👍 베스픽의 원픽
NO.1 클라우드 보안 기업이 여러 개?! 이게 말이 돼?
안녕하세요, 베스픽 구독자 여러분. 오늘은 성황리에 열렸던 ‘베스핀 클라우드 네이티브 보안 컨퍼런스 2023(이하 BESPIN CNSC 2023)’에서 논의되었던 보안 트렌드와 이슈에 대해 소개해 드리려고 합니다. RSAC 2023 2편을 기다렸던 구독자분들께서는 다음 편을 기대해 주세요. 🙂
줄임말이 자꾸 생기는 이유 = 미래가 밝기 때문에☀️
오늘은 간단한 퀴즈로 시작해 보겠습니다. CASB, CWPP, CSPM, CIEM, KSPM, CNAPP, SSE, SSG, ZTNA, SSPM… 이 수많은 줄임말의 공통점은 무엇일까요? 바로 ‘클라우드 보안’과 관련 있다는 점입니다. 그런데 이 수많은 줄임말 중에 몇 개나 들어보셨나요? 또 몇 개의 뜻을 알고 계신가요?
최근 열린 ‘BESPIN CNSC 2023(BESPIN Cloud Native Security Conference)’의 키노트 스피치를 했던 가트너(Gartner)의 수석 애널리스트 패트릭 헤베시(Patrick Hevesi)는 “클라우드의 미래는 여전히 밝고 앞으로 더 많은 줄임말이 생겨날 것”이라고 했는데요.
쏟아져 나오는 이 줄임말들은 클라우드, 특히 클라우드 보안의 영역이 커져가는 것을 상징하고 있습니다. 클라우드 산업이 빠르게 변하면 변할수록 새로운 기술과 서비스가 계속 등장하고 이를 정의하고 설명하기 위해선 새로운 줄임말이 필요하기 때문이죠. 계속해서 생기는 이 줄임말들이 클라우드 보안의 영역이 하루가 다르게 넓어지고 보안 위협도 매우 다각적으로 변하고 있는, 클라우드 보안이 완전히 달라졌음을 보여주는 ‘증거’인 것입니다.
500여 명의 참관객이 행사장을 꽉 메운 BESPIN CNSC 2023 현장!
클라우드 보안이 기존과 완전히 달라진 만큼, 새로운 보안에 대한 관심 역시 뜨거울 수밖에 없겠죠. ‘클라우드 보안을 넘어, 클라우드 네이티브 보안으로’를 주제로 개최한 이번 BESPIN CNSC 2023에는 무려 500여 명!의 참관객이 몰렸습니다. 더불어 국내 다양한 산업을 대표하는 엔터프라이즈 기업과 스타트업의 CISO(정보보호최고책임자) 40여 분도 함께하셨는데요. 이 숫자를 보면 현재 클라우드 보안이 얼마나 핫한지, 기존 보안에 대해 위기의식을 느끼고 있는 보안업계 담당자분들이 얼마나 많은지에 대해 체감할 수 있으실 겁니다.
넓고도 깊은 클라우드 보안의 세계, 빠짐없이 대비하려면?🛡️
특히 이번 컨퍼런스는 베스핀글로벌과 함께, 클라우드 보안 NO.1 9개 기업이 모여 더 뜻깊었는데요. 가만, 뭔가 이상하다고요? NO.1은 1위라는 뜻인데 9개 기업이 어떻게 다 NO.1일 수가 있냐고요? 지난주 말씀드린 것처럼 클라우드 보안 영역은 이제 너무나 방대해졌고 다채로워져서 더 이상 하나의 솔루션만으로는 클라우드 보안을 모두 커버할 수 없기 때문입니다. 지난주 RSAC 2023 참관기 1편에서 설명해 드린 것처럼 비즈니스의 중심은 이미 IT로 옮겨갔고, 그 기업들의 역량이 모두 디지털화된 만큼 보안의 영역은 너무나 커졌습니다. ‘영역별 대표 보안 솔루션을 바탕으로 한 통합 보안’이 필수적인 상황이 된 것입니다.
👉 [다시 읽기] 베스핀글로벌 CISO가 직접 가봤다, RSAC 2023 참관기 1편
이날 컨퍼런스의 첫 세션이었던 가트너의 ‘클라우드 보안의 글로벌 트렌드 및 전망’ 기조 연설에서도 “대부분의 클라우드 사용자는 클라우드 내에 있는 것이 더 안전하다”고 말하며, 특히 멀티 클라우드 이용자의 경우, “클라우드 보안을 위해 여러 정책과 다양한 도구를 고려해야 한다”고 강조했는데요. 또 IaaS와 PaaS, SaaS까지 모두를 보호해야 하기 때문에, 이를 포괄할 수 있는 보안 전략 구축이 중요합니다. 이를 위해선 가시성 확대, 실시간 탐지 및 대응, 데이터 보호, 신뢰할 수 있는 신원 관리와 같은 다양한 영역별 보안 솔루션을 통합, 보안 전반을 모두 아우르는 전략을 구축하는 것이 우선되어야 한다고 말할 수 있겠습니다.
지금은 클라우드 네이티브 보안 트렌드 파악중, 본 행사에 앞서 열린 CISO 모임 현장
더불어, 가트너는 클라우드 보안에서 꼭 극복해야 할 과제로 ▲가시성 부족 ▲거버넌스 부족 ▲정책 오류 ▲기술 격차 ▲책임 공유에 대한 오해 ▲안전장치(Guardrail) 부족 ▲컴플라이언스 격차 ▲보안 설정 오류를 이야기했는데요. 이 과제들을 해결하기 위한 여러 방안을 논의한 이날 BESPIN CNSC 2023에서는 다양한 솔루션과 보안 전략들이 소개되었습니다.
보여야 찾아낸다, 가시성이 가장 중요🔍
특히 클라우드 전환에 있어 가장 큰 과제 중 하나로 손꼽힌 가시성은 꼭 눈여겨보셔야 합니다. 베스핀글로벌은 이번 컨퍼런스에서 클라우드 보안을 위한 가장 중요한 전략 중 한 가지로 ‘보안 정책을 기반으로 한 가시화 환경’을 갖출 것을 강조했습니다. 클라우드 보안 정책과 가시화만 제대로 갖춰도 클라우드 보안 문제의 80%는 해결이 가능하다네요. 베스핀글로벌은 클라우드에 완벽히 적용 가능한 보안 정책 ‘OpsNow Security Benchmark’를 제공하고 있으며 다년간의 클라우드 운영 관리 노하우를 집약시킨 것은 물론이고, 이를 실시간으로 업데이트하고 있습니다.
SK쉴더스 역시 가시성 확보를 위한 거버넌스 체계 우선 수립과 보안 체계 현황을 관리할 수 있는 클라우드 보안 거버넌스 표준 모델의 필요성을 주문했는데요. 거버넌스를 기반으로 CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리), CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼) 등을 이용한 DevSecOps 자동화 보안을 구현할 것을 적극적으로 제안했고, 보안 조직이 현재 당면한 문제로 클라우드 역량 강화를 꼽기도 했습니다.
클라우드 보안을 이야기할 때, 제로트러스트를 빼놓을 수 없겠죠. 이날 컨퍼런스에서는 제로트러스트에 대한 다양한 인사이트가 쏟아졌습니다. 조사에 따르면, 2021년에 제로트러스트를 구현한 기업은 25%에 불과했는데, 1년 만에 55%의 기업들이 제로트러스트를 구현했고 18개월 내에 구현할 거라고 응답한 기업은 무려 42%! 지난해 기준으로 97%의 기업이 이미 제로트러스트 보안을 구현했거나 곧 구현할 예정이라는 거죠.
제로트러스트 보안의 핵심은 Identity, 바로 신원인데요. 제로트러스트 보안 아키텍처를 구현하기 위해선 Identity가 가장 효율적이고 효과적이기 때문입니다. 실제로 IDSA(Identity Defined Security Alliance)의 조사 결과에 따르면, 데이터 유출의 96%은 Identity에서 시작된다고 하는데요. Identity 중심으로 제로트러스트 보안을 구현하는 것이 무엇보다 중요합니다.
‘강력한 제로트러스트 Identity’의 요건 by 옥타(Okta)
- Protection(보호)
- Detection(탐지 및 분석)
- Response(대응)
IT 자원의 아이덴티티에 대한 인식도 미미한 것이 현실인데요. 자원들도 ID가 있고 정체성이 있습니다. CIEM 선도 기업 에르메틱(Ermetic)에 따르면, 요즘 CIEM(Cloud Infrastructure Entitlement Management, 클라우드 인프라 권한 관리)에 대한 필요성이 높아지고 있다고 합니다. CIEM은 특정한 서비스 자원이 탈취 및 해킹되었을 때, 이를 감지하여 그에 대한 권한을 제어하는 등 자원의 아이덴티티를 관리할 수 있게 해주거든요.
그럼 제로트러스트 아키텍처는 어떻게 구성해야 할까요? 지스케일러(Zscaler)는 ‘네트워크와 보안을 결합한 아키텍처의 베스트 프랙티스가 바로 SASE(Secure Asccess Service Edge, 보안 액세스 서비스 엣지)’라고 말하며 이를 레퍼런스로 참고하면서 각 기업만의 기준을 가져야 한다고 덧붙였습니다. SASE가 많은 기업 고객들 사이에서 각광을 받고 있지만 실질적으로 우리 기업에 어느 정도 적용할 수 있을지, 적용하고 어떤 효과를 볼 수 있는지에 대한 고민이 필요한 시점이라고 조언한 것이죠. 클라우드플레어도 제약 없이 전 세계 동일한 보안 서비스 및 다양한 IT 인프라 환경 변화에 가장 적합한 SASE 환경을 제공한다는 점을 장점으로 내세웠습니다.
챙겨야 할 보안 또 뭐가 있어요?💭
이 밖에도 치명적인 보안 위협을 막아낼 수 있는 여러 솔루션들이 소개되었는데요. 보안의 중요성을 깨달은 기업 다수가 요즘 SOC(Security Operations Center, 보안 운영 센터)를 운영하고 있고, XDR(Extended Detection and Response, 확장된 탐지 및 대응)로의 전환도 요즘 보안 업계의 큰 관심을 이끌어내고 있습니다.
이에 센티넬원(SentinelOne)은 SOC의 가시성을 향상하기 위해 많은 기업들이 EDR 솔루션을 사용하고 있다고 말했는데요. 고객 데이터(71%)가 보안 위협의 주 목표가 되면서 ‘엔드포인트의 악성 코드를 탐지하고 차단은 물론, 원격 조치까지 이루어지는 EPDR(Endpoint Protection Detection & Response, 엔드포인트 위협탐지 및 대응)가 주목받고 있는 상황’임을 설명하기도 했습니다.
보안은 결국 데이터, 로그입니다. 무언가가 일어나는데 내가 볼 수 없고 통제할 수 없는 것이 가장 문제죠. 즉, 로그의 가시성을 우선 확보해야 합니다. 수모 로직(Sumo Logic)은 “생성되는 모든 데이터 중에 보안이 확보된 데이터는 절반에도 미치지 못할 것”이라고 말하며 데이터 폭증으로 인한 보안 모니터링의 어려움은 보안 분석 로그 플랫폼으로 해결할 수 있다고 주장했습니다.
마지막으로, 보안 사고 중 기업들이 가장 큰 보안 위협으로 손꼽은 것은 무엇일까요? 바로 촘촘히 연결된 인터넷 세상의 시작점인 ‘웹 환경’의 안전을 위협하는 공격입니다. 모든 것이 인터넷으로 연결된 지금, ‘웹 보안(Web Security)’의 중요성은 누구도 부정하지 않습니다. 펜타시큐리티는 API 이용이 확산되며, 웹 공격 유형도 나날이 늘어가고 실질적 위협도 급증하고 있기 때문에 기존의 일반적인 웹 공격에 대응하는 WAF를 넘어 WAAP(Web Application & API Protection, 웹 어플리케이션 & API 보안)로 진화해야 한다고 역설했습니다.
오늘은 최근 열린 BESPIN CNSC 2023 현장에서 이야기된 클라우드 보안의 핵심 인사이트만 골라 전달드렸는데요. 참여 기업 모두 클라우드 보안은 기존 보안과 그 통념부터 다르며, 보안은 이제 완전히 다른 방식으로 구성되어야 한다는 점을 이야기했습니다. 이것 말고 혹시 소개된 기업들의 또 하나의 공통점을 찾으셨을까요? 바로 오늘 소개된 기업 모두가 SaaS 기업이라는 점입니다. 클라우드 보안이 기존 보안과 완전히 다르고 모두가 클라우드로 옮겨가는 환경에서 설치형, 구축형 보안을 통해 클라우드 보안을 강화할 수는 없겠죠.
오늘의 베스픽을 열심히 읽으셨다면 쉽게 알 수 있을 텐데요. 보안 문제는 절대 한 곳에서만 발생하지 않기 때문에, 클라우드 보안은 다각도로 접근해야 합니다. 이것이 베스핀글로벌이 각 대표 보안 기업들과 함께 협력하여 클라우드 네이티브 보안 얼라이언스를 구축한 이유입니다.
혹시 오늘 소개드린 솔루션이나 보안 전략에 대해 궁금하다면 베스핀글로벌에 직접 문의해주시면 됩니다. 오늘은 이것으로 마치겠습니다. 다음주에 RSAC 2023 참관기 2편으로 찾아뵐게요!
👉 [체험하기] 우리 회사 보안 점수 몇점? 무료 클라우드 보안 컨설팅
👉 [더 알아보기] 베스핀글로벌의 자체 개발 CSPM 솔루션, 옵스나우 시큐리티
📰 안보면 클나우
구글, 바드 한국어 서비스 개시… “한국, 기술의 최첨단에 있어” 더보기
구글이 바드를 전 세계 180개국에 공개하면서 한국어와 일본어로도 이용할 수 있도록 했습니다. 영어 다음으로 한국어와 일본어를 이용할 수 있게 된 것은 두 국가의 기술적 중요성을 높이 평가했기 때문이라네요.
MS 조사 결과 “응답자 70%, 일 줄이려 AI 쓴다” 더보기
최근 마이크로소프트가 발표한 보고서에 따르면 한국인 74%가 AI에 업무량을 위임하는 것에 긍정적 반응을 보였다고 합니다. AI로 인한 고용 불안보다 활용에 대한 기대가 더 큰 것으로 나타났습니다.
IBM도 AI 전쟁 참전… 자체 개발 AI 플랫폼 ‘왓슨X’ 공개 더보기
IBM이 기존에 개발하던 왓슨을 업그레이드해 기업 맞춤형 AI 솔루션 ‘왓슨X’를 제공할 예정이라고 밝혔습니다. AI 전환을 원하는 기업을 맞춤형으로 지원하는 기능에 특화했다고 하네요.
☁️ 안쓰면 클나우
클라우드 보안, 중요한 건 알겠는데 어떻게 시작해야 할까요?
비즈니스가 커질수록 클라우드 인프라는 점점 복잡해지고 고려해야 할 점도 많아집니다. 특히 클라우드 보안은 반드시 갖추어야 할 영역이지만 기존 보안과 완전히 다르기 때문에 직접 챙기기 더욱 쉽지 않죠.
🧑🏻💻 “베스핀글로벌이 제공하는 클라우드 보안 리포트와 체크리스트가 정말 큰 도움이 되었습니다. 지금은 클라우드 보안 체크 리스트를 참고해 하나씩 반영해 나가고 있습니다.”
팀스파르타는 누적 수강생 54만 명을 기록하고 연간 3천 명 이상의 개발 인재를 양성하는 국내 대표 SW 교육 스타트업입니다. 2022년 상반기에는 신규 회원 수 184% 증가, 매출은 243% 증가하는 등 가파른 성장을 이어가고 있는데요. 이 과정에서 클라우드 인프라를 더욱 효율적으로 운영하고 관리하기 위해 베스핀글로벌과 함께했습니다.
- 베스핀글로벌 클라우드 보안 리포트 및 체크리스트를 통한 클라우드 보안 관리
- 멀티 클라우드 통합 관리 플랫폼 OpsNow360을 활용해 기간별, 영역별 클라우드 자원 및 비용 현황 모니터링
- OpsNow360의 AI 기반 이상 비용 탐지 및 비용 최적화 기능을 통한 클라우드 비용 관리
팀스파르타 CTO가 말하는 스마트한 클라우드 운영 관리 방법이 궁금하다면? 지금 바로 아래 링크를 통해 확인해 보세요!
👉 [3분 영상] 클라우드 보안부터 비용까지, 팀스파르타의 클라우드 운영 관리 꿀팁!
👉 [텍스트] 베스핀글로벌 X 팀스파르타 고객 사례 자세히 읽기
클라우드 도입 사례, 관리와 비용 절감을 위한 팁은 물론 국내외 IT 업계 소식까지
당신의 클라우드 원픽 뉴스레터 베스픽에서 만나보세요.
뉴스레터를 구독하시면 매주 화요일, 가장 먼저 베스픽을 받아볼 수 있습니다 🙂