요즘 보안 모르면 내 월급이 날아간다?
[스플X베스핀글로벌]
작년에 해킹 당한 회사 76%, 50억을 날렸다고?
veeam의 '2022년 데이터 보호 트렌드 리포트'에 따르면 작년에 랜섬웨어 공격을 한 번 이상 받은 기업이 76%나 된다고 합니다. 공격받은 데이터의 36%는 아예 복구가 안 되었다고 하고요. IBM의 '2021년 데이터 침해 비용 보고서'를 보면 작년에 해킹으로 데이터 유출된 기업의 평균 피해 비용이 424만 달러(약 51억 원)입니다.
코로나19로 인한 재택근무가 확산되고, 클라우드로 옮겨가면서 클라우드에 적합한 보안 모델을 세우지 못한 것의 영향으로 보입니다. IBM 보고서에 따르면 클라우드 보안 전략을 제대로 세운 기업에서는 데이터 유출 피해 시 복구 기간을 77일이나 더 단축시킬 수 있다고 합니다.
보안 공격은 늘어나고, 클라우드로 가는 것도 맞는 방향인데 예전 보안 모델에 머물러 있다면 비용과 시간 모두 피해가 더 큽니다. 그렇다면 옛날 보안과 요즘 보안, 어떻게 달라졌을까요?
네트워크만 잘 지키면 끝! >> 공격 채널이 왜 이렇게 많아!
예전에는 '보안'하면 네트워크 보안이 대표적이었습니다. ‘방화벽' 들어본 적 있는 라떼 분들 많으시죠? 불이 번지지 않게 건물 안에 세운 방화벽처럼 문제가 생기지 않도록 내부 네트워크를 보호하는 게 중요했습니다. 신뢰할 수 있는 내부 네트워크와 신뢰할 수 없는 외부 네트워크 사이에서 이 둘을 구분해 트래픽을 허용하거나 차단했죠.
하지만 지금은 완전히 다릅니다. 사이버 물리 시스템과 IoT, 오픈소스 코드, 클라우드 애플리케이션, 소셜 미디어 등 모든 것이 공격 가능한 통로입니다. 얼마 전까지 이슈가 되었던 Log4j는 전 세계 소프트웨어 생태계를 뒤흔들 정도의 취약점이었습니다. 오픈소스로 다수의 소프트웨어에서 활용하고 있었던 데다가 영향받는 패키지가 엄청나게 많았죠.
가트너는 2025년까지 전 세계 조직의 45%가 소프트웨어 공급망 공격을 경험하게 될 것으로 예측하는데, 이는 2021년보다 3배 증가한 수치입니다. 이런 문제가 발생했을 때 개발, 운영, 보안 중 누가 책임을 져야 할까요? 그리고 이렇게 계속 분리해서 보안 시스템을 가져가는 것이 맞을까요? DevSecOps 개념이 중요해진 이유입니다.
인증된 계정이면 만사 OK >> 누가 몰래 들어왔을지 몰라! 계속 감시하자!
보안에 신경 쓰는 기업들이라면 IAM(Identity and Access Management) 관리를 적극적으로 하고 있을 텐데요. 사실 IAM 인프라도 공격의 대상이 된지 오래입니다. 인증을 수백 번 한다 해도 그 인증된 계정이 뚫리면 무용지물이 되는 것입니다. 랩서스는 물론 몇 년 전 솔라윈즈 사태에서도 관리자 계정에 대한 액세스 권한을 확보하기 위해 노력했다고 하죠.
그래서 요즘 보안에서는 인증된 계정이라도 의심하고 또 의심하는 '제로 트러스트'가 떠오르고 있습니다. 인증된 계정으로 들어왔다고 끝이 아니라 정상적인 활동을 하는지 계속 감시하고, 수상한 행동을 한다면 다른 시스템의 접근을 막아버리는 것입니다. 비유하자면 ‘제로 트러스트’는 몰래 들어온 침입자가 없는지 경비원이 건물 안을 계속 순찰하는 것이라고 할 수 있는데요. 문 앞에서만 지켰던 옛날 보안 방식보다 훨씬 안전하고 믿을 수 있겠죠.
보안 관리자가 책임지면 되죠 >> 회계/인사/총무도 보안에 책임이 있다고요?
예전에는 CISO(정보보호 최고 책임자)가 보안 전반의 모든 권한을 갖고 결정하는 중앙 집중적 접근 방식이 대세였습니다. 그러나 민첩한 보안을 위해서는 조직 구성 전체에 걸쳐 의사 결정, 책임과 의무를 분산시킬 필요가 있죠. 이제 CISO는 CEO 및 임원들이 정보에 입각한 결정을 빠르게 내릴 수 있도록 책임 매트릭스(matrix)를 제대로 만드는 것이 중요하고, 컴플라이언스 준수 현황을 실시간으로 가시화해야 합니다.
또 이전처럼 연 1회 ‘산업보안 교육'을 진행하는 것으로는 해결되지 않는 것이 늘어납니다. 최근에는 규정 준수 중심의 보안 교육보다는 전체적인 ‘보안 행동 및 문화 프로그램’에 투자하는 기업이 늘고 있습니다. 조직 전체에 걸쳐 보다 안전한 작업 방식을 유도하는 것을 목적으로 합니다.
IT 의사 결정권자 3천 명을 대상으로 한 설문조사에서 88%가 향후 데이터 보호를 위한 투자를 늘릴 계획이며 67%는 현재 데이터 보호를 위해 클라우드 서비스를 이용하고 있다고 말했습니다. 그렇다면 제대로 된 클라우드 보안을 위해 어디에 어떻게 투자하면 좋을까요?
클라우드 보안, 가시성 확보가 먼저
클라우드는 정말 복잡합니다. 대규모 리소스들과 API, 계정 등을 엑셀로 직접 관리한다는 것은 거의 불가능에 가깝습니다. 게다가 계속해서 새로운 기술이 등장하는데 그때마다 새로운 보안 요소도 함께 나타나죠. 가트너는 클라우드 보안 사고의 99%가 사용자의 실수로 인해 발생한다고 했는데요. 클라우드의 복잡성을 생각하면 고개를 끄덕일 수밖에 없습니다.
그렇기 때문에 클라우드 보안을 잘 관리하기 위해서는 먼저 가시성을 확보하는 것이 중요한데요. OpsNow360 Security와 같은 CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리) 솔루션을 활용하면 편리합니다. 수천, 수만 개가 넘는 클라우드 자원을 누락 없이 검사해서 어디가 취약한지, 어떻게 조치해야 하는지 바로 알려줍니다. 클라우드 보안 현황 수준을 체크해 볼 수 있어 더 쉽고 직관적으로 클라우드 보안을 관리할 수 있는 것도 특징입니다.
요즘 보안을 위한 필수 솔루션
앞서 요즘은 모든 것이 공격 통로가 될 수 있다고 말씀드렸는데요. 그중 웹 애플리케이션과 API가 주요 통로로 떠오르고 있습니다. 자동화된 봇들이나 디도스(DDoS) 공격 등의 대상이 되고 있는 것입니다. 이러한 웹 애플리케이션과 API를 보호하기 위해 WAAP(Web Application and API Protection, 웹 애플리케이션 및 API 보호) 솔루션이 있습니다. 특히 AI와 머신러닝으로 탐지 역량을 계속 강화하고, 알려지지 않은 위협까지 미리 예측하고 차단하는 것이 최근 WAAP의 트렌드 중 하나입니다.
WAPP 도입은 2021년 기준으로 아직 10% 미만 수준이지만 앞으로 2026년까지 4배 이상 늘어날 것으로 보입니다. 가트너가 발표한 2021 매직쿼드런트 WAAP 부문을 살펴보면 특히 클라우드 기반 제품들이 선전한 것을 알 수 있습니다. 리더로 선정된 아카마이(Akamai), 임퍼바(Imperva) 두 곳인데요. 특히 아카마이는 API 보안면에서 더 우수한 평가를 받았다고 하네요.
보안 길 걷는 클라우드 기업들
2021년 여름, 빅테크 기업들의 백악관 회동을 기억하시나요? 구글과 MS가 사이버 보안 강화를 위해 각각 100억 달러, 200억 달러를 투자하겠다고 약속해 화제가 되었었죠. 실제로 최근 구글은 사이버 보안 전문 기업인 맨디언트(Mandiant)를 인수하며 본격적으로 보안 영역을 강화하고 있습니다. MS는 ‘클라우드녹스 시큐리티(CloudKnox Security)’와 ‘리스크IQ(RiskIQ)’를, AWS는 ‘위커(Wickr)’를 인수했습니다.
이렇게 클라우드 기업들이 보안 영역을 강화하고 있는 가운데, 특히 MS의 행보가 눈길을 끕니다. CSP들도 AWS Security Hub, Microsoft Defender for Cloud와 같은 보안 솔루션을 제공하고 있긴 했지만 보통 자사 클라우드 시스템을 대상으로 했는데요. 최근 MS가 Defender for Cloud의 적용 범위를 AWS, Google Cloud까지 넓힌 것입니다. 또한 멀티 클라우드를 지원하는 다른 보안 솔루션들도 출시하고 있습니다. 클라우드 보안이 중요해지는 흐름에 멀티 클라우드를 지원하며 빠르게 올라타는 것으로 보입니다.
놓치고 싶지 않은 클라우드 소식, 뉴스레터 베스픽 구독하기 >>
스파크플러스와 베스핀글로벌이 준비한 요즘 보안 트렌드, 흥미롭게 보셨나요? IT와 보안을 잘 알지 못하더라도 보안에 대한 중요성이 점점 커지고 있다는 것은 알 수 있습니다. 기술이 발전하는 만큼 보안에 신경 써야 할 부분도 함께 증가한다는 의미겠죠. 기업은 위협이 되는 환경을 잘 이해하고 보안 솔루션을 지속적으로 업데이트해야 하고, 조직 내 사이버 보안의 중요성이 '특수함'이 아닌 '일상적임'을 인지시키는 과제를 얻게 되었습니다.
지금 가장 핫한 IT 이슈를 알고 싶다면 스파크플러스와 베스핀글로벌이 전해드리는 다음 이야기도 놓치지 말고 꼭 챙겨보세요!
▼ 스파크플러스X베스핀글로벌 특별 혜택 신청하기 ▼
