클라우드 DB 보호하는 클라우드 네이티브 기술 주목
[데이터넷] 경제 불확실성은 보안위협을 높인다. 경기를 예측할 수 없는 기업이 신규 채용을 줄이면 기존 인력이 과로하게 되고, 퇴사로 이어진다. 퇴사자로 인한 데이터 유출 사고가 늘어나고 기업 신뢰가 하락한다. 이러한 악순환을 막기 위해서는 내부자 보안을 강화해 보안위협을 낮춰야 한다. 강력한 통제 중심 보안이 아니라 사람들의 행위를 분석하고 이해해 정책위반을 줄이는 한편, 데이터가 유출된다 해도 비즈니스를 보호할 수 있는 방법이 필요하다.<편집자>
암호화와 키관리는 가장 안전한 데이터 보호 방법이지만, 현실적으로 모든 데이터를 암호화할 수 없으며, 암호화로 사용되는 리소스에 비해 보안 효과가 떨어지는 경우도 있다.
대규모 로그 데이터의 경우, 암호화 시 엄청난 리소스를 사용하게 되는데, 필요한 데이터를 검색할 때 마다 복호화 해야 하기 때문에 사용이 매우 불편해 비현실적이다.
그래서 데이터 접근통제를 강화해 암호화되었거나 암호화되지 않은 데이터에 대한 일관된 보호가 가능하도록 해야 한다. 데이터를 식별, 분류하고, 보안 수준에 따라 정책을 적용해 접근 가능한 권한과 범위, 시간을 규정하고 집행하는 접근통제 기술이 데이터 보호의 필수 조건이다.
우리나라는 개인정보보호법으로 인해 중요 개인정보에 대한 접근통제 기술이 일찍부터 사용돼 왔다. DBMS에 대한 접근통제 기술을 제공해 온 피앤피시큐어가 비정형 데이터나 개인정보에 대한 접근통제 기능까지 갖추면서 모든 유형의 데이터를 보호하는 전문 기업으로 성장하고 있다.
피앤피시큐어는 접근통제 기술을 서버, OS, 계정까지 확대해 통합 계정 및 접근통제(Unified-IAM)를 소개한다. 피앤피시큐어의 통합 솔루션은 금융사를 중심으로 빠르게 확장되고 있으며, 클라우드 지원 범위를 넓혀 일반 기업에도 다수 공급됐다.
클라우드 네이티브 DB를 위한 접근통제 솔루션도 성장세를 높이고 있다. 체커의 ‘쿼리파이(QueryPie)’는 AWS, 애저, GCP 등 클라우드 데이터베이스를 동기화해 접근통제 기술을 적용한다.
다양한 NoSQL 계열의 데이터베이스와 레거시 데이터베이스 등 20여가지 데이터베이스를 지원하며, 중앙집중적인 데이터베이스 접근통제 정책을 운영할 수 있게 한다. 옥타, 원로그인, LDAP 등 기업·기관에서 사용하는 계정관리(IdP) 시스템과 SSO 연동이 가능하며, 사용자 계정을 쿼리파이 서비스에서 통합 관리할 수 있다.
야놀자, 카카오페이, 무신사, 그라운드엑스 등 금융, 엔터테인먼트, 이커머스 및 다양한 산업군의 고객에게 공급됐다. ISMS-P, ISO27001, CSA-STAR, PCI-DSS 등 국내외 필수 인증을 확보해 컴플라이언스 요건도 만족하고 있다. 더불어 메가존클라우드, 한국아이티진흥 등 국내 주요 MSP 및 유통기업과 함께 고객의 클라우드 이행을 위한 베스트 프랙티스를 제안하고 있다.
황인서 체커 대표는 “클라우드 데이터는 클라우드 네이티브 기술로 개발된 보안 기술이 필수다. 그래서 쿼리파이가 글로벌 서비스를 제공하는 클라우드 네이티브 비즈니스 기업에 공급돼 글로벌 규제를 만족하면서 안전하게 클라우드 사업을 영위할 수 있게 하고 있다”며 “데이터 유출의 상당부분이 내부자에 의해 발생하고 있으며, 클라우드 확장으로 그 비중과 빈도가 더 높아지고 있다. 클라우드 데이터 보호를 위해 쿼리파이가 필수라는 사실을 많은 고객들이 이해하고 도입을 서두르고 있다”고 밝혔다.
사람 중심 보안으로 내부자 위협 낮춰야
내부자로 인한 위협은 단지 데이터 유출만이 문제는 아니다. 공급망 네트워크에서 발생한 위협이 공급망 전체를 위협할 수 있다.
외주업체 직원이 해킹을 당해 공격자가 원청기업 네트워크로 침투한 사례, 공급망 파트너사 직원이 다른 기업 네트워크에 접속해 중요 정보를 탈취한 사례 등이 보고된다. 그래서 공급망 전반에서 위협을 탐지하고 관리해야 하는데, 이는 법과 정책만으로 통제하기어렵다. 공급망 침해를 인식하는 시점은 이미 상당규모의 데이터가 유출된 후이기 때문에 피해를 회복하는 것이 쉽지 않다.
내부자 위협 관리의 근본적인 해결책은 ‘사람 중심(Human-Centric)’ 보안 정책을 만드는 것이다. 가트너의 ‘2023년 주요 사이버 보안 트렌드’에서 ‘보안 및 위험 관리(SRM) 리더들은 사이버 보안 프로그램을 구현할 때 기술과 사람중심 보안 요소에 대한 투자 균형을 생각해야 한다고 설명했다.
사람중심 보안 설계는 직원의 경험을 우선시하는 것이다. 기존의 통제 중심 보안 설계는 내부 직원의 위협행위를 제어하지 못했으며, 직원을 통제하기보다 불만을 잠재우고, 생산성을 높이면서 직원의 요구를 수용하는 방향으로 보안설계를 수정해야 한다.
또 제로 트러스트를 제대로 이해하지 못한 상태에서 접근하면, 그 의미가 흐려지고 직원들의 불신을 살 수 있고, 빠른 비즈니스 변화 속도를 따라가지 못한다. 그래서 제로 트러스트 원칙에 따른 사람중심 보안 설계로 보안으로 인한 마찰을 최소화하고 제어를 극대화해야 한다.
리처드 애디스콧(Richard Addiscott) 가트너 시니어 디렉터 애널리스트는 “사이버 보안에 대한 사람 중심적 접근 방식은 보안 실패를 줄이는 데 필수”라며 “제어 설계 및 구현뿐만 아니라 비즈니스 커뮤니케이션과 사이버 보안 인재 관리에서도 사람에 초점을 맞추면, 비즈니스 리스크 관련 의사 결정을 개선하고 사이버 보안 인력을 유지하는 데 도움이 될 것”이라고 말했다.
