2023년 4월 10일
로드먼 라메자니안 - 글로벌 클라우드 위협 책임자, Skyhigh Security
- 이에 대해 할 수 있는 일은 다음과 같습니다.
조직의 데이터 운영 및 보안 방식이 전 세계적으로 큰 변화를 겪고 있는 상황에서, 연례 보고서에서 추적하는 여러 주요 보안 지표에서 2022년에 큰 변화가 있었던 것은 당연한 일입니다: 데이터 딜레마: 클라우드 도입과 위험 보고서.
먼저 이러한 변화를 주도하는 트렌드와 현재 진행 중인 주요 패러다임 전환에 대해 큰 그림으로 살펴보겠습니다.
클라우드 도입 가속화
클라우드 기반 데이터 및 워크플로로의 전환은 적어도 10년 전부터 진행되어 왔지만, 팬데믹은 의심할 여지 없이 많은 조직이 하이브리드 및 원격 근무 환경을 예상보다 빠르게 도입하도록 하는 촉매제 역할을 했습니다. 이는 보안에 눈에 띄는 영향을 미쳤습니다. 이러한 전 세계적인 변화의 여파로 많은 조직은 발생한 보안 문제를 해결하기 위해 가파른 학습 곡선을 그리고 있습니다.
새로운 패러다임의 등장
보안은 근본적으로 데이터를 보호하는 것입니다. 이제 데이터는 어디에나 존재하며 기존 기업 네트워크 외부에 존재하기 때문에 기존의 방식으로는 데이터를 보호하는 것이 불가능해졌습니다. 보고서에 참여한 조직의 90%가 한 번 이상의 보안 침해를 경험했고, 89%가 보안 위협을 경험했으며, 80%가 데이터 도난을 경험했다는 사실이 이를 입증합니다. 또한, 설문조사에 참여한 조직 중 무려 75%가 2022년에 세 가지 보안 문제를 모두 경험한 것으로 나타났습니다.
이제 분명한 것은 데이터 소스에서만 데이터를 보호하는 데 중점을 두는 표준 접근 방식이 근본적으로 바뀌고 있다는 것입니다. 데이터가 저장되는 경계가 아니라 데이터 자체를 보호하는 데 중점을 두는 새로운 패러다임이 부상하고 있습니다. 제로 트러스트 아키텍처의 개념은 이러한 패러다임 전환의 중요한 부분이며, 이러한 대규모 디지털 전환으로 인해 발생한 많은 문제를 해결합니다.
조직은 수많은 보안 문제에 직면해 있습니다.
이번 보고서의 조사 결과에 따르면 클라우드 데이터 보안의 복잡성과 과제는 매우 다양합니다. 이번 연구에서 조직이 보고한 보안 문제는 다음과 같습니다:
- 팀원 간에 누가 어떤 데이터에 대한 책임이 있는지에 대한 가정과 잘못된 의사소통이 흔히 발생합니다.
- 현재 사용 중인 SaaS 서비스의 평균 51%가 IT 부서의 감독 없이 위탁 운영되고 있으며, 데이터에 대한 가시성 부족이 이러한 SaaS 서비스의 46%에 영향을 미치고 있습니다.
- 데이터에 대한 적절하거나 일관된 보안 제어가 부족하고 관리 문제가 수반됩니다.
- 민감한 데이터의 평균 61%가 퍼블릭 클라우드에 저장되고 있으며, 이는 지난 보고서의 48%에서 증가한 수치입니다.
- 섀도 IT 위험은 75%의 조직이 우려하고 있지만, 60%의 조직은 생산성을 이유로 직원들이 민감한 데이터를 개인 디바이스에 다운로드하는 것을 허용하고 있습니다.
- 통합되지 않은 포인트 솔루션을 함께 사용하면 관리가 복잡해지고 보안 공백이 생깁니다.
- 보안팀은 어려운 채용 환경 속에서 인력 부족에 시달리고 있습니다.
다양한 문제가 발생하고 있는 상황에서 많은 조직에서 데이터 침해, 위협, 도난을 보고하는 것은 당연한 일입니다. 사이버 범죄자들은 클라우드에 저장되는 민감한 데이터의 확산을 이용하기 위해 혈안이 되어 있습니다.
더 많은 민감한 데이터가 위험에 처해 있습니다
전반적으로 설문조사에 참여한 조직에서 사용 중인 퍼블릭 클라우드 서비스의 평균 개수가 50% 증가했습니다. 2019년에는 20개에서 2022년에는 30개로 증가했습니다. 응답자의 거의 절반이 이러한 서비스에 경쟁사 데이터, 개인 고객 정보 및/또는 내부 문서를 저장하고 있다고 답했습니다. 3분의 1 이상이 개인 직원 정보, 독점 지적 재산 및/또는 정부 식별 정보를 저장하고 있다고 답했습니다. 또한 응답자의 약 4분의 1은 이러한 퍼블릭 클라우드 서비스에 결제 카드 정보, 네트워크 비밀번호 및/또는 의료 기록을 저장하고 있다고 답했습니다.
이러한 데이터의 도난은 기업의 평판, 운영 능력, 재무 상태에 손상을 줄 수 있으며, 특히 규제 당국이 데이터 보안에 실패한 기업에 벌금을 부과하는 경우 더욱 그렇습니다. 사이버 위협과 함께 규정 준수 요건도 증가하고 있으므로 조직에서 보안을 우선시하는 것이 그 어느 때보다 중요해졌습니다.
이를 더욱 강화하기 위해 가트너는 2024년까지 전 세계 인구의 75%가 개인정보 보호 규정의 적용을 받는 개인 데이터를 보유하게 될 것으로 예측하고 있습니다.
사이버 보안에 대한 투자를 늘리고 있는 기업들
이러한 문제를 해결하기 위해 조직들은 사이버 보안에 대한 직원 교육(52%), 재해 복구/DLP 계획 수립(47%), 사이버 보험 투자 확대(47%) 등 다양한 솔루션에 눈을 돌리고 있습니다. 41%는 제로 트러스트 보안 모델로 전환할 계획이라고 답했으며, 39%는 마이크로서비스 접근 방식으로 전환할 계획이라고 답했습니다.
특히, 조사 대상 조직의 42%는 cloud access security broker (CASB) 솔루션을, 28%는 보안 웹 게이트웨이(SWG) 솔루션을, 23%는 data loss prevention (DLP) 및 섀도 IT가 발견되면 암호화 조치를 사용하고 있습니다.
절반 이상의 조직(56%)이 사이버 보안에 대한 투자를 늘릴 계획이라고 답했습니다. 이는 모두 좋은 일이지만, 현재의 사이버 보안 투자로는 클라우드에서 데이터를 안전하게 유지하는 데 따르는 복잡성을 감당할 수 없음을 나타냅니다. 설문조사의 증거가 이를 뒷받침합니다.
결론
새로운 도전에는 새로운 접근 방식과 솔루션이 필요합니다.
포인트 제품에서 발생하는 복잡성과 잠재적인 보안 공백에 대한 대안으로 CASB, SWG, DLP 솔루션과 zero trust network access (ZTNA) 및 클라우드 네이티브 애플리케이션 보호(CNAPP)를 하나의 통합 플랫폼으로 결합한 보안 서비스 에지(SSE) 솔루션을 권장합니다. 보안을 단일 공급업체 솔루션으로 단순화하고 통합함으로써 단일 대시보드에서 보안을 중앙에서 관리할 수 있습니다. SSE 솔루션은 보고서에서 발견된 대부분의 보안 문제를 해결하는 동시에 보안팀의 효율성과 생산성을 극대화합니다.
설문조사에서 알 수 있듯이, 조직당 평균 2개의 역할이 클라우드의 데이터 보안을 책임지고 있습니다. 여기에는 CTO(48%), CIO(37%), IT 보안 관리자(35%), IT 네트워크 관리자(29%), IT 관리자(28%), CISO(22%), IT 아키텍트(6%)가 포함됩니다. 여러 사람이 같은 일을 담당하면 작업 소유권이 혼란스러워지고 위험한 가정으로 이어질 수 있습니다. SSE 플랫폼은 팀원 간의 역할과 책임 지정을 크게 간소화하여 누락되는 부분이 없도록 하고 관련 보안 공백을 메울 수 있습니다.
데이터 보안은 그 어느 때보다 어려운 과제입니다. 하지만 제로 트러스트 아키텍처의 기반이 되는 SSE 플랫폼을 사용하면 보안을 유지하면서 확장성, 비용 절감, 민첩성 등 클라우드의 이점을 누릴 수 있습니다.
자세한 내용은 데이터 딜레마: 클라우드 도입과 위험 보고서.
Skyhigh Security, 데이터 딜레마 위험 보고서 블로그, 메리 칼튼 작성, Envision 기술 마케팅, 2023년 3월 22일, V1
블로그로 돌아가기