 거의 불가능에 가깝겠죠. 더욱이 앞서 살펴본 것처럼 사이버 위협은 계속해서 진화하고 새로운 형태로 나타나고 있습니다. 단일한 제품이나 기술이 모든 새로운 위협에 신속하게 대응하기는 어렵습니다.

따라서 제로 트러스트 보안을 효과적으로 구현하기 위해서는 다양한 보안 솔루션 제공 업체들과의 협력이 필수적입니다. 이는 보안의 여러 측면을 아우르는 통합적 접근 방식을 가능하게 하며, 보다 강력하고 포괄적인 보안 환경을 조성해야 하기 때문입니다.

클라우드 네이티브 보안 및 DevSecOps 전문 기업이자 옵스나우의 파트너사인 베스핀글로벌은 5,000여 고객의 클라우드 운영을 지원하면서 쌓은 클라우드 전문 역량과 경험을 바탕으로 최적의 보안을 제공합니다. 특히 국내 최초로 각 영역별 글로벌 대표 솔루션들과 제로 트러스트 얼라이언스를 구축한 통합 상품을 제공하여, 클라우드 사용 전 과정의 안전한 보안과 최상의 제로 트러스트 보안 구축을 제시하고 있습니다.

  • 사용자 인증(IDP, Identity Provider) – 옥타(okta)
  • 네트워크 보안(SASE, Secure Access Service Edge) – 클라우드플레어(CloudFlare)
  • 엔드포인트 보안 (EDR, Endpoint Detection Response) – 크라우드스트라이크(CROWDSTRIKE)
  • 클라우드 보안 현황 관리(CSPM, Cloud Security Posture Management) – 옵스나우 시큐리티(OpsNow Security)
특히 클라우드 보안 형상 관리(CSPM) 솔루션인 옵스나우 시큐리티(OpsNow Security)를 통해 클라우드 인프라 보안 형상 취약점을 점수로 가시화하며 보안 엔지니어의 개선 가이드를 제공하고 있는데요. 지난 9월 SK C&C와 업무 협약을 맺고 옵스나우 시큐리티가 SK 그룹의 클라우드 보안 인프라를 위한 솔루션으로 결정되는 등 그 성능을 널리 인정받기도 했습니다.

우리 보안 점수는 몇 점일까? 옵스나우 시큐리티 자세히 보기

클라우드 보안

 

국내외 대표 보안 솔루션을 통해 제로 트러스트 보안 체계를 구축하고 싶다면 언제든지 저희에게 문의해 주세요.

저희에게는 기술과 도구, 그리고 경험이 있으니까요.

클라우드나 SaaS와 관련하여 다른 궁금한 점이 있으시면 언제든지 저희에게 문의해 주세요.

 

 OpsNow에 문의하기

 

본 내용은 베스픽 뉴스레터를 통해서 제공되는 내용입니다.

클라우드에 대한 최신 트렌드 정보가 필요하시면 뉴스레터를 구독해 주세요.

 

답글 남기기

이메일 주소는 공개되지 않습니다.