매주 새로운 소식으로 찾아뵙겠습니다.
👍 베스픽의 원픽
클라우드 보안 거버넌스, 핵심을 봐야 돼요🐳
안녕하세요, 베스픽 구독자 여러분
계속해서 ‘클라우드 거버넌스’에 대한 이야기를 들려드리고 있습니다.
지난 주 베스픽에서 클라우드 인프라는 IT 부서 뿐 아니라 조직 전체의 이슈라고 소개해 드렸는데요. 이것은 클라우드 보안에서도 똑같이 적용됩니다.
예전에는 CISO(정보보호 최고 책임자)가 보안에 대한 모든 권한과 책임을 가졌다면, 요즘은 조직 구성원 모두가 보안을 제대로 준수하고 책임의식을 지녀야 하는 것이죠.
👉 옛날 보안 vs 요즘 보안, 한번에 살펴보기
이때 부서마다 서로 다른 보안 기준을 가지고 있으면 안되겠죠. 그래서 조직 전체에 걸쳐 일관된 정책과 프로세스를 통해 보안을 준수하고 관리/운영할 수 있도록 하는 것이 바로 클라우드 보안 거버넌스입니다.
클라우드 보안은 바로 거버넌스에서 시작됩니다.
오늘 베스픽에서는 클라우드 환경에서 보안 거버넌스를 잘 만들고 운영하기 위한 핵심 3가지를 짚어보겠습니다.
보안 거버넌스, 가장 중요한 것은 비즈니스
이미지 출처: Microsoft, Security governance
IT 뉴스를 보다보면 기업들이 관리하던 고객 개인정보나 기술 정보들이 유출된 사례들을 자주 접하실 텐데요. IBM 보고서에 따르면 작년 우리나라 기업들의 평균 데이터 유출 비용은 약 41억 달러(약 5조 3789억원)에 달한다고 합니다.
이 외에도 보안 사고나 해킹을 통해 서비스가 중단되거나 성능에 문제가 생겨 큰 손해가 발생하기도 하죠. 이처럼 보안 이슈는 결국 기업의 비즈니스 목표와 연결됩니다.
그렇기 때문에 클라우드 보안 거버넌스는 기술적인 관점에서만 바라볼 것이 아니라 먼저 비즈니스적 관점으로 접근해야 합니다. 보안 거버넌스를 수립하는 과정에는 IT 부서 뿐 아니라 비즈니스 목표를 수립하고 주도하는 부서들도 적극적으로 참여해야 하는 것이죠.
비즈니스 목표를 논의했다면 실질적으로 보안 거버넌스를 구축하는 데 참고할 수 있는 여러가지 프레임워크들도 살펴보는 것이 좋습니다. 정보 보호를 위한 인증 제도부터 산업별/보안 운영/CSP 모범 사례 기반 프레임워크 등 종류가 다양한데요, 우리 비즈니스에 맞는 프레임워크를 선택하는 것이 필요하겠죠.
- 법/규제: ISO27001, GDPR, ISMS 등
- 산업별: HIPAA, PCI-DSS 등
- 보안 운영: NIST CSF(Cybersecurity Framework) 등
- CSP 모범사례 기반: AWS CAF(Cloud Adoption Framework) 등
한 발짝 더, 커스터마이징과 업데이트
하지만 알맞은 프레임워크를 참고하는 것만으로는 충분하지 않습니다. 사실 아무리 산업별로 특화된 프레임워크나 컴플라이언스(준법경영) 시스템이 있다 해도, 기본적으로는 모든 기업들을 대상으로 하는 포괄적인 가이드라인이기 때문인데요.
같은 업계라고 하더라도 그 안을 들여다보면 기업마다, 비즈니스 모델마다 각자의 특성과 고유한 부분들이 있기 마련입니다. 조직의 규모나 업무 문화에 따라 운영 환경이 달라지기도 하고요.
그렇기 때문에 결국은 우리 기업과 비즈니스에 맞는 보안 거버넌스를 커스터마이징하는 과정이 있어야 합니다. 어떠한 정책을 참고하되 우리 조직에 필요하지 않은 부분이라면 예외 처리를 한다던가, 보다 세분화된 기준을 세우는 등 말이죠.
이렇게 우리 비즈니스에 딱 맞는 보안 거버넌스를 잘 설계 했다면, 변화하는 시장 상황과 산업 규제에 맞춰 보안 거버넌스도 지속적으로 업데이트해야 합니다.
특히 요즘과 같이 사이버 공격에 대한 위험이 높을수록, 클라우드 플랫폼 등에서 제공하는 최신 보안 정책을 모니터링하고 우리 기업의 보안 거버넌스에 빠르게 적용하는 것이 무엇보다 중요합니다.
외부적 요인 뿐만 아니라 내부적인 사업 목표와 현황도 고려해야합니다. 비즈니스 목표나 운영 정책이 변경되기도 하고, 아예 사업 모델 자체를 피봇팅 하는 경우도 있으니까요. 이에 따라 당연히 보안 거버넌스도 달라져야 합니다.
자동화로 완성하는 보안 거버넌스
“일관된 거버넌스를 구현하는 가장 좋은 방법은
최대한 많은 프로세스를 코드화하는 것이다” (출처)
서두에서 모든 조직 구성원들이 일관된 보안 정책과 프로세스를 적용해야 한다고 말씀드렸는데요. 그것을 실제로 가능하게 하는 것은 바로 코드화와 자동화입니다.
자동화와 코드화, 비슷한 듯 다른 개념인데요. 먼저 코드화는 어떤 작업을 코드로 구현해 동일한 작업을 매번 동일하게 수행할 수 있도록 하는 것입니다. 그리고 이러한 코드화된 관련 작업들이 모여 하나의 프로세스를 만드는 것을 자동화라고 할 수 있겠습니다.
예를 들어, 코드화를 통해 위협 탐지 로직이나 데이터 복구 로직을 만들고 이러한 로직들을 기반으로 자동화된 보안 거버넌스를 구축하는 것입니다.
이렇게 자동화된 프로세스를 만들어야 인력과 비용의 낭비 없이, 놓치거나 잘못 대응하는 부분 없이 효율적으로 보안 거버넌스를 운영할 수 있습니다.
자동화로 완성하는 보안 거버넌스
보안 거버넌스를 어떤 방향으로 설계해야 할지, 무엇을 고려해야 할지 설명드렸는데요. 사실 이 모든 것을 혼자서 시작하기란 쉽지 않습니다.
그렇기 때문에 보안 거버넌스 구축을 위한 여정을 시작한다면 가장 먼저 믿을 수 있는 파트너십을 찾는 일이 필요한데요. 클라우드 보안 거버넌스 구축을 위한 좋은 파트너십의 기준은 무엇일까요?
- 클라우드 전문 역량과 다양한 산업군에서의 실제 운영 경험이 있는가?
- 클라우드 네이티브 보안, 제로트러스트 등 보안 전반에 관한 역량이 있는가?
- 자체 클라우드 보안 자동화 솔루션을 제공하는가?
- 국내외 컴플라이언스/모범 사례를 제공하고 지속적으로 업데이트 하는가?
- 고객사 상황에 따른 정책 커스터마이징 기능을 제공하는가?
이러한 기준에 딱 맞는 파트너가 바로 여기 있습니다.
베스핀글로벌은 오랜 클라우드 경험과 역량을 바탕으로 클라우드 보안에 대한 전반적인 컨설팅과 솔루션을 제공하고 있는데요.
베스픽 구독자 분들을 위해 특별 커피챗 이벤트를 준비했습니다. 클라우드 보안에 관한 궁금한 것들을 편하게 물어보세요.
지금까지 소개한 보안 거버넌스의 핵심 요소들을 한번에 만날 수 있는 솔루션, 옵스나우 시큐리티(OpsNow Security)에 대한 소개도 자세히 들어볼 수 있으니 많은 신청 바랍니다.
👉 클라우드 보안 1:1 커피챗 신청하기
👉 클라우드 보안 자동화 솔루션 ‘옵스나우 시큐리티’ 자세히 보기
📰 안보면 클나우
아마존, 원메디컬 $39억에 인수… 헬스케어 강화 더보기
아마존이 1차 진료기관인 원메디컬을 우리 돈 약 5조 원에 인수합니다. 여러 차례 헬스케어 산업 확장을 모색해 온 바 있는 아마존이 이번에야말로 본격적 행보에 나설 수 있을지 시장의 관심이 쏠리고 있습니다.
MS 클라우드 애저에서 오라클 DB 쓴다 더보기
오라클이 MS와의 파트너십을 확대하며, ‘MS 애저용 오라클 DB 서비스’를 선보였습니다. 추가 비용 없이 오라클의 DB 서비스를 MS 애저와 결합해 사용할 수 있게 되었는데요. 새로운 멀티 클라우드 시도가 어떤 반응을 낳을지 귀추가 주목됩니다.
중국 메타버스 시장, ‘25년까지 10배 이상 성장 예상 더보기
기술 발전과 함께 보편화된 비대면 문화, 긍정적 전망에 힘입어 메타버스에 대한 관심이 커지고 있는 것이 요인이라고 하네요. 텐센트, 알리바바, 바이두 등 빅테크 기업 뿐 아니라 중국 지방 정부도 적극적 산업 육성에 나서고 있다고 합니다.
☁️ 안쓰면 클나우
클라우드 보안 제대로 이해하기
오늘 보안 거버넌스에 대한 내용 잘 읽어보셨나요?
클라우드 보안에 대한 더 자세한 내용이 궁금하셨을 구독자님을 위해 클라우드 보안에 대해 설명한 ZDNet Korea 영상을 소개합니다.
총 두 편에 걸쳐 베스핀글로벌 정현석 CSIO가 클라우드 보안이 무엇인지, 왜 중요한지, 어떻게 강화할 수 있는지 설명합니다.
👉 [1편] 기업의 생명을 좌우하는 클라우드 보안
👉 [2편] 클라우드 보안, 이것만 따라 하세요
클라우드 도입 사례, 관리와 비용 절감을 위한 팁은 물론 국내외 IT 업계 소식까지
당신의 클라우드 원픽 뉴스레터 베스픽에서 만나보세요.
뉴스레터를 구독하시면 매주 화요일, 가장 먼저 베스픽을 받아볼 수 있습니다 🙂