IBM "정보 유출 대응 속도, 클라우드 보안 성숙도가 좌우"

http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=001&oid=030&aid=0002887841

IBM "정보 유출 대응 속도, 클라우드 보안 성숙도가 좌우"

IBM이 보안 준비 없이 클라우드를 도입할 경우 책임 소재가 불분명해지고 위험 대응이 어려워진다고 경고했다.

IBM 엑스포스 보안 연구소는 지난 1년간 자체 대응한 클라우드 보안 사건을 심층 분석해 보고서를 발표했다. 클라우드와 보안 성숙도가 높은 기업이 데이터 유출을 더욱 빠르게 식별하고 방지했다. 가장 많은 경험을 가진 조직이 가장 부족한 경험을 가진 조직보다 2배(평균 125일 대 250일) 빨리 데이터 유출을 파악하고 대응했다.

시장조사업체 IDC에 따르면 지난해 3분의 1 이상 기업이 클라우드 제공업체 16곳으로부터 30종 이상 클라우드 서비스를 도입했다. 이런 분산된 환경에서는 기존 보안 정책이 실효성을 잃고 클라우드 환경 전반에 대한 가시성 확보가 어려워진다.

이와 함께 IBM 기업가치연구소는 기업 대부분이 클라우드 보안에 관해 클라우드 제공업체에 지나치게 의존하지만 데이터 유출 사고 발생 시 대부분 이용자 책임으로 귀결된다고 밝혔다. 지난해 발생한 85% 이상 데이터 유출사고 사례가 이에 해당된다.

사이버 범죄자가 클라우드에 침투할 때 가장 많이 이용하는 경로는 클라우드 기반 애플리케이션(앱)으로 조사됐다. 사이버 범죄자는 구성 오류뿐만 아니라 앱 내부 취약점을 이용한다. 이런 취약점은 직원이 비승인 채널을 통해 새 클라우드 앱을 임의로 설치하기 때문에 잘 드러나지 않는다.

랜섬웨어는 클라우드 위협 가운데 다른 악성코드보다 3배 이상 배포됐다. 크립토마이너와 봇넷 악성코드가 뒤를 이었다.

다양한 클라우드 환경에서 사이버 보안을 최적화하려면 △협업 기반 거버넌스와 문화 조성 △위험 기반 가시성 확보 △강력한 접근 관리 적용 △적합한 툴 활용 △보안 프로세스 자동화 △선제적 시뮬레이션 활용 등이 필요하다.

아비지트 차크라보티 IBM 보안서비스사업부 클라우드 보안 컴피턴시 리더는 “기업은 클라우드를 통해 속도, 확장성, 민첩성을 모두 갖춘 보안을 실현할 수 있다”면서 “이를 위해 새로운 기술에 최적화한 전략을 수립해야 하며 클라우드 보안 관련 기술과 정책 이해, 외부 보안 위협 파악에서 시작해야 한다”고 말했다.

 

--------------------------

- IBM이 보안 준비 없이 클라우드를 도입 할 경우 책임 소재가 불분명해지기 때문에 위험 대응이 어렵다고함

- 이럴경우 기존 보안정책의 실효성을 잃을수도 있으며 실질적인 클라우드 환경 전반에 대한 가시성 확보가 어려워질 것

- IBM 가치연구소는 기업 대부분이 클라우드 보안에 관해 클라우드 제공업체에 지나치게 의존하지만 데이터 유출 사고 발생시 대부분 이용자 책임으로 귀결된다고 밝힘.

 

5G의 상용화와 코로나19로인한 재택근무 등이 증가되면서 클라우드 서비스가 증가하고 있다.

마이크로소프트, 아마존에 이어 구글까지 클라우드 시장에 합류하면서 그 시장의 규모는 점차 확대될 것이다.

많은양의 이용자가 늘어난다는건 분명 좋은것이겠지만, 그만큼 문제점도 많이 발생 할 수 있다는점.

데이터 유출 사고 발생시 대부분 이용자 책임으로 귀결된다는것이 사용자들의 입문을 조금은 망설이게 할 수도...?

다른 이야기지만 통합적으로 관리되는 토스나 뱅크샐러드 등을 내가 이용안하는 이유도 비슷한 맥락이라 볼 수 있다.

클라우드 시장에서 유리한 위치를 잡으려면 보안에 대한 명확성이 필요하게 될 지도 모르겠군