[기고] 클라우드 시대에 맞는 사이버 보안 운영 모델 구축법
퍼블릭 클라우드 서비스 도입은 이제 표준으로 여겨진다. 가트너 설문조사에 따르면 조직의 94%가 퍼블릭 클라우드를 디지털 비즈니스 이니셔티브의 중요 요소로 꼽기도 했다. 그러나 클라우드 마이그레이션의 많은 장점에도 불구하고 이는 사이버 보안 운영에 상당한 어려움을 야기하는 원인이 되기도 한다. 이제 공통 도메인과 클러스터를 포함한 사이버 보안의 대부분 측면을 클라우드에서 구현해야 하지만, 기존의 사이버 보안 모델과 기술 세트는 클라우드가 아닌 온프레미스 환경에 맞춰져 있는 것이 현실이다. 최고정보보호책임자(CISO)를 비롯한 사이버 보안 리더는 클라우드 도입의 불가피성과 이에 따른 변화를 무시할 수 없다. 그렇기에 클라우드 시대를 맞이한 비즈니스 환경에 맞게 팀 구조, 커뮤니케이션 채널, 기술 등 운영 모델 전반을 조정해야 한다. 나아가 CISO는 효과적인 사이버 보안 프로그램을 구축해야 하는 책임이 있다. 비즈니스 위험을 최소화하면서 클라우드로의 전환을 실현하기 위해 다음과 같은 지침을 참고할 필요가 있다. 가트너에 따르면 클라우드 지출은 2027년까지 연평균 17% 이상의 성장률을 유지할 것으로 전망된다. 이는 클라우드로 이전되는 워크로드와 애플리케이션의 수가 증가하고, 효과적인 워크로드 보호에 대한 중요성 또한 높아질 것임을 의미한다. 이러한 워크로드는 AWS, 마이크로소프트 애저, 구글 클라우드와 같은 하이퍼스케일 클라우드 공급업체 중 하나 또는 그 이상의 업체에서 호스팅될 수 있다. 이에 따라 조직은 이러한 새로운 환경에 적응하기 위해 팀을 구성하고 팀의 역량을 조정해야 한다. 조직 내에서 클라우드 보안 전담팀의 필요성은 클라우드 기술의 중요도, 도입 프로세스의 복잡성, 각 사업 부서에서 제공하는 셀프 서비스 수준과 같은 요소들을 고려해 조직의 클라우드 기술 사용 방식에 따라 결정된다. 조직은 다양한 클라우드 운영 모델을 채택하지만, 클라우드 보안 모델은 특정 클라우드 운영 모델에 맞춤화돼야 한다. 클라우드 도입 초기 단계에는 조직에 별도의 '클라우드팀'이 없는 경우가 많다. 대신 다양한 부서의 기술 인력이 모여 클라우드 위원회, 타이거팀(해킹 전문가팀), 파일럿팀 또는 클라우드 역량 센터를 구성한다. 이러한 그룹들은 일반적으로 비공식적이며 각 구성원들의 노력에 의존하여 운영된다. 이에 따라 클라우드에 대한 책임은 기존에 온프레미스 운영 책임이 있는 부서에 할당되는 경우가 많다. 조직은 클라우드 거버넌스를 담당하는 엔터프라이즈 아키텍처 기능으로서 클라우드 혁신 센터(CCoE)를 설립하고, 클라우드 기술 구현을 담당하는 클라우드 플랫폼 운영(CPO) 기능을 함께 구축할 것을 권장한다. CPO 기능은 애플리케이션 팀을 대신해 내부 관리 서비스 공급자(MSP)와 같은 역할을 수행하며 컨설팅 기능, 플랫폼 기능, 일상적 운영을 제공한다. 또 다른 모델로는 애플리케이션팀이 클라우드 리소스를 포함한 전체 애플리케이션 스택의 인프라, 운영, 보안을 전적으로 책임지는 방식이 있다. 이러한 극단적인 '데브옵스(Extreme DevOps)' 또는 '데브섹옵스(DevSecOps)' 모델은 규제가 없는 초기 클라우드 도입 환경이나 성숙한 디지털 조직에서 흔히 볼 수 있다. 클라우드 혁신 센터(Cloud Center of Excellence, CCoE)를 설립하는 것 역시 클라우드를 위한 조직 구성의 중요한 측면이다. CCoE는 협의의 중심점으로서 혼란을 관리하고 거버넌스를 확립하는 데 도움을 준다. 적절한 클라우드 거버넌스는 클라우드 기술 도입에 따른 위험을 완화하는 데 매우 중요하다. CCoE는 클라우드 거버넌스 범위를 넘어서는 책임이 있기 때문에 일반적으로 경영진의 지원을 받는다. 보통 클라우드 엔터프라이즈 아키텍트가 담당하여 운영하며 자문형 엔터프라이즈 아키텍처로 기능한다. 조직의 클라우드 컴퓨팅 자문 위원회(CCAC)는 CCoE에 전략 및 정책 피드백을 제공한다. 보안 및 위험 관리(SRM)는 대부분의 경우 한 명 이상의 담당자가 있으며 CCoE에 영향을 미칠 수 있는 공식적인 권한을 갖는다. 클라우드 보안은 기존 보안과 결과적으로는 다르지 않지만 제공되는 방식은 다른 경우가 많기 때문에 온프레미스 보안과 동일한 보안 클러스터가 필요하다. 이러한 클러스터는 조직에 따라 담당하는 팀이 다를 수 있지만 구성 및 운영 방식은 조직이 선택한 클라우드 운영 모델과 일치돼야 한다. 보안 운영에 대한 의사결정은 부분적으로 기술과 성숙도에 따라 이루어진다. 조직이 클라우드 여정을 진행하면서 기존 보안팀은 클라우드 기능을 통합할 것이며 보안 운영 센터(SOC)는 클라우드 사고 처리, 클라우드 환경에서의 위협 탐지 감독, 위협 인텔리전스를 비롯한 클라우드 공급업체의 추가 서비스를 관리하게 될 것이다. 클라우드 도입을 방해하고 부정적인 결과를 초래하는 몇 가지 분명한 안티패턴도 있다. 조직은 ▲클라우드 이니셔티브에서 사이버 보안팀을 완전히 배제 ▲사이버 보안팀이 비즈니스 또는 운영팀과의 협업 없이 모든 것을 전담 ▲보안, 클라우드 엔지니어링, CCoE 간의 협업 부족 ▲클라우드 보안과 거버넌스의 혼동 등과 같은 안티패턴으로 클라우드팀을 구성하는 것을 피해야 한다: 클라우드 보안에는 온프레미스 환경과 동일한 보안 구성 요소가 모두 포함된다. 그러나 이를 성공적으로 구현하는 것은 클라우드 보안 전담팀을 구성하는 것만큼 쉽지 않다. 클라우드 보안팀을 구성하는 방법에 정답은 없지만 피해야 할 안티패턴은 존재한다. 이러한 패턴을 피하는 것 외에도 선택한 클라우드 운영 모델에 맞게 조직을 구성해야 최적의 결과를 얻을 수 있다. 퍼블릭 클라우드 서비스를 도입하는 기업이 증가함에 따라 사이버 보안 리더의 역할은 점점 더 중요해지고 있다. 팀 구조 재평가부터 보안 모델 조정, 클라우드 혁신 센터 구축 등 일련의 과정을 수행함과 동시에 안티패턴을 파악해 부정적인 영향을 최소화하는 것이 보안을 강화하고 클라우드의 혁신 잠재력을 충분히 활용할 수 있는 길이다.