2023년 7월 18일
로드먼 라메자니안 - 글로벌 클라우드 위협 책임자 | | Skyhigh Security
금융 서비스 업계는 하이브리드 업무가 계속 유지됨에 따라 원격 근무의 활성화와 관련된 위험 증가에 적응하고 있습니다. 많은 진전이 있었지만, 최근 보고서("Skyhigh Security 클라우드 도입 및 위험 보고서: 금융 서비스 에디션"에 따르면 금융 서비스 업계는 클라우드 보안을 개선하기 위해 아직 갈 길이 멀다고 합니다.
금융 서비스 조직은 관리하는 데이터의 특성상 다른 산업에 비해 침해, 위협, 데이터 도난에 특히 취약하며, 보안 문제를 겪고 있는 조직의 비율도 증가 추세에 있습니다. 이 보고서를 통해 업계가 공격의 주요 표적임을 인식하고 있기 때문에 일반적으로 다른 산업에 비해 높은 보안 성숙도를 보이고 있지만, 특히 클라우드 서비스 및 애플리케이션의 소중한 데이터를 보호하는 영역에서 여전히 문제가 남아 있음을 알 수 있습니다. 무엇이 문제를 야기하고 있으며 이를 해결하기 위해 무엇을 할 수 있을까요? 이번 연구를 자세히 살펴보겠습니다.
금융 서비스 회사는 고가의 자산을 보유하고 있어 더 빈번한 공격 대상이 됩니다.
은행, 보험사, 증권사, 신용카드사와 같은 금융 서비스 회사는 대량의 결제 카드 정보 및 기타 민감한 데이터를 저장하기 때문에 특히 공격에 취약합니다. 따라서 정치적 의제를 추진하기 위해 공격을 수행하는 국가적 행동주의자나 금전적 이득을 노리는 사이버 범죄자의 공격에 취약할 수밖에 없습니다. 다른 분야에 비해 금융 서비스는 사이버 보안 침해, 위협, 데이터 도난의 세 가지 조합을 경험했을 가능성이 더 높습니다: 78%로 전체 부문의 75%에 비해 높습니다.
하이브리드 근무로의 전환으로 인해 공격 표면과 보안 위험이 증가했습니다.
대부분의 다른 산업과 마찬가지로 금융 서비스 업계도 보안상의 단점에도 불구하고 하이브리드 근무의 장점 때문에 하이브리드 근무를 도입했습니다. 다음 보고서의 통계에서 알 수 있듯이 공격 표면 증가, SaaS 애플리케이션 문제, 섀도 IT는 하이브리드 업무로의 전환이 보안 위험을 증가시킨 구체적인 방법 중 일부입니다:
- 2019년에는 사용 중인 퍼블릭 클라우드 서비스의 평균 수가 20개였지만, 2022년에는 31개로 늘어날 것으로 예상됩니다. 이는 3년 만에 50% 이상 증가한 수치입니다.
- SaaS 애플리케이션과 서비스를 사용하는 기업 중 보안 문제를 경험한 비율은 2019년 82%에서 2022년 95%로 13% 증가했습니다. SaaS의 보안 문제로 인한 위협의 위험은 다른 산업보다 금융 서비스에 더 큰 영향을 미칩니다.
- 금융 서비스 기업의 82%는 섀도 IT가 데이터 보안 능력을 저해한다고 인정합니다.
이러한 이유로 금융 서비스 회사는 제로 트러스트 원칙에 기반한 데이터 중심 security service edge (SSE) 클라우드 보안 플랫폼을 채택하여 웹, 클라우드 및 비공개 애플리케이션 전반에서 데이터를 보호할 것을 권장합니다. 이 업계에서 SaaS의 문제는 데이터에 대한 가시성과 제어에 대한 더 큰 필요성을 나타냅니다. SSE 플랫폼은 일관된 제어 및 정책을 통해 이러한 기능을 제공합니다.
금융 서비스는 규제가 엄격한 산업입니다.
이 업계가 직면한 보안 위험의 고조와 더불어 규정 준수는 또 다른 복잡성을 더합니다. 보안 담당 임원은 새로운 기술이나 보안 도구를 도입할 때 조직의 규정 준수 관리 능력에 어떤 영향을 미칠지 항상 염두에 두어야 합니다. 규정 준수를 간소화하기 위해 금융 서비스 기업은 인력과 함께 빠르게 확장하고 규정 준수 보고를 간소화할 수 있는 통합 기술을 갖춘 솔루션을 모색할 것을 권장합니다.
사이버 보안 인력 확보는 계속되는 과제입니다.
모든 업계가 숙련된 보안 전문가를 찾는 데 어려움을 겪고 있지만, 금융 서비스 업계는 그 고통을 더욱 크게 느끼고 있습니다. 금융 서비스 업계 응답자의 96%는 숙련된 보안 인력 부족으로 인해 클라우드 컴퓨팅 사용 보안에 영향을 받고 있다고 답했습니다. 이는 전체 업계 동종 업계의 92%가 같은 문제를 겪고 있는 것과 비교하면 매우 높은 수치입니다.
이러한 문제를 해결하기 위해 금융 서비스 회사는 자동화된 도구와 프로세스를 활용하는 클라우드 보안 플랫폼 솔루션을 찾는 것이 좋습니다. 이렇게 하면 오탐을 줄이고 데이터 분류를 다시 만들어야 하는 등의 중복 작업을 제거하여 기존 인력이 보다 효율적으로 작업할 수 있습니다. 또한 중앙에서 관리되는 통합 플랫폼은 확장성이 훨씬 뛰어나며 웹과 클라우드 전반에서 정책을 만들고 확장하는 프로세스를 간소화합니다.
이 보고서는 다른 산업과 마찬가지로 금융 서비스 회사에서도 민감한 데이터가 클라우드에 저장되거나 사용되는 위치를 누가 모니터링하고 제어하는지에 대한 불확실성이 있을 수 있다고 지적합니다. 평균적으로 두 가지 역할(CIO와 CTO)이 이에 관여합니다. 그러나 설문조사에 참여한 금융 서비스 응답자의 35%~42%는 클라우드 보안이 IT 관리자와 IT 보안 관리자의 업무이기도 하다고 답했습니다. 역할과 소유권에 대한 명확한 정의가 부족하면 보안 공백과 취약점이 발생할 수 있습니다. 이것이 바로 클라우드 보안에 대한 통합된 접근 방식이 특히 금융 서비스에 중요한 또 다른 이유입니다.
금융 서비스 회사의 클라우드 보안을 관리하는 사람들은 시대를 앞서 나갈 수 있는 방법을 적극적으로 찾고 있는 것으로 보입니다. 예를 들어, 금융 서비스 기업은 다른 산업보다 cloud access security broker (CASB) 솔루션을 활용하여 IT에서 승인하지 않은 클라우드 사용을 모니터링할 가능성이 높습니다.
금융 서비스 기업은 CASB, data loss prevention (DLP), 방화벽, 웹 게이트웨이 등 여러 보안 기술을 하나의 강력하고 종합적인 시스템으로 통합하는 SSE 클라우드 보안 플랫폼을 주도적으로 구현함으로써 민감한 고가치 데이터를 더욱 안전하게 보호하는 동시에 클라우드의 이점을 누릴 수 있습니다.
자세한 내용은 Skyhigh Security 클라우드 도입 및 위험 보고서
금융 서비스 에디션.
보고서 다운로드
블로그로 돌아가기