옛날 보안, 요즘 보안 모르면 내 월급이 날아간다?💸

👍 베스픽의 원픽

옛날 보안, 요즘 보안 모르면 내 월급이 날아간다?💸

작년에 해킹 당한 회사 76%, 50억을 날렸다고?💀 

 

veeam의 “2022년 데이터 보호 트렌드 리포트“에 따르면 작년에 랜섬웨어 공격을 한 번 이상 받은 기업이 76%나 된다고 합니다. 공격 받은 데이터의 36%는 아예 복구가 안 되었다고 하고요. IBM의 “2021년 데이터 침해 비용 보고서“를 보면 작년에 해킹으로 데이터 유출된 기업의 평균 피해 비용이 424만 달러(약 51억 원)입니다. 

코로나19로 인한 재택 근무가 확산되고, 클라우드로 옮겨가면서 클라우드에 적합한 보안 모델을 세우지 못한 것의 영향으로 보입니다. IBM 보고서에 따르면 클라우드 보안 전략을 제대로 세운 기업에서는 데이터 유출 피해시 복구 기간을 77일이나 더 단축시킬 수 있다고 합니다.

보안 공격은 늘어나고, 클라우드로 가는 것도 맞는 방향인데 예전 보안 모델에 머물러 있다면 비용과 시간 모두 피해가 더 큽니다.
그렇다면 옛날 보안과 요즘 보안, 어떻게 달라졌을까요?

옛날 보안 – 네트워크만 잘 지키면 땡~

요즘 보안 – 공격 채널이 왜 이렇게 많아!     

예전에는 보안하면 네트워크 보안이 대표적이었습니다. ‘방화벽’, 들어보신 적 있는 라떼 분들 많으시죠?
불이 번지지 않게 건물 안에 세운 방화벽처럼, 문제가 생기지 않도록 내부 네트워크를 보호하는 게 중요했습니다. 신뢰할 수 있는 내부 네트워크와 신뢰할 수 없는 외부 네트워크 사이에서 이 둘을 구분해 트래픽을 허용하거나 차단했죠. 

하지만 지금은 완전히 다릅니다. 사이버 물리 시스템과 IoT, 오픈소스 코드, 클라우드 애플리케이션, 소셜 미디어 등 모든 것이 공격 가능한 통로가 됩니다. 
얼마 전까지 이슈가 되었던 Log4j는 전세계 소프트웨어 생태계를 뒤흔들 정도의 취약점이었습니다. 오픈소스로 다수의 소프트웨어에서 활용하고 있었던 데다가 영향받는 패키지가 엄청나게 많았죠. 

가트너는 2025년까지 전 세계 조직의 45%가 소프트웨어 공급망 공격을 경험하게 될 것으로 예측하는데, 이는 2021년보다 3배 증가한 수치입니다.

이런 문제가 발생했을 때, 개발, 운영, 보안 중 누가 책임을 져야 할까요? 그리고 이렇게 계속 분리해서 보안 시스템을 가져가는 것이 맞을까요? DevSecOps 개념이 중요해진 이유입니다.

옛날 보안 – 인증된 계정이면 만사 OK 

요즘 보안 – 누가 몰래 들어왔을지 몰라~ 계속 감시하자!

보안에 신경 쓴다하는 기업들이라면 IAM(Identity and Access Management) 관리를 적극적으로 하고 있을 텐데요. 사실 IAM 인프라도 공격의 대상이 된지 오래입니다. 인증을 수백 번 한다 해도 그 인증된 계정이 뚫리면 무용지물이 되는 것입니다. 랩서스는 물론 몇 년 전 솔라윈즈 사태에서도 관리자 계정에 대한 액세스 권한을 확보하기 위해 노력했다고 하죠.

그래서 요즘 보안에서는 인증된 계정이라도 의심하고 또 의심하는 ‘제로 트러스트’가 떠오르고 있습니다. 인증된 계정으로 들어왔다고 끝이 아니라 정상적인 활동을 하는지 계속 감시하고, 수상한 행동을 한다면 다른 시스템의 접근을 막아버리는 것입니다. 

비유하자면 ‘제로 트러스트’는 몰래 들어온 침입자가 없는지 경비원이 건물 안을 계속 순찰하는 것이라고 할 수 있는데요. 문 앞에서만 지켰던 옛날 보안 방식보다 훨씬 안전하고 믿을 수 있겠죠. 

옛날 보안 – 보안 관리자가 책임지면 되죠 

요즘 보안 – 회계/인사/총무도 보안에 책임이 있다고요?

예전에는 CISO(정보보호 최고 책임자)가 보안 전반의 모든 권한을 갖고 결정하는 중앙 집중적 접근 방식이 대세였습니다. 
그러나 민첩한 보안을 위해서는 조직 구성 전체에 걸쳐 의사 결정, 책임과 의무를 분산시킬 필요가 있죠. 이제 CISO는 CEO 및 임원들이 정보에 입각한 결정을 빠르게 내릴 수 있도록 책임 매트릭스(matrix)를 제대로 만드는 것이 중요하고, 컴플라이언스 준수 현황을 실시간으로 가시화해야 합니다.

또 이전처럼 연 1회 ‘산업보안 교육’을 진행하는 것으로는 해결되지 않는 것이 늘어납니다. 최근에는 규정 준수 중심의 보안 교육 보다는 전체적인 ‘보안 행동 및 문화 프로그램’에 투자하는 기업이 늘고 있습니다. 조직 전체에 걸쳐 보다 안전한 작업 방식을 유도하는 것을 목적으로 합니다.

IT 의사결정권자 3천명을 대상으로 한 설문조사에서, 88%가 향후 데이터 보호를 위한 투자를 늘릴 계획이며, 67%는 현재 데이터 보호를 위해 클라우드 서비스를 이용하고 있다고 말했습니다. 

제대로 된 클라우드 보안을 위해 어디에 어떻게 투자하면 좋을까요?
베스픽 다음 편에서는 우리 조직의 보안 점수를 두 배로 올려줄 솔루션을 살펴보겠습니다.

   
👉 클라우드 보안 정책 가이드가 필요하다면?
👉 [3분 보기] 완전히 다른 클라우드 보안을 시작하는 법

---

📰 안보면 클나우

국내 CSP 3사 클라우드 법인 별도 설립, 클라우드 시장 움직임 확대 더보기
네이버에 이어 KT와 NHN이 각각 클라우드 독립 법인을 설립했습니다. 국내 CSP 3사가 클라우드 시장에 본격적으로 나서면서, 특히 공공 클라우드 전환에 대한 관심이 커지고 있습니다.

MS 애저, 사용량으로 AWS 제쳤다, 퍼블릭 클라우드 시장 접전 주목​​​​​​ 더보기
플렉세라 2022 클라우드 현황 보고서에 따르면, MS 애저 기반의 주요 인스턴스 사용량이 AWS를 넘어선 것으로 나타났습니다. 퍼블릭 클라우드 채택률에서도 MS가 소폭 앞섰습니다.

해외 연기금 연이어 국내 데이터센터 투자 발표… 팬데믹 이후 수요 폭발 더보기
초고속으로 성장하는 클라우드 시장 수요를 뒷받침하기 위해 국내 하이퍼스케일 데이터센터 투자가 늘어나고 있습니다. 최근 알리바바도 국내 첫 데이터센터 설립을 선언했습니다.

---

☁️ 안쓰면 클나우

AWS Control Tower의 A to Z

지난 베스픽에서 소개해 드렸듯, 앞으로 국내 공공 분야에서도 퍼블릭 클라우드 도입이 늘어날 것으로 보입니다. 클라우드를 사용중인 곳이라면 어떻게 더 효율적으로 운영하고 관리할지 고민일텐데요. 공공 분야도 예외는 아니겠죠.  

공공기관에서도 클라우드를 똑똑하게 사용하고 싶다면 옵스나우-G를 활용해 보세요. 공공기관 전용 멀티 클라우드 관리 자동화 플랫폼으로, SaaS 형태이기 때문에 언제 어디서나 쉽게 사용할 수 있습니다. 

• 국내 유일 네이버, NHN, KT 클라우드 모두 지원 
• 공공기관 사용자도 클라우드 간편 관리 가능
• 공공 영역에 특화된 맞춤 서비스데스크 운영

👉 [기사] 공공 클라우드 자동화를 위한 옵스나우-G 자세히 보기 
👉 옵스나우-G 문의하기

---

클라우드 도입 사례, 관리와 비용 절감을 위한 팁은 물론 국내외 IT 업계 소식까지
당신의 클라우드 원픽 뉴스레터 베스픽에서 만나보세요.
뉴스레터를 구독하시면 매주 화요일, 가장 먼저 베스픽을 받아볼 수 있습니다 🙂