[아이티데일리] 디지털 트랜스포메이션은 최근 모든 기업이 직면하고 있는 최우선 과제다. 기업마다 이런 과제에 따라 적극적으로 클라우드 전환을 추진하는 곳도 있고 변화에 떠밀려 어쩔 수 없이 클라우드를 도입하는 경우도 있다. 하지만 어떤 경우에든 정보보호최고책임자(CISO, Chief Information Security Officer)는 자신이 속한 기업과 파트너, 고객의 정보를 안전하게 보호해야 한다.

정보 생태계가 더욱 복잡해지고 새로운 보안 위협 요소가 매일 등장하면서 정보를 안전하게 보호하고 기업의 신뢰를 유지하는 일은 점점 더 어려워지고 있다. 많은 기업과 CISO가 보안을 위해 클라우드 도입을 고려하는 것이 결코 우연이 아니다. 이미 많은 CISO는 클라우드 서비스 제공업체가 보안 인프라 및 애플리케이션 개발을 위해 인력과 프로세스에 더 많은 투자를 하고 있는 것을 알고 있으며, 이를 통해 보안 접근 방식을 간소화하고 현대화할 수 있는 것은 물론 정보 보안을 더욱 강화할 수 있다는 점에 주목하고 있다.

기업의 안전하고 성공적인 디지털 트랜스포메이션을 위해 CISO는 클라우드 환경에 적합한 최신 보안 모델과 인프라를 구축하고 이를 지속적으로 검토하고 개선할 수 있는 보안 지향적 문화 도입을 추진해야 한다. 아울러 보안에 대한 전통적인 사고 방식에서 벗어나 조직을 교육하는 데 많은 시간을 투자해야 한다. 이러한 선제적 투자가 클라우드 보안 정책을 실행할 때 실질적인 도움이 된다.

제로 트러스트 모델

전통적인 보안 접근 방식은 보안 경계를 강화하고 위협이 경계 안으로 들어오는 것을 차단하는 데 초점을 둔다. 이러한 경계 모델은 기업이 내부 애플리케이션과 인프라를 구성하고 보호하는 것을 간과하고 이에 대한 투자를 크게 낮추는 결과로 이어질 수 있다. 이러한 방어 기제는 현대 보안 위협의 현실을 제대로 반영하지 못한 모델이다. 클라우드 보안을 비롯한 모든 현대적 보안은 다른 개념으로 접근해야 한다. 오늘날 정보 생태계는 경계가 명확하지 않기 때문에 이러한 전통적인 방식으로는 정보를 보호할 수 없다.

기업은 경계 보안 대신 ‘제로 트러스트(Zero Trust) 모델’을 도입해야 한다. 제로 트러스트란 보안 경계를 통과한 데이터와 트랜잭션을 신뢰하지 않고 시스템 내외부의 모든 데이터와 작업을 검증하는 것을 말한다. 제로 트러스트는 자동화 기반의 지속적 검증 작업을 통해 최신 위협 요소로부터 정보를 더욱 안전하게 보호한다.

구글은 자사의 모든 애플리케이션 및 데이터, 사용자를 보호하기 위해 지난 10년 동안 제로 트러스트 기술을 내부적으로 구현해왔다. 구글 애플리케이션 보호에 활용되는 제로 트러스트 액세스 모델 ‘비욘드코프(BeyondCorp)’는 네트워크의 연결 상태뿐만 아니라 사용자 ID, 컨텍스트, 디바이스 상태 등을 모두 검증해 안전한 접속 환경을 구축한다. 또한 사용자 정보의 진위여부를 확인하는 강력한 피싱 방지 인증과 사용자와 비욘드코프 보호 리소스 간 모든 상호작용에 대한 지속적인 인증을 요구하며 애플리케이션 간 엔드투엔드(End-to-End) 보안을 구현한다. CISO는 뛰어난 확장성과 개방성, 안전성을 갖춘 제로 트러스트 플랫폼 도입을 통해 기업의 보안 수준을 향상시키고, 관리자 및 사용자 경험을 혁신할 수 있다.

리스크(risk) 정보에 기반한 접근 방식

클라우드 보안은 리스크에 대해서도 다른 관점을 제시한다. 전통적인 보안 접근 방식은 종종 리스크 회피형(risk-averse) 방식을 취하며 특히 기존 보안 인프라가 완화할 수 없는 위협 요소를 조심스럽게 피한다. 하지만 기존 방식으로는 계속해서 등장하는 새로운 위협과 공격에 취약한 영역을 막을 수 없다. 클라우드 보안은 피할 수 없는 위협 요소가 존재한다는 사실을 인식하고 리스크 정보에 기반한(risk-informed) 접근 방식을 통해 정보를 보호한다.

리스크 정보에 기반한 보안은 위험을 분석하고 평가한 후 그 정보를 기반으로 리스크를 관리한다. CISO는 기업과 밀접하게 관련된 리스크 요소를 자세히 설명하는 리스크 분류 체계를 개발해 해당 요소에 피해를 완화하기 위한 제어 방식을 매핑할 수 있다. 리스크 정보에 기반한 접근 방식은 이미 알고 있는 리스크를 해결하는 것 보다 가장 중요한 보안 리스크를 해결하는 데 도움을 준다.

클라우드 서비스 제공업체는 최신 보안 위협을 완화하는 데 필요한 많은 제어 방식과 툴을 개발하고 관리하면서 리스크 정보에 기반한 접근 방식을 더욱 쉽고 효율적으로 만든다. 예를 들어 클라우드 서비스 제공업체는 접근 로그, 방화벽 로그 등 온프레미스 환경에서 개발이 어렵고 비용이 많이 발생하는 핵심 보안 원격 측정 기술을 지원한다. 또한 인증 및 권한 부여 키와 관련된 강력한 보안 프로세스를 지속적으로 업데이트한다.

클라우드 보안을 위한 기업 문화

보안을 간소화하고 현대화하는 것은 단순히 기술 및 보안 구현 방식을 바꾸는 것만을 의미하지 않는다. 기업의 사고방식과 일하는 방식 또한 함께 변화해야 한다.

CISO는 보안 조직과 기업을 클라우드 보안 환경으로 이끌기 위해 업무 방식과 리스크 관리 방식, 보안 인프라 구축 방식에 대해 다르게 생각해야 한다. 또한 전사적으로 보안 문화를 도입하고 보안에 대한 기업의 생각과 조직 편성 방식에 대한 변화를 관리해야 한다.

강력한 보안 문화를 갖춘 기업은 ▲보안 최우선 문화 ▲책임 문화 ▲지식 공유 문화 ▲최악의 상황에 대비하는 문화 ▲공개적이고 투명한 검토 문화 ▲지속가능성 중시 문화를 공유한다.

■ 보안 최우선 문화: 보안은 차후 고려 대상이나 갖고 있으면 좋은 기능, 개발 단계 마지막에 추가하는 기능이 아니다. 보안은 모든 IT 업무의 초기 단계부터 포함되어야 한다. 구글은 초기 설계 문서에서부터 출시에 이르기까지 모든 개발 단계에서 보안 검토를 요구한다.
■ 책임 문화: 보안은 다른 사람의 문제이거나 보안팀이 개발팀에 요구하는 추가 업무가 아니다. 모든 사람이 보안 제품과 기능을 개발하는 책임을 공유해야 한다.
■ 지식 공유 문화: 보안에 대한 교육, 문서, 정보가 전사적으로 공유되어야 한다. 팀원들은 정기적으로 보안이 잘 적용된 사례를 공유해야 한다. 구글 보안 팀의 경우 전사 차원 교육과 팀별 보안 교육을 주도하고 있다.
■ 최악의 상황에 대비하는 문화: 최악의 시나리오에 대비하고 실제 발생 시 이에 대응할 준비가 되어 있어야 한다. 장애 시나리오를 예상하고 대응 계획에 대한 폭넓은 이해와 토론이 필요하다. 구글은 이러한 상황에 대비하기 위해 오래 전부터 재해 시나리오를 시뮬레이션 해 왔다.
■ 공개적이고 투명한 검토 문화: 공개적이고 투명하며 생산적인 코드 및 설계 검토 문화가 기업 전반에 자리 잡아야 한다. 이러한 문화를 가진 기업은 보안 측면에서도 보다 건설적인 논의를 이어갈 수 있다.
■ 지속가능성의 문화: 일상적인 운영 업무와 미래를 위한 개선 업무 사이에서 IT 업무의 균형이 잘 잡혀있어야 한다.

클라우드 도입만으로 디지털 트랜스포메이션이 완성되는 것이 아니다. CISO는 클라우드 환경에서 발생할 수 있는 여러 보안 위협 요소를 충분히 인지하고 그에 적합한 전략과 솔루션을 세워야 한다. 단순한 보안 설정 오류, 내부 직원의 작은 실수만으로도 막대한 수준의 기업 정보가 유출되고 기업과 브랜드의 신뢰도에 큰 타격을 입힐 수 있다.

CISO는 클라우드 전환을 기업 보안 혁신의 모멘텀으로 삼아 선제적 계획을 통해 제로 트러스트와 리스크 정보에 기반한 접근 방식을 도입하고 보안 중심의 문화가 전사적으로 정착할 수 있도록 힘써야 한다. 보안 위험 및 목표에 대한 전 직원의 상호 이해를 바탕으로 클라우드 서비스 제공업체와 협력해 클라우드 환경에 특화된 보안 모델을 실행한다면 성공적인 디지털 트랜스포메이션을 수행할 수 있을 것이다.