여러 관할권에 걸친 세계에서의 다중 클라우드 규제 준수
안개와 같은 클라우드: 불확실한 위험과 더욱 심화된 결과
클라우드는 기회와 위험을 모두 제공하며, 대부분의 조직에서는 위험보다 기회가 여전히 훨씬 더 큽니다. 그러나 대부분의 위험은 잠재적인 규제 준수 위반의 형태로 나타납니다. 즉, 조직에서 그 어느 때보다 더 복잡한 데이터 보호 및 개인정보 보호 규제 프레임워크를 준수하지 못하게 되는 방식으로 데이터가 저장, 액세스, 변경, 유출될 위험이 있습니다.
설상가상으로 많은 IT 및 보안 전문가들은 이러한 위험이 어디에 존재하는지에 대한 가시성조차 확보하지 못하고 있습니다. 그리고 대다수의 조직이 그렇듯이 데이터와 워크로드가 여러 클라우드에 분산되어 있는 경우 가시성 확보는 더욱 어려워집니다. 클라우드는 잠복해 있는 규제 준수 위험을 가리는 '안개'처럼 되어가고 있습니다. 한편, 국제적인 조직에서 준수해야 하는 관할권 요건은 계속 증가하고 있습니다.
보안 프레임워크가 이러한 규제 준수 위험을 관리하기에 불충분하다는 것이 입증됨에 따라 IT팀과 규제 준수 담당자는 클라우드에서 규제 준수 위반이 발생하기 전에 식별하고 완화할 수 있는 새로운 접근 방식을 필요로 합니다.
클라우드 규제 준수 문제
클라우드에서 호스팅된 데이터가 권한이 없는 사람에게 노출되면 조직에서는 고객의 신뢰 상실, 평판 손상, 규제 기관의 잠재적인 조사 등 부정적인 결과를 겪게 됩니다. 최악의 시나리오에서, 조직에서 데이터를 보호하기 위한 합리적인 조치를 취하지 않았다고 규제 기관에서 판단할 경우 데이터 유출 은 벌금으로 이어질 수 있습니다.
이러한 노출은 어떻게 발생할까요? 소셜 엔지니어링 공격부터 부적절한 액세스 제어, 외부의 악의적인 당사자에 의한 노골적인 데이터 유출까지 원인은 다양합니다. 하지만 클라우드 데이터 노출을 방지하는 데 있어 고유한 장애물과 과제가 있습니다. 특히 클라우드 공급자와 클라우드 고객이 보안에 대한 책임을 공유하므로 잘못된 구성은 큰 위험입니다.
클라우드 배포에서 발생하는 의도하지 않은 인적 오류(잘못된 구성)는 클라우드의 데이터에 대한 가장 큰 위험 중 하나입니다. 실수로 공용 인터넷에 노출된 채로 방치되거나 잘못 구성된 퍼블릭 클라우드 배포는 2020년 Twilio에서 발생한 사고와 같은 대규모 유출로 이어질 수 있습니다.
잘못된 클라우드 구성이 증가하고 있습니다. 더 많은 기업에서 클라우드 기반 서비스로 전환함에 따라 공격면이 확장되어 잘못 구성된 리소스로 인해 노출될 위험이 증가합니다. Gartner 에 따르면 "2027년까지 클라우드 환경에서 손상된 레코드의 99%는 클라우드 공급자 문제로 인한 것이 아니라 사용자 구성 오류 및 계정 손상의 결과일 것입니다."
잘못된 구성이 이미 영향을 미친 후에야 문제가 감지되는 경우가 많습니다. 이는 클라우드 보안 상태 관리(CSPM) 또는 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP) 서비스 등 널리 사용되는 많은 유형의 클라우드 보안 솔루션이 DevOps 팀에서 이러한 서비스를 설정하는 동안이 아니라 사후에 증상을 식별하기 때문입니다. 사후에 감지하면 경고가 발생하는데, 수정하는 데 시간이 걸리므로 클라우드 리소스가 일시적으로 노출될 수 있습니다.
조직에서 잘못된 구성으로 인해 규제를 준수하지 않았거나 공격에 노출될 수 있다는 사실을 알게 되었을 때는 이미 늦을 수 있습니다.
클라우드의 데이터 보안, 무결성, 규제 준수와 관련하여 다음과 같은 여러 가지 다른 문제도 있습니다.
데이터 유출: 디지털 자산은 해당 자산이 클라우드에 있든 온프레미스에 있든 관계없이 악의적인 당사자에게 모든 방식의 공격 벡터를 제공합니다. 그러나 멀티클라우드 배포는 물리적 인프라가 조직의 직접적인 관할권 및 책임을 벗어나므로 추가적인 위협이 됩니다. 단순한 소셜 엔지니어링 공격부터 고도로 맞춤화된 취약점 익스플로잇에 이르기까지 공격자는 클라우드에서 데이터를 추출하는 다양한 ��방법을 사용합니다.
다중 테넌트:퍼블릭 클라우드는 많은 조직에서 공유하며, 해당 클라우드 보안에 대한 책임은 클라우드 공급자와 해당 클라우드 고객에게 있습니다. 연구에 따르면 보안 경계를 적용하지 않으면 클라우드 호스팅 데이터가 실수로 다른 클라우드 테넌트와 공유될 수 있습니다.
섀도우 클라우드 인프라: 조직은 종종 클라우드 인스턴스를 버리거나 잊어버리는 경우가 있습니다. 이와 같은 일은 조직의 이동, 변화, 확장, 역할과 책임의 조정에 따라 자연스럽게 나타납니다. 또한, 선의의 직원이 업무를 수행하기 위해 직접 처리하지만, 승인된 IT 절차의 범위를 벗어나는 경우에도 발생할 수 있습니다. 그 결과 원인 파악이 되지 않고 보안 정책으로 보호되지 않지만, 중요한 정보가 포함된 섀도 보조 멀티클라우드 인프라가 생성될 수 있습니다.
이러한 클라우드 규제 준수 및 보안 문제는 조직에 실시간으로 영향을 미치고 있습니다. CrowdStrike에서는 자체 클라우드 위험 보고서에서 클라우드 악용이 95% 증가했다고 상술합니다. 그리고 공격자가 퍼블릭 클라우드 서비스를 직접 노리는 경우는 288%로 더 크게 증가했습니다. 또한, 해당 보고서에 따르면 이러한 유출을 억제하는 것은 고사하고 식별하는 데도 평균 207일이 소요됩니다.
클라우드 보안 문제가 지속되면서 조직이 노출되고 있습니다. 이는 규제 준수, 재무 건전성, 조직의 전반적인 안전과 관련하여 시한 폭탄이 됩니다. 그리고 재정적 이해관계도 큽니다. EU의 일반 데이터 보호 규정(GDPR)에 따라 부과되는 벌금은 최대 2,000만 유로 또는 해당 기업의 전 세계 연간 수익의 4% 중 더 높은 금액에 달할 수 있습니다.
여러 관할권에 걸친 세계
또한, 관할권마다 자체 규정이 있습니다. 데이터를 보호하기 위해 취해야 하는 보안 및 개인정보 보호 조치는 전 세계에 걸쳐 다양합니다. 주요 규제에는 다음이 포함됩니다.
GDPR 및 NIS2 지침은 EU 거주자 데이터에 대한 권한이 있습니다
디지털 개인 데이터 보호법(DPDP)은 인도의 개인 데이터를 규제합니다
개인 결제 데이터의 처리 방식을 관리하는 PCI DSS와 같은 업계 규정
모든 클라우드 인스턴스가 모든 관련 규제 프레임워크를 준수하는지 확인하는 작업은 수작업으로는 거의 불가능합니다. 이는 또한 조직에서 새로운 시장에 진입하려고 할 때 비즈니스 개발에 방해가 될 수 있습니다.
마지막으로, 조직에서 여러 클라우드 공급자에 걸쳐 멀티 클라우드 배포에 의존하는 경우 모든 데이터와 시스템에 대한 정기적인 감사 없이는 규제 준수를 입증하는 것이 어렵습니다.
인라인 클라우드 보안 솔루션
예방적 접근 방식이 필요합니다. 모든 위험과 오류를 미리 예상하고 예방하는 것은 불가능하므로 예방적 접근 방식은 실수가 이미 발생한 후가 아니라 클라우드 인스턴스가 배포되는 동안 발생하는 인라인 보안 및 규제 준수 확인의 형태를 취해야 합니다. 오류는 자동으로 추적되고 완화되어야 하며, 수동이 아닌 자동으로 규제 준수가 시행되어야 합니다.
Cloudflare에서는 고객을 위한 바로 이러한 유형의 인라인 클라우드 보안 검사를 플랫폼에 통합합니다. Cloudflare에서는 보안 구성을 자동으로 평가하고 적용하여 고객을 위한 클라우드 보안 규제 준수를 간소화하고, 강력한 보안을 보장하고 가장 일반적인 규제 프레임워크를 준수하는 것을 지원합니다. Cloudflare에서는 클라우드 API 트래픽을 검사하여 조직에 향상된 가시성과 세부 제어 능력을 제공하며, 위험을 완화하고 클라우드 보안 상태를 관리하는 데 있어 사전 예방적 접근 방식을 지원합니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
클라우드 컴퓨팅의 보안 및 규제 준수 위험
멀티 클라우드 인프라 사용 시 구성 오류가 발생하는 경우
여러 클라우드 및 여러 관할권에 걸쳐 데이터 규제 준수를 위한 잠재적 솔루션
관련 자료
이 주제에 관해 자세히 알아보세요.
애플리케이션 서비스 보호 및 연결의 3가지 과제 백서에서 클라우드 기반 애플리케이션 서비스를 보호하는 방법에 대해 자세히 알아보세요.