클라우드 보안 트렌드
현재 많은 기업들이 클라우드를 도입하고 있습니다. 그리고 앞으로도 더 많은 서비스들을 클라우드로 이전하게 될 것입니다.

이런 클라우드 도입의 증가는 사이버 범죄자들이 기업들의 클라우드 환경을 표적으로 삼게 되는 동기를 부여하게 될 것입니다.

사실 클라우드 환경은 다양한 보안 조치를 통해 보호되고 있지만, 제대로 구성되지 않으면 여전히 보안에 취약합니다.

미국의 IT 및 통신, 컨슈머 테크놀로지 부문 시장조사 및 컨설팅 기관인 인터내셔널 데이터 코퍼레이션에서 200명의 CISO를 대상으로 설문 조사를 실시했으며, 2021년 중반 약 98%의 기업이 최소한 한 번 이상의 클라우드 보안 침해를 경험했다고 합니다.

따라서 클라우드 보안 침해를 막기 위해 보안을 강화하려면 적절한 보안 계획이 필요합니다.

그래서 오늘은 참고가 되실 수 있도록 2022년의 주요 보안 트렌드에 대해서 공유해 드리려고 합니다.

1. 사이버 보안 메시(Cybersecurity Mesh)

클라우드 도입으로 인해 기업의 네트워크 외부에 그들의 데이터와 자산이 있게 되므로 보안은 필수입니다. 사실 특정 기업들은 이로 인해 클라우드 도입을 꺼려하기도 합니다. 자신들의 데이터가 자신들에게 있지 않게 된다는 우려 때문이죠.
사이버 보안 메시는 네트워크와 인프라가 분산되어 있는 환경에서 네트워크의 사람과 자산 주변에 보안 경계를 생성하는 개념입니다.
즉, 이런 개념을 통해 기업은 복잡한 네트워크 환경에서 중앙 집중식 보안 접점을 통해 데이터에 대한 액세스 관리를 할 수 있습니다.
지금과 같이 재택이 활성화되고 하이브리드/멀티 클라우드로 환경이 변화하면서 꼭 필요한 보안 개념인 것이죠. 그리고 이를 통해 분산된 환경의 보안 강화 및 중앙 집중적 보안 관리가 가능해지게 되는 것입니다.

2. 제로 트러스트(Zero Trust)

제로 트러스트는 이전에도 저희가 내용을 공유해 드린 적이 있습니다.

제로 트러스트에는 이런 모토가 있습니다.

“아무것도 신뢰하지 말고, 반드시 검증하라.”

“never trust, always verify.”

즉, 사용자나 기기가 네트워크나 데이터에 접근을 요청할 때 처음부터 아무도 신뢰하지 않는 전략입니다. 접근을 허락하기 전에 먼저 누구인지, 어떤 접근권한을 가지고 있는지, 인가된 장비인지 유효성을 입증한 뒤 권한을 부여하는 것이죠.

제로 트러스트와 관련하여 자세한 내용은 기존에 공유해 드린 저희의 블로그 글을 참고해 주시기 바랍니다.

보안 방법론 및 전략 ‘제로 트러스트(Zero trust)

 

3. 하이브리드/멀티 클라우드 환경(Hybrid & Multi Cloud Environment)

하이브리드 클라우드란 기존 레거시 인프라, 프라이빗과 퍼블릭 클라우드를 같이 사용하는 것이고, 멀티 클라우드란 여러 개의 퍼블릭 클라우드를 같이 사용하는 것입니다.

클라우드 도입의 유형은 다양합니다. 그리고 대부분의 기업들은 기업의 모든 시스템을 퍼블릭 클라우드로 이전하기 보다 더 안전한 방법으로 특정 서비스만 퍼블릭 클라우드로 이전하여 사용하는 하이브리드 접근 방식을 사용하는 것을 선호합니다.

그리고 특정 클라우드 제공 업체에 락인되는 상황을 방지하거나, 부서별 원하는 요구에 따라 다른 클라우드 제공 업체를 사용하는 등의 멀티 클라우드 환경을 적용해야 하는 상황이 발생합니다.

이에 하이브리드/멀티 클라우드 환경에 대한 보안도 주요 고려 대상이 되고 있는 것입니다.

클라우드에 대한 자세한 내용은 아래 블로그 글을 참조해 주세요.

모두가 알고 있는 클라우드 컴퓨팅?

 

4. 클라우드 네이티브 도구 및 플랫폼(Cloud-Native Tools and Platform)

클라우드 네이티브 애플리케이션은 클라우드가 제공하는 확장성, 탄력성, 복원성, 유연성을 활용하도록 설계 및 구축됩니다. 즉, 이러한 애플리케이션은 클라우드에서 잘 작동되도록 특별히 설계된 것입니다.
그렇기에 기존 레거시 인프라를 위해 설계된 보안 도구 및 플랫폼으로는 클라우드 기반 리소스를 보호하기에 충분하지 않습니다.
이에 대한 올바른 도구와 플랫폼을 선택하지 않으면 애플리케이션이 위협에 노출될 수 있습니다. 그리고 이에 대해서 해외 기업들은 잘 알고 있기에 클라우드 기반 보안 도구에 점점 더 많은 투자를 하고 있습니다.

5. DevSecOps를 통한 보안 통합

DevSecOps는 소프트웨어 개발 수명주기(SDLC) 프로세스의 모든 단계에서 보안 프로토콜을 통합하는 방법론입니다. 따라서 서비스가 공개된 후가 아니라 개발 수명주기 자체에서 위협을 처리하는 것입니다.
DevOps 배포로 인해 모든 제품의 배포 주기가 단축되었습니다. 그리고 DevSecOps를 통해 완전히 자동화되어 속도 뿐만 아니라 보안적인 면에서도 안전하게 배포가 가능하게 되는 것입니다.
대규모 디지털 혁신과 보안을 제공하려면 기존의 DevOps와 보안이 통합되어야 하고, 이 방법론은 CI/CD 파이프라인에서 시행되어야 지속적인 프로세스가 될 것입니다.

6. SASE(Secure Access Service Edge) 프레임워크

SASE에 대해 쉽게 말하자면 기존의 WAN 기능과 클라우드 네이티브 보안 기능을 통합하는 네트워크 및 보안 아키텍처입니다.

미국의 정보 기술 연구 및 자문 회사인 가트너(Gartner)에서는 “네트워크 보안의 미래는 클라우드에 있다.”라고 했습니다.

가트너는 클라우드 기반 사이버 보안을 사용자, 시스템 및 엔드포인트 장치를 단일 클라우드 환경에 안전하게 연결하는 데 필수적인 것으로 정의했습니다.

그리고 SASE 프레임워크를 통해 클라우드 기반 사이버 보안 솔루션을 제공하고 디지털 기업의 동적이고 안전한 액세스 요구를 지원할 수 있다고 합니다.

최근 IT 환경의 변화에 있어서 보안은 아주 중요하다는 생각이 듭니다.

왜냐하면 이를 통해서 클라우드로나 SaaS로 변화하는 환경 속에서 기업의 자산도 고객의 자산도 지켜줄 수 있기 때문입니다. 그리고 서비스나 상품이 범람하는 세상에서 고객들에게 그런 신뢰를 줄 수 있어야만 고객들이 계속해서 사용해 줄 테니까요.

클라우드와 관련하여 다른 궁금한 점이 있으신 경우에도 언제든지 저희에게 문의해 주세요.

 OpsNow에 문의하기

 

그리고 저희 클라우드 보안 상품에 대해서도 확인해 보세요.

 클라우드 보안 컨설팅 자세히 보기

 클라우드 보안 형상 관리 플랫폼 자세히 보기