클라우드의 키워드, ‘사업적인 이득’과 ‘데이터 보안’
클라우드 업체의 보안 정책 잘 이해해 호흡 맞추는 것이 최선
[보안뉴스 문가용] 매체에 등장하는 정보보안 관련 사고들은 대부분 대형 조직들에서 일어난 일들이다. 소니와 JP 모건, 타깃(Target), 백악관처럼 말이다. 그런데 해커들에게는 그러한 구분이 없다. 그래서 중소기업들 역시 많은 공격에 시달리고 있는 것이 현실이다. 시만텍의 조사에 의하면 2015년 한해 동안 일어난 스피어 피싱 공격의 43%가 중소기업을 향한 것으로 알려졌다.
.jpg)
ESG의 분석가인 더그 카힐(Doug Cahill)은 “이런 상황에서 클라우드로의 이주가 계속해서 이루어지고 있으니 중소기업들은 걱정이 시름시름 늘어만 간다”고 말한다. “클라우드 애플리케이션을 악용해 멀웨어를 퍼트리는 악성 해커들이 중소기업을 노릴까봐 노심초사하는 기업들이 정말로 많습니다. 스피어 피싱에 당해 본 가슴, 클라우드에 놀라는 것이죠.”
아이덴티티 보안 전문업체인 CSID 역시 최근 비슷한 설문조사를 진행했는데, 중소기업 응답자의 58%가 사이버 공격을 두려워하고 있으며 51%는 예산을 전혀 배정 못하고 있다고 답했다. 중소기업의 문제는 사이버 공격에 대기업 및 유명 조직들과 다를 바 없이 시달리고 있지만 그에 대처할 자원이 부족하다는 것이다. 이것이 클라우드로의 이주를 불안하게 만들고 있고, 그 때문에 점점 더 경쟁에서 뒤처지게 된다. 그런 장애물들에 막혀 있는 중소기업 사장님들이 클라우드 업체를 결정할 때 고려해야 할 것들 다섯 가지를 정리했다.
1. 데이터 암호화 서비스를 제공하는가? 한다면 어떤 타입의 암호화 기술을 사용하는가?
가장 중요한 데이터라면 저장 위치에 상관없이 무조건 보호받아야 한다. 저장 상태로 가만히 있든 어디론가 전송 중이든 말이다. 데이터 보호에 대해 클라우드 업체가 어떤 기술력을 보유하고 있는지 알아보는 것이 열쇠다. 결국 클라우드니 뭐니 하는 것도 다 데이터에 관한 이야기다. 또, 암호화 하면 ‘원 플러스 원’처럼 따라 들어가는 것이 바로 암호화 키 관리다. 암호화 키를 어떤 식으로 관리하는 지도 알아보는 것이 필수다.
2. 다양한 클라우드 서비스를 안전하게 관리하는 총 책임자는 누구인가?
보통 클라우드를 위한 물리적인 공간과 네트워크 및 서버는 클라우드 서비스 제공 업체가 관리한다. 데이터 관리는 사용자의 몫이라는 것이다. 아마존의 AWS나 마이크로소프트의 애저를 사용해도 마찬가지다. 워크로드 자체의 보안은 사용자의 책임이다. 책임의 구분을 명확히 하는 것은 어떤 계약 상황에도 중요한 일이고, 거기에 더해 클라우드 업체가 자신들의 서비스를 보호하기 위해 어떤 장비를 갖추고 있으며 어떤 툴을 사용하고 있는지 파악할 필요가 있다. 그렇게 하고 나서 데이터 보안에 대한 전략을 수립하는 것이 효율적이다.
3. 접근제어와 함께 필요 이상의 권한을 주지 않기 위해서 어떻게 작업하고 있나?
클라우드 업체들의 인프라를 관리하는 데에 있어 직원들에게 필요 이상의 접근 권한을 부여하는 건 흔히 있는 일이다. 내부자 위협이 항상 도사리고 있는 때에 클라우드 업체 직원의 과도한 권한이 위험 요소가 아닐 수 없다. 하지만 그런 권한이 있어 일이 빨리 처리된다는 측면 역시 간과할 수는 없다. 이 부분 역시 업체와 직접 상담을 하며 조율을 해나갈 필요가 있다.
4. 침투 테스트와 인증서 관리는 어떻게 이루어지나?
클라우드 업체의 보안 관련 정책을 한 장 복사해달라고 요청하는 건 무례한 행위가 아니다. 이 문서 한 장에 많은 것이 들어 있는데, 먼저는 보안에 대해 이 업체가 어떤 태도를 가지고 있는지도 파악이 가능하다. 보안을 심각하게 고려하고 있는 곳이라면 여러 가지 실천 사항들에 대한 구체적인 항목들이 열거되어 있을 건데, 여기에 침투 테스트 및 취약점 스캐닝 주기가 어떻게 명시되어 있는지 눈여겨 보라. 또한, 사건이 터졌을 때 복구가 어떻게 이루어지는지도 꼼꼼히 읽어봐야 되는 부분이다. 인증서 부분도 마찬가지다. 업체가 소위 메이저라고 불리는 표준 인증서를 다 보유하고 있는지도 확인해야 한다.
5. 가격 정책은 어떤가? 사용량에 따라 가격이 정해지는가?
클라우드 업체와 여기까지 이야기를 나누었다면 ‘클라우드를 사용하는 것이 사업에 도움이 될 것’이라는 판단이 어느 정도 섰다는 뜻일 것이다. 즉, 클라우드를 사용하는 궁극적인 목적은 회사에서 기대하는 이득이 있기 때문이라는 건데, 클라우드 사용료가 비싸다면 클라우드로 옮길 필요가 없다. 가장 좋은 가격 정책은 사용한 만큼 돈을 내는 방식이다. 클라우드 업체들도 점점 이런 방식으로 전환되고 있긴 한데, 돌다리도 두들겨 봐야 하지 않겠는가. 회사 전체가 좌지우지되는 결정인데 말이다.
글 : 스티브 주리어(Steve Zurier)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
클라우드 업체의 보안 정책 잘 이해해 호흡 맞추는 것이 최선
[보안뉴스 문가용] 매체에 등장하는 정보보안 관련 사고들은 대부분 대형 조직들에서 일어난 일들이다. 소니와 JP 모건, 타깃(Target), 백악관처럼 말이다. 그런데 해커들에게는 그러한 구분이 없다. 그래서 중소기업들 역시 많은 공격에 시달리고 있는 것이 현실이다. 시만텍의 조사에 의하면 2015년 한해 동안 일어난 스피어 피싱 공격의 43%가 중소기업을 향한 것으로 알려졌다.
ESG의 분석가인 더그 카힐(Doug Cahill)은 “이런 상황에서 클라우드로의 이주가 계속해서 이루어지고 있으니 중소기업들은 걱정이 시름시름 늘어만 간다”고 말한다. “클라우드 애플리케이션을 악용해 멀웨어를 퍼트리는 악성 해커들이 중소기업을 노릴까봐 노심초사하는 기업들이 정말로 많습니다. 스피어 피싱에 당해 본 가슴, 클라우드에 놀라는 것이죠.”
아이덴티티 보안 전문업체인 CSID 역시 최근 비슷한 설문조사를 진행했는데, 중소기업 응답자의 58%가 사이버 공격을 두려워하고 있으며 51%는 예산을 전혀 배정 못하고 있다고 답했다. 중소기업의 문제는 사이버 공격에 대기업 및 유명 조직들과 다를 바 없이 시달리고 있지만 그에 대처할 자원이 부족하다는 것이다. 이것이 클라우드로의 이주를 불안하게 만들고 있고, 그 때문에 점점 더 경쟁에서 뒤처지게 된다. 그런 장애물들에 막혀 있는 중소기업 사장님들이 클라우드 업체를 결정할 때 고려해야 할 것들 다섯 가지를 정리했다.
1. 데이터 암호화 서비스를 제공하는가? 한다면 어떤 타입의 암호화 기술을 사용하는가?
가장 중요한 데이터라면 저장 위치에 상관없이 무조건 보호받아야 한다. 저장 상태로 가만히 있든 어디론가 전송 중이든 말이다. 데이터 보호에 대해 클라우드 업체가 어떤 기술력을 보유하고 있는지 알아보는 것이 열쇠다. 결국 클라우드니 뭐니 하는 것도 다 데이터에 관한 이야기다. 또, 암호화 하면 ‘원 플러스 원’처럼 따라 들어가는 것이 바로 암호화 키 관리다. 암호화 키를 어떤 식으로 관리하는 지도 알아보는 것이 필수다.
2. 다양한 클라우드 서비스를 안전하게 관리하는 총 책임자는 누구인가?
보통 클라우드를 위한 물리적인 공간과 네트워크 및 서버는 클라우드 서비스 제공 업체가 관리한다. 데이터 관리는 사용자의 몫이라는 것이다. 아마존의 AWS나 마이크로소프트의 애저를 사용해도 마찬가지다. 워크로드 자체의 보안은 사용자의 책임이다. 책임의 구분을 명확히 하는 것은 어떤 계약 상황에도 중요한 일이고, 거기에 더해 클라우드 업체가 자신들의 서비스를 보호하기 위해 어떤 장비를 갖추고 있으며 어떤 툴을 사용하고 있는지 파악할 필요가 있다. 그렇게 하고 나서 데이터 보안에 대한 전략을 수립하는 것이 효율적이다.
3. 접근제어와 함께 필요 이상의 권한을 주지 않기 위해서 어떻게 작업하고 있나?
클라우드 업체들의 인프라를 관리하는 데에 있어 직원들에게 필요 이상의 접근 권한을 부여하는 건 흔히 있는 일이다. 내부자 위협이 항상 도사리고 있는 때에 클라우드 업체 직원의 과도한 권한이 위험 요소가 아닐 수 없다. 하지만 그런 권한이 있어 일이 빨리 처리된다는 측면 역시 간과할 수는 없다. 이 부분 역시 업체와 직접 상담을 하며 조율을 해나갈 필요가 있다.
4. 침투 테스트와 인증서 관리는 어떻게 이루어지나?
클라우드 업체의 보안 관련 정책을 한 장 복사해달라고 요청하는 건 무례한 행위가 아니다. 이 문서 한 장에 많은 것이 들어 있는데, 먼저는 보안에 대해 이 업체가 어떤 태도를 가지고 있는지도 파악이 가능하다. 보안을 심각하게 고려하고 있는 곳이라면 여러 가지 실천 사항들에 대한 구체적인 항목들이 열거되어 있을 건데, 여기에 침투 테스트 및 취약점 스캐닝 주기가 어떻게 명시되어 있는지 눈여겨 보라. 또한, 사건이 터졌을 때 복구가 어떻게 이루어지는지도 꼼꼼히 읽어봐야 되는 부분이다. 인증서 부분도 마찬가지다. 업체가 소위 메이저라고 불리는 표준 인증서를 다 보유하고 있는지도 확인해야 한다.
5. 가격 정책은 어떤가? 사용량에 따라 가격이 정해지는가?
클라우드 업체와 여기까지 이야기를 나누었다면 ‘클라우드를 사용하는 것이 사업에 도움이 될 것’이라는 판단이 어느 정도 섰다는 뜻일 것이다. 즉, 클라우드를 사용하는 궁극적인 목적은 회사에서 기대하는 이득이 있기 때문이라는 건데, 클라우드 사용료가 비싸다면 클라우드로 옮길 필요가 없다. 가장 좋은 가격 정책은 사용한 만큼 돈을 내는 방식이다. 클라우드 업체들도 점점 이런 방식으로 전환되고 있긴 한데, 돌다리도 두들겨 봐야 하지 않겠는가. 회사 전체가 좌지우지되는 결정인데 말이다.
글 : 스티브 주리어(Steve Zurier)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
