전체상품목록 바로가기

본문 바로가기

 
신규가입 3,000P 지급
현재 위치
  1. 게시판
  2. 뉴스/이벤트

뉴스/이벤트

 

게시판 상세
제목 클라우드 보안의 최대 리스크는 지금 당신 옆에 있다
작성자 (주)소프트정보서비스 (ip:)
  • 평점 0점  
  • 작성일 2022-07-05
  • 추천 추천하기
  • 조회수 295
Cloud security risks remain very human
Undefined Undefined / Getty Images







클라우드 보안 위협을 생각하면, 보통 클라우드 솔루션 업체의 치명적인 취약점이나 지하세계의 해커가 연상된다. 하지만 진짜 적은 더 가까운 곳에 있다. 

클라우드 보안에 대한 이야기의 주제는 클라우드 솔루션 업체나 지하 세계의 해커에게 쏠려 있는 경우가 흔하다. 기업들은 특히 솔루션 업체의 보안, 감사 및 계획이 부족하다며 불만을 토로한다. 




그러나 등잔 밑이 어둡다는 말처럼 사실 가장 큰 위협은 바로 옆에 있는 회사 동료일 수 있다. 실제로 클라우드 보안 연합(The Cloud Security Alliance)의 ‘2022 주요 클라우드 컴퓨팅 보안 위협’ 보고서에 따르면, 정작 대부분의 위협은 기업 사용자에서 비롯되는 것으로 분석됐다. 


700명 이상의 사이버보안 전문가를 대상으로 한 이 보고서에는 상위 11개의 클라우드 보안 위협 요인이 기술됐다. 대표적으로 안전하지 않은 인터페이스와 API, 잘못된 구성 설정, 클라우드 보안 아키텍처 및 전략의 부재, 우발적인 클라우드 노출 등이 있었다. 즉, 실제 위협의 주체는 지하 세계에 있는 악덕 해커가 아니다. 지금 같은 공간에서 일하고 있는 경리 부서의 마리, 재고 IT 부서의 로버트, 그리고 심지어 IT 보안 부서의 수장일 수 있다는 말이다.  


이 보고서는 클라우드 보안을 책임지는 주체에 대한 관점이 업체에서 사용자로 바뀌고 있다는 점에 주목했다. "공동 책임"을 외쳐온 업체에 물어보면 이들은 항상 기업 사용자에게 보안에 대해 사용자로서의 소임을 다할 것을 당부한다. 하지만 IT 회사와 일반 직원에게 물어보자, 클라우드 보안의 핵심 역할은 역시 솔루션 업체의 몫이라고 응답한다. 


공개된 기술의 취약점(예컨대 디도스 공격, 통신 서비스 제공업체 데이터 손실, 기타 기존 클라우드 보안 문제 등)이 이전 연구보다 낮은 순위를 기록한 점도 흥미롭다. 물론 여전히 위협적이지만, 공유된 기술의 침해 사례를 사후 분석한 결과 심각한 보안 위협 목록에서 낮은 순위를 차지했다. 


결국 보고서의 요지는 실제 취약점이 생각보다 멀리 있지 않다는 점이다. 


실제로 사내 보안 전략과 보안 아키텍처의 부재가 클라우드 보안 금기사항에서 1위를 차지한 것으로 보고서에 나타났다. 그다음은 구성 오류를 방지하기 위한 교육 및 검토 절차의 부재였다. (필자의 생각에도 구성 오류가 대부분 데이터 침해 사건의 원인이다) 한눈에 봐도 이 두 가지 문제는 이어져 있다. 사내에 보안 계획과 아키텍처가 없으니 애초에 구성 오류가 발생할 가능성이 높다. 


이런 필수 보안 조치가 갖춰지지 않은 이유는 자원 부족일 것이다. 클라우드 보안 문제는 기업이 적절한 보안 계획에 비용을 지출할 의사가 없거나 그만한 재정이 없을 때 발생한다. 여기에 더해 보안 수칙 준수가 업무 방식에 완전히 녹아들려면 끊임없이 직원을 교육해야 한다. 이러한 노력을 꾸준히 이어가며 ‘적당한 보안’에 안주하는 문화에서 ‘철통 보안’ 문화로 모든 직원의 마음가짐을 바꿔야한다.  


하지만 IT 부서가 감당해야 하는 현실은 이상에 한참 뒤떨어져 있다. 여전히 회사 곳곳에는 사용자 ID와 암호가 적힌 스티커 메모가 널브러져 있으며, 클라우드 리소스가 종종 무단으로 사용되기도 한다. 황당하게 들리겠지만, 심지어 필자는 한 IT 관리자가 자녀의 숙제를 돕고자 퍼블릭 클라우드 스토리지와 컴퓨팅 시스템을 사용했다는 말을 들은 적도 있다. 게다가 이런 일이 한두 번이 아니었다. 농담처럼 들리겠지만, 이게 현실이다.  


해법은 이미 나와 있다. 클라우드 리소스에 더 많은 리소스를 투입하고 더 많이 신경 써야 한다. 물론 오로지 기술로 모든 문제를 해결할 수는 없다. 보안 문제를 제대로 해결하려면 적어도 향후 5년 동안 수행해야 할 절차를 기획하여 철저한 보안 전략을 수립해야 한다.  


또한 보안 시스템 개선이나 전략을 수립하기 전에, 회사의 보안 문화를 어떻게 바꿔야 할지도 큰 고민거리가 될 것이다. 직원들이 보안 문화에 동조하지 않는다면 수많은 보안 교육과 시스템 개선도 무용지물로 전락할 수 있다. 


보안 결함에 대해 다른 사람을 비난하는 것은 쉽다. 하지만 이제 남 탓하기는 끝났고 용납되지도 않는다. 회사의 보안 문제를 직시하고 나설 때다.



원문보기:

https://www.infoworld.com/article/3665055/cloud-security-risks-remain-very-human.html


첨부파일
비밀번호 수정 및 삭제하려면 비밀번호를 입력하세요.
댓글 수정

비밀번호 :

/ byte

비밀번호 : 확인 취소


HOME  COMPANY  BOARD  AGREEMNET  PRIVACY  GUIDE

011-17-010436

농협 / (주)소프트정보서비스

015-01-0690-148

국민 / (주)소프트정보서비스

WORLD SHIPPING

PLEASE SELECT THE DESTINATION COUNTRY AND LANGUAGE :

GO
close