클라우드 보안 적용 사례

클라우드 보안은 기존 보안과 어떻게 다를까요? 온프레미스 보안의 중심이 차단과 탐지라면, 클라우드 보안의 중심은 오픈과 공유입니다. 클라우드의 기본 철학이 ‘언제 어디서나 원하는 만큼 사용하고 사용한 만큼 지불한다’이니, 보안도 오픈과 공유의 행위를 방해하지 않으면서 안전성을 확보해야 하는 것이죠. 클라우드 보안이라는 것이 모호하고 막막하게 느껴지기도 합니다.

두 가지 보안이 어떻게 다른지는 아래 블로그 글을 참고해 주세요.

 옛날 보안, 요즘 보안 모르면 내 월급이 날아간다?

오늘은 클라우드 보안을 적용하고 있는 기업 사례들을 소개 드리려고 합니다. 다른 기업의 사례가 막막했던 클라우드 보안의 길잡이가 되어 줄 수 있을까요? 3가지의 서로 다른 사례로 알아보려 하는데요. OpsNow Security의 사용 기업 중 규모와 클라우드 성숙도가 다르고, 보안 서비스 방법도 다른 사례들로 추려 보았습니다. 한번 들어보시죠.

여러 관계사를 두고 있는 엔터프라이즈 A사

A사는 여러 관계사와 지사 및 오피스를 두고 있는 기업으로 클라우드를 도입한지는 제법 되었습니다. 각각의 오피스에서 안전하게 클라우드를 사용하도록 클라우드 보안 지침을 마련해 준수할 수 있도록 안내하고 점검하는 방식을 사용하고 있었는데요. 소수의 담당자가 각 사의 계정별로 보안 지침을 잘 준수하고 있는지 정기적으로 일일이 체크하는 것이었죠.

그런데 수백 개의 계정을 소수의 인원이 검수하다 보니, 일주일에 3건의 점검도 완료하기가 힘들었습니다. 보통 계정 하나당 2-3 주는 소요되니 동시에 여러 개 계정을 둘러봐도 일주일에 몇 개 못 보게 되는 거죠. 게다가, 점검 후에는 보고서도 작성해야 합니다. 담당자는 기존 지침의 검수 업무만으로도 벅차다 보니 발견된 취약점이나, 새로운 보안 공격에 대응하기 위한 생산적인 활동을 하기에는 어려움이 커지게 되는 것이죠.

자, 요약하면 A사는 많은 엔터프라이즈 기업들이 그렇듯 CISO(최고보안책임자)도 있고, 정보보안팀도 있고, 보안 정책과 지침도 있고, 검수할 수 있는 담당자도 있습니다. 탄탄하게 잘 갖춘 것 같지만 허점은 있습니다. 바로 속도와 휴먼에러입니다. 클라우드 보안 공격은 빠르게 발전하고 있는데, 지금 프로세스로는 그 속도를 따라가기가 어렵습니다. 그렇다고 해서 보안을 강화하고자 팀 규모를 갑자기 2-3배로 늘릴 수는 없는 노릇이니까요.

클라우드 보안 자동화 솔루션을 도입하고, 각 계정별 클라우드 보안 정책 점검과 보고서 작성을 일괄적으로 자동 진행할 수 있게 되었습니다. 수백 개의 계정을 단 30분 만에 동시에 점검하고 보고서까지 볼 수 있게 된 것이죠. 이처럼 검수 시간이 획기적으로 줄어들었습니다. 그만큼 보안 운영 관리 비용도 혁신적으로 줄어들었죠. 솔루션 비용을 추가하고서도 말입니다. 그리고 업무의 여력이 생기니, 보안 담당자들은 본연의 업무인 발견된 문제를 해결하는 것에 집중할 수 있게 되었습니다. 보안이 더욱 단단해진 것은 당연한 결과죠.

플러스로 생각지도 못했던 장점이 생기기도 했는데요. 기존에 지금 여력으로는 도저히 저기까지는 할 수 없겠다고 생각했던 관리 사각지대(흔히, Grey Zone이라고 부르죠)까지도 관리할 수 있게 되었습니다. 보안 정책 항목도 기존의 2.5배로 확대했죠. 그리고, 각각의 프로젝트로 세분화해서 보안 점수 관리를 할 수 있게 되었습니다.

클라우드 처음 구축할 때 보안 설계도 같이 시작한 B사 

B사는 30년 가까이 한 분야의 전문성을 쌓아온 굴지의 국내 기업으로 최근 바이오 분야로도 사업을 확장하고 있는데요. B사는 몇 년 전 온프레미스 환경에서 클라우드로 이전하며 설계 단계에서부터 보안 아키텍처를 고려했습니다.

예를 들면 이런 방식인데요. 계정이 몇 개 생성될 때마다 보안 솔루션과 연동해 ISMS(정보보호관리체계, Information Security Management System)이 잘 지켜지고 있는지 확인해 보는 것이죠. 돌다리 두들기듯 보안 안정성을 확인하면서 하나씩 구축해 나가는 방식입니다. 이렇게 구축하게 되면 아무래도 처음에 보안에 대한 고려 없이 구축된 클라우드 인프라와 달리 추후 운영하면서 보안 정책을 적용하고 준수하기에 용이합니다. 보안 정책을 추가하거나 변경하는데도 어려움이 덜하고요. 이와 달리 클라우드로 마이그레이션(이전)하고 뒤늦게 보안을 적용하려고 하면 다시 뜯어고쳐야 할 것이 너무 많이 발생하게 됩니다.

​​​​​​B사의 경우 보안 점수를 일정 수준으로 유지하는 것에 초점을 두고 안전하게 클라우드를 사용하고 있습니다. 점수를 지표로 삼으면 최신 보안 업데이트를 손쉽게 적용할 수 있고 또 잘 준수하고 있는지 모니터링하기가 용이한데요. OpsNow Security에는 정기적으로 새로운 보안 정책이 업데이트됩니다. 아무래도 새로운 보안 정책이 배포되면 기업들의 보안 점수는 내려가게 되는데요. 새로운 정책이니 아무도 준수한 기업이 없을 테니까요.

클라우드 네이티브 스타트업 C사 

C사는 처음부터 클라우드 위에서 애플리케이션을 개발한 클라우드 네이티브 기업입니다. 많은 스타트업이 그렇듯, 처음 사업을 시작할 때 보안까지 꼼꼼히 고려하기 어려웠습니다. 성장 속도와 규모, 시장 선점 등 생존에 필요한 업무가 너무 많았기 때문에 보안까지 챙길 여력이 안되었던 것이죠. 그리고, 사실 창업 초기에는 유저도 얼마 없기 때문에 보안 리스크가 그렇게 크지도 않습니다. ​​​​하지만, 어느 정도 성장 고도화 단계에 이르면 이야기는 달라지죠. 유저 수가 많아지고, 기업 고객들까지 생기게 되면 보안 위협이 기업의 존폐에 영향을 끼칠 수 있게 됩니다.

C사는 클라우드 보안 컨설팅을 먼저 시작했습니다. 컨설팅을 정기적으로 진행해, 발견된 보안 취약점을 우선적으로 해결하는 방식을 택한 것입니다. 아직은 규모가 보안 전담팀을 갖추기는 어려워 개발/운영팀에서 보안 담당자 역할을 하는 인력을 지정하고 보안 문제가 발생하면 전사 핵심인력이 함께 고민하는 구조인데요. 이런 구조에서는 정기적인 전문 컨설팅을 받아 보안 취약점을 해결하는 것이 하나의 방법일 수 있습니다.

보안 컨설팅은 건강검진이라기보다는 진료를 보는 병원과 같습니다. 병원에 가면 진료 후 치료 방법과 약을 처방해 주고, 이 병원에서 치료할 수 없는 상태면 상급병원으로 안내해 주잖아요. 보안 컨설팅도 마찬가지입니다. 좋은 보안 보고서에는 현황뿐만 아니라 발견된 문제점에 대한 구체적인 해결 방법이 함께 담겨있어야 합니다. 그래야 아픈 곳을 빠르게 치료하고 다시 건강해질 수 있을 테니까요.

클라우드나 SaaS와 관련하여 다른 궁금한 점이 있으시면 언제든지 저희에게 문의해 주세요.

 OpsNow에 문의하기

본 내용은 베스픽 뉴스레터를 통해서 제공되는 내용입니다.

클라우드에 대한 최신 트렌드 정보가 필요하시면 뉴스레터를 구독해 주세요.