오늘은 클라우드 보안 거버넌스에 대한 이야기를 전해 드리려고 합니다.

클라우드 인프라는 IT 부서 뿐 아니라 조직 전체의 이슈입니다. 그리고 이것은 클라우드 보안에서도 똑같이 적용됩니다.

예전에는 CISO(정보보호 최고 책임자)가 보안에 대한 모든 권한과 책임을 가졌다면, 요즘은 조직 구성원 모두가 보안을 제대로 준수하고 책임의식을 지녀야 하는 것이죠.

 옛날 보안, 요즘 보안 모르면 내 월급이 날아간다?

이때 부서마다 서로 다른 보안 기준을 가지고 있으면 안되겠죠. 그래서 조직 전체에 걸쳐 일관된 정책과 프로세스를 통해 보안을 준수하고 관리/운영할 수 있도록 하는 것이 바로 클라우드 보안 거버넌스입니다.

클라우드 보안은 바로 거버넌스에서 시작됩니다.

오늘 베스픽에서는 클라우드 환경에서 보안 거버넌스를 잘 만들고 운영하기 위한 핵심 3가지를 짚어보겠습니다.

 

보안 거버넌스, 가장 중요한 것은 비즈니스

클라우드 보안 거버넌스

이미지 출처: Microsoft, Security governance

 

IT 뉴스를 보다보면 기업들이 관리하던 고객 개인정보나 기술 정보들이 유출된 사례들을 자주 접하실 텐데요. IBM 보고서에 따르면 작년 우리나라 기업들의 평균 데이터 유출 비용은 약 41억 달러(약 5조 3789억원)에 달한다고 합니다.

이 외에도 보안 사고나 해킹을 통해 서비스가 중단되거나 성능에 문제가 생겨 큰 손해가 발생하기도 하죠. 이처럼 보안 이슈는 결국 기업의 비즈니스 목표와 연결됩니다.

그렇기 때문에 클라우드 보안 거버넌스는 기술적인 관점에서만 바라볼 것이 아니라 먼저 비즈니스적 관점으로 접근해야 합니다. 보안 거버넌스를 수립하는 과정에는 IT 부서 뿐 아니라 비즈니스 목표를 수립하고 주도하는 부서들도 적극적으로 참여해야 하는 것이죠.

비즈니스 목표를 논의했다면 실질적으로 보안 거버넌스를 구축하는 데 참고할 수 있는 여러가지 프레임워크들도 살펴보는 것이 좋습니다. 정보 보호를 위한 인증 제도부터 산업별/보안 운영/CSP 모범 사례 기반 프레임워크 등 종류가 다양한데요, 우리 비즈니스에 맞는 프레임워크를 선택하는 것이 필요하겠죠.
  • 법/규제: ISO27001, GDPR, ISMS 등
  • 산업별: HIPAA, PCI-DSS 등
  • 보안 운영: NIST CSF(Cybersecurity Framework) 등
  • CSP 모범사례 기반: AWS CAF(Cloud Adoption Framework) 등

한 발짝 더, 커스터마이징과 업데이트

하지만 알맞은 프레임워크를 참고하는 것만으로는 충분하지 않습니다. 사실 아무리 산업별로 특화된 프레임워크나 컴플라이언스(준법경영) 시스템이 있다 해도, 기본적으로는 모든 기업들을 대상으로 하는 포괄적인 가이드라인이기 때문인데요.

같은 업계라고 하더라도 그 안을 들여다보면 기업마다, 비즈니스 모델마다 각자의 특성과 고유한 부분들이 있기 마련입니다. 조직의 규모나 업무 문화에 따라 운영 환경이 달라지기도 하고요.

그렇기 때문에 결국은 우리 기업과 비즈니스에 맞는 보안 거버넌스를 커스터마이징하는 과정이 있어야 합니다. 어떠한 정책을 참고하되 우리 조직에 필요하지 않은 부분이라면 예외 처리를 한다던가, 보다 세분화된 기준을 세우는 등 말이죠.

이렇게 우리 비즈니스에 딱 맞는 보안 거버넌스를 잘 설계 했다면, 변화하는 시장 상황과 산업 규제에 맞춰 보안 거버넌스도 지속적으로 업데이트해야 합니다.

특히 요즘과 같이 사이버 공격에 대한 위험이 높을수록, 클라우드 플랫폼 등에서 제공하는 최신 보안 정책을 모니터링하고 우리 기업의 보안 거버넌스에 빠르게 적용하는 것이 무엇보다 중요합니다.

외부적 요인 뿐만 아니라 내부적인 사업 목표와 현황도 고려해야합니다. 비즈니스 목표나 운영 정책이 변경되기도 하고, 아예 사업 모델 자체를 피봇팅 하는 경우도 있으니까요. 이에 따라 당연히 보안 거버넌스도 달라져야 합니다.

자동화로 완성하는 보안 거버넌스

“일관된 거버넌스를 구현하는 가장 좋은 방법은
최대한 많은 프로세스를 코드화하는 것이다” (출처)

서두에서 모든 조직 구성원들이 일관된 보안 정책과 프로세스를 적용해야 한다고 말씀드렸는데요. 그것을 실제로 가능하게 하는 것은 바로 코드화와 자동화입니다.

자동화와 코드화, 비슷한 듯 다른 개념인데요. 먼저 코드화는 어떤 작업을 코드로 구현해 동일한 작업을 매번 동일하게 수행할 수 있도록 하는 것입니다. 그리고 이러한 코드화된 관련 작업들이 모여 하나의 프로세스를 만드는 것을 자동화라고 할 수 있겠습니다.

예를 들어, 코드화를 통해 위협 탐지 로직이나 데이터 복구 로직을 만들고 이러한 로직들을 기반으로 자동화된 보안 거버넌스를 구축하는 것입니다.

이렇게 자동화된 프로세스를 만들어야 인력과 비용의 낭비 없이, 놓치거나 잘못 대응하는 부분 없이 효율적으로 보안 거버넌스를 운영할 수 있습니다.

보안 거버넌스, 어떻게 시작할까?

보안 거버넌스를 어떤 방향으로 설계해야 할지, 무엇을 고려해야 할지 설명드렸는데요. 사실 이 모든 것을 혼자서 시작하기란 쉽지 않습니다.

그렇기 때문에 보안 거버넌스 구축을 위한 여정을 시작한다면 가장 먼저 믿을 수 있는 파트너십을 찾는 일이 필요한데요. 클라우드 보안 거버넌스 구축을 위한 좋은 파트너십의 기준은 무엇일까요?
  • 클라우드 전문 역량과 다양한 산업군에서의 실제 운영 경험이 있는가?
  • 클라우드 네이티브 보안, 제로트러스트 등 보안 전반에 관한 역량이 있는가?
  • 자체 클라우드 보안 자동화 솔루션을 제공하는가?
  • 국내외 컴플라이언스/모범 사례를 제공하고 지속적으로 업데이트 하는가?
  • 고객사 상황에 따른 정책 커스터마이징 기능을 제공하는가?

 

클라우드 보안이 필요하시면 OpsNow의 보안 상품을 확인해 보세요.

 

 클라우드 보안 관리 플랫폼 자세히 보기

 클라우드 보안 컨설팅 자세히 보기

 

그리고 클라우드와 관련하여 다른 궁금한 점이 있으신 경우에도 언제든지 저희에게 문의해 주세요.

 OpsNow에 문의하기

 

본 내용은 베스픽 뉴스레터를 통해서 제공되는 내용입니다.

클라우드에 대한 최신 트렌드 정보가 필요하시면 뉴스레터를 구독해 주세요.

뉴스레터 구독하기
Post Views: 477
태그: