클라우드의 사용은 점차 증가하고 있습니다.
2016년 기업에서 사용 중인 클라우드 서비스가 2015년보다 23.6% 증가한 1427개에 달했습니다.
또한, 클라우드로 이전되는 데이터의 18% 정도가 거래 비밀 또는 개인 정보 등 민감한 정보로 이루어져 있습니다.
일반적으로 기업은 데이터 유출(Data Breach)을 불러 일으킬 수 있는 클라우드 보안 위협과 무려 매달 23차례나 맞닥뜨립니다.
실제로 지난해 이는 18.4%까지 증가했습니다.
데이터 유출은 곧 HBO 가 겪은 랜섬웨어와 같은 2차 피해를 일으키기도 합니다.
이러한 상황에서 기업이 더 신경 써야할 부분은 해커가 아닌 내부 직원들입니다.
점차 더 많은 보안 이슈들이 내부 직원들의 부주의나 악의적인 의도로 인해 발생하고 있기 때문입니다.
Shadow IT: 해커의 타겟, 랜섬웨어의 원인
Shadow IT란 클라우드 어플리케이션 거버넌스에 포함된 개체나 IT 담당의 승인 없이
무책임하게 클라우드 서비스를 사용하는 직원들을 뜻합니다.
IT 보안팀은 승인된 클라우드 어플리케이션의 위험 수준을 철저히 검토합니다.
그러나 IT 이외의 부서에서는 주로 이와 같은 보안 기준을 따져보지 않기 때문에
위협, 데이터 유출(Data Breach) 그리고 법적 이슈를 유발하곤 합니다.
문제가 될 수 있는 Shadow IT 어플리케이션의 한 예로는 PDF 컨버터가 있습니다.
이는 사용자가 PDF 컨버터와 같은 클라우드 서비스에 업로드 하는 모든 자료가
전부 해당 어플리케이션 운영 기업의 소유물이 되는 법적 조항을 포함하는 경우입니다.
따라서, Shadow IT가 이러한 서비스에 업로드 한 개인정보 또는 기업 데이터는 보안의 사각지대에 놓이게 됩니다.
이러한 위험요소를 방지하는 방법
보안 이슈 때문에 기업이 클라우드의 사용을 완전히 중단하기에는 클라우드를 활용함으로써 얻을 수 있는 이점이 상당히 많습니다.
따라서 클라우드 보안을 위한 베스트 프렉티스를 따르고 제대로 된 클라우드 보안 툴을 사용함으로써 이를 해결할 수 있습니다.
베스트 프렉티스
기업이 내부에 Shadow IT를 단절할 수 있는 여러가지 방법이 있습니다.
1. 가시성(Visibility):
기업이 사용하는 클라우드 서비스의 기록 및 현황을 파악하고 모니터링해야 합니다.
Shadow IT 문제를 줄이기 위해 첫째로 할 일은 데이터를 활용하여 실제로 문제가 얼마나 생겼는지 파악하는 것입니다.
그러나 직원들의 사용 현황 및 기록을 모니터링할 때 프라이버시를 침해하지 않도록 보안과의 균형을 적절히 맞추는 것이 중요합니다.
자칫 비도덕적인 행동으로 여겨질 수 있기 때문입니다.
사전에 직원들이 승인되지 않은 클라우드 서비스를 사용하지 않도록 제한하는 것이 중요합니다.
2. 클라우드 컴플라이언스(Compliance):
기업이 보안 표준을 제대로 준수하고 있는지 확인해야 합니다.
또한, 직원들이 클라우드 표준을 준수하는 어플리케이션을 사용하도록 적극 권장해야 합니다.
모든 직원이 이를 따를 때 위험 수준을 낮출 수 있기 때문입니다.
이로써 주민등록번호, 의료기록 그리고 지문과 같은 민감한 정보의 보안을 반드시 유지해야 합니다.
3. 위협 방지(Threat Prevention):
머신 러닝을 통해 비정상적인 행동을 파악하고 위협을 사전에 방지합니다.
예를 들면, 민감한 정보를 반복적으로 다운 받는다거나
예외적인 특권 사용자(Excessive Privileged User)의 접근은 사이버 공격을 의미할 수 있습니다.
평상시와 다른 시간 때나 위치로부터의 접근, 보안 조치를 우회하는 시도들,
그리고 사용하지 않는 계정의 로그인 시도와 같이 눈에 띄는 현상을 모니터링해야 합니다.
4. 데이터 보안:
관리 계정의 비밀번호를 주기적으로 변경하는 것이 중요합니다.
이상적으로는 매달 변경하는 것이 좋습니다.
클라우드 자체에 높은 수준의 보안이 내장되어 있기 때문에
비밀번호와 사용자 단의 보안을 제대로 유지하는 것만으로 데이터 보안을 이룰 수 있습니다.
그러나 아무리 보안이 잘 이루어 지더라도 사용자 단의 보안 즉, 해당 네트워크에 연결 된 고객 장비 부분에서의 보안이 제대로 이루어 지지 않을 경우 제대로 된 보안을 이룰 수 없습니다.
효과적이라고 입증된 암호화 알고리즘을 사용하는 것이 좋습니다.
5. 접근제어(Access Control) 정책 시행:
클라우드 기반의 환경에서 보안을 유지하기 위해서는 접근제어(Access Control) 정책을 도입해야 합니다.
예를 들어, 특정 지역에서만 파일 접근이 가능하도록 허용하거나 사용자가 접근하기 위해서는 반드시 VPN을 사용하도록 제한을 두는 것입니다.
이와 같은 암호화 알고리즘를 사용할 경우 반드시 본인의 암호화 키가 있어야 하며,
보호하려는 서비스의 기능 및 성능이 기존과 동일하게 유지되도록 해야합니다.
사용자들이 해당 업무에 필요한 파일에만 접근이 가능하도록 해야합니다.
성공적인 클라우드 보안을 위해 꼭 필요한 툴
클라우드 보안을 위한 베스트 프렉티스와 더불어 꼭 알아야할 핵심 툴에 대해 알아보겠습니다.
1. 클라우드 방화벽(Cloud Firewall):
이 방화벽은 주로 심각하지 않은 사이버공격이 기업과 클라우드 공급자 사이의 연결로 침입하는 것을 방지합니다.
2. 클라우드 데이터 암호화(Cloud Data Encryption):
해커들이 네트워크로 침입해 정보를 빼내더라도 해커들이 데이터를 읽을 수 없도록 데이터를 보호합니다.
3. 사용자 접근제어(User Access Control):
사용자들이 실제로 필요로 하는 것과 이들의 역할과 담당에 따라 접근을 제한적으로 부여합니다.
4. 클라우드 접근 보안중개(CASB) 솔루션:
CASB는 허용되지 않은 클라우드 어플리케이션을 차단하고, 안전하게 클라우드 어플리케이션을 사용할 수 있도록 도와 줍니다.
이는 여러 보안 기능을 제공함으로써 기업이 클라우드 공급자들의 보안 기준에 맞게 유지할 수 있도록 돕습니다.
5. 포인트 솔루션(Point solutions):
사용자 단 즉, 클라우드 또는 네트워크와 연결된 사용자의 장비에서의 보안 수준을 높혀주는 솔루션입니다.
6. 매니지드 서비스 프로바이더(MSP):
이 모든 것이 어렵다면, 클라우드에 특화된 MSP 파트너에게 문의하는 것도 시간을 절약할 수 있는 방법입니다.
오늘날 기업이 비즈니스를 안전하게 운영하기 위해서는 다양한 부분을 다룰 수 있는 클라우드 보안 전략이 필요합니다.
베스핀글로벌은 여러가지 보안 제어와 베스트 프렉티스를 적용하여 클라우드에 있는 고객의 워크로드의 보안을 유지하고 있습니다.
더 많은 정보, 클라우드 보안 전문가에 문의하세요.
베스핀글로벌과 클라우드 매니지먼트에 대해 더 알고 싶다면 info@bespinglobal.com으로 연락 부탁 드립니다.