작성일 : 20-01-15 20:07
[일반] IDG 블로그 | 견딜 만한 보안 위험은 스펙트럼에 따라 다르다.
 글쓴이 : happy
조회 : 11  

IDG 블로그 | 견딜 만한 보안 위험은 스펙트럼에 따라 다르다.

InfoWorld
2018년 어느 날 새벽 5시, 전화벨이 울린다. 클라우드옵스팀의 보고이다. 수 기가바이트의 고객 데이터가 유출될 수 있는 잠재적인 침해가 일어났다.

이 사건 이후 클라우드 보안을 강화하는 데 힘을 쏟는다. 전년보다 4배나 많은 시간과 노력을 들인다. 이사회는 추가 툴과 인력에 흔쾌히 투자한다. “과도한 보안이란 없다”고 하지 않는가.
 
ⓒ GettyImagesBank

그런데 만약, 보안이 너무 과도하다면? 가속 페달을 밟아야 할 때와 속도가 너무 빠를 때를 어떻게 판단할 것인가? 이는 전적으로 클라우드 보안 스펙트럼의 어디에 있는지에 따라 달라진다.

모든 기업의 상황은 다르다. 각 기업은 서로 다른 데이터 세트를 저장하고 관리한다. 배치한 애플리케이션과 프로세스도 다르다. 헬스케어나 금융 등 특정 산업군의 기업은 끔찍한 컴플라이언스 규제를 받을 수도 있다.

요점은 단순하다. 모두의 보안 요구사항이 다르고, 보호해야 하는 데이터가 다르다. 따라서 모두가 보안 스펙트럼의 서로 다른 영역에 있다.

예를 들어, 서두에 예로 든 상황에서 침해가 일어난 기업이 자동차 타이어 제조업체라면, 지난 해보다 네 배나 많은 시간과 예산을 들이는 것은 과도하다고 할 수 있다. 즉 회사의 스펙트럼에 맞지 않는다.

물론 성급한 일반화의 위험이 있지만, 대부분 타이어 제조업체는 헬스케어 조직처럼 개인 식별 정보를 다루지는 않는다. 대부분 은행에 요구되는 것과 같은 엄격한 감사 조건을 지켜야 하는 것도 아니다. 

게다가 데이터 자체도 아마 꽤 무해할 것이다. 타이어 제조회사의 고객 관련 데이터베이스 정보는 타이어 유통회사 정보일 것이고, 이는 웹사이트에서 쉽게 찾을 수 있는 데이터이다. 신용카드로 거래를 하지도 않을 것이기 때문에 그런 정보가 저장됐을 리도 없다.

클라우드 보안의 본질은 만능솔루션은 없다는 것이다. 클라우드 보안 아키텍트는 요구사항으로부터 솔루션을 만드는 것이지 다른 방법은 없다. 그리고 필자가 강조하는 것은 이들 클라우드 보안 접근법과 기술을 선택하는 데는 클라우드 보안 스펙트럼의 어디에 있는지를 정확하게 이해하는 것이 중요하다. 그렇지 않으면 불필요하게 너무 많은 비용을 쓰거나 충분하지 않은 보안 환경을 갖게 될 것이다. editor@itworld.co.kr