This post is also available in: English (영어) 简体中文 (중국어 간체) 繁體中文 (중국어 번체) 日本語 (일어)
다들, 수많은 종류의 "현황" 보고서를 보면서 큰 피로감을 느끼신 경험이 있으실 겁니다. 이번 시간에는 SBOM에서 오픈 소스, 그리고 당사의 2024년 클라우드 네이티브 보안 보고서까지, 사이버 보안에만 해당되는 내용을 다루고자 합니다.
각 보고서는 조사가 진행되는 에코시스템의 온도를 측정하는 흥미로운 내용과 시사점을 담고 있습니다. 저희 보고서도 다르지 않습니다. 클라우드 서비스에 연간 천만 달러 이상을 투자할 만큼 클라우드 투자가 급증하고 있는 조직 중 하나라면, 이 보고서는 적어도 다른 조직 또한 같은 상황이라는 확신을 줄 것입니다.
먼저, 지루하지만 꼭 필요한 신뢰성의 세부 사항을 다루겠습니다.
2024년 클라우드 네이티브 보안 현황 보고서에서는 대기업부터 중소기업까지 10개국 2,800명 이상의 응답자에게서 얻은 설문조사 데이터를 제공합니다. 해당 응답자들은 개발, IT, 보안 기능 전체의 경영진과 실무자가 동일한 비율로 혼합되어 있습니다. 화장실은 복도를 따라 왼쪽으로 내려가면 있습니다. 화재 발생 시에는 주차장 E 구역으로 모여주시기 바랍니다. 더 필요한 것 있으신가요? 그럼 본격적으로 시작하겠습니다.
AI와의 애증 관계
어떤 종류든 코드를 작성하는 분들은 다들 다음과 같은 프롬프트를 시도해 보셨을 겁니다.
"저는 특정 요구 사항을 가진 AWS EC2 인스턴스를 프로비저닝해야 하는 Terraform 프로젝트를 진행하고 있습니다. 'us-east-1' 지역 내 't2.micro' 유형이어야 하며, 'Name'에 대한 태그를 'MyInstance'로, 'Environment'에 대한 태그를 'Development'로 포함해야 합니다. 이 리소스를 정의하는 Terraform 코드 스니펫을 제공해 주실 수 있겠습니까?"
(The New Stack의 기사에서 발췌)
물론, 이는 효과가 있는 무엇인가를 만드는 데 꽤 훌륭한 역할을 합니다! 그러나 여기서 끝나지 않습니다. 코드를 생성하는 능력은 개발자의 행동에 대한 인센티브를 제공하는 방식에 직접적인 영향을 미치는 개발자의 사탕 로켓 연료입니다. 시간은 경쟁력 있는 신규 기능을 출시하는 데 걸리는 시간처럼 중요한 요소입니다.
100%의 응답자가 다양한 co-pilots와 같은 AI 기반 애플리케이션 개발(및 보안)을 도입했음에도 불구하고, 많은 사람들이 AI 생성 코드와 관련된 보안 위험에 대해 우려하고 있습니다. AI, 특히 공개 LLM은 Garbage In, Garbage Out(GIGO) 기계입니다. 보안 코딩 예시가 공개 도메인에 거의 존재하지 않으며 다소 거리가 있기 때문에 업계에서는 개발자가 AI를 사용함으로써 코드에서 벗어날 수 있었던 것보다 더 안전하지 않은 기본값을 실수로 도입할 수 있다는 분명한 우려를 갖고 있습니다.
이러한 리스크를 인식했음에도 불구하고, 이 만장일치 도입은 훨씬 더 빠른 속도의 혁신과 보안의 균형을 맞추기 위해 (추가적인) 감독이 필요할 수 있음을 시사합니다.
AI와의 관계는 여기서 끝나지 않습니다. 지난해 클라우드 네이티브 에코시스템에 대한 공격이 증가한 데 이어, 절반에 가까운 보안 전문가 응답자는 AI 기반 공급망 공격이 증가할 것이라 예측하고 있습니다. 또한 대다수 응답자는 공격이 기존 탐지 기술을 회피할 것으로 예상합니다.
조직은 AI가 혁신의 조력자이자 공격의 잠재적 벡터가 될 수 있는 인지 부조화를 인식하며, 이는 AI의 혜택 추구와 엄격한 보안 조치 사이의 균형을 맞춰야 하는 필요성을 잘 보여줍니다.
내 데이터는 어디에 있는가?
가능성은 있으나 확인되지는 않은 것으로, AI의 도움을 받을 경우 데이터 침해가 증가한다는 보고가 있습니다. 응답자 조직은 60% 이상 크게 증가했다고 보고했습니다. 실제로, 45%의 조직이 장기간 탐지되지 않는 APT(Advanced Persistent Threat)와 은밀한 공격이 증가했다고 보고했습니다. 선제적인 모니터링과 지능형 위협 탐지 및 대응도 중요하지만, 클라우드 환경에서 강력한 데이터 보안 조치를 갖추는 것이 매우 중요합니다.
데이터는 가장 중요한 자산입니다! 서비스 거부 공격(랜섬웨어 포함)은 여전히 현실적인 위협이지만, 많은 공격자가 시도하는 공격의 목표는 클라우드 네이티브 벽 내부에 숨겨져 있는 데이터입니다.
벽은 훨씬 더 높게 지어졌고, 문 앞에는 용이 있으며, 경비 요원을 두 배로 늘려 성 전체를 더욱 정교하게 관찰할 수 있게 되었습니다. 그러나 실제로 금이 어디에 있는지 모르는 조직이 많습니다.
믿기 힘들겠지만, 아직도 50%의 조직은 클라우드의 민감한 데이터를 분류하고 식별하기 위해 수동 검토에 의존합니다. 특히 관리형 서비스에서 알려진 데이터 외에도 클라우드 환경 내에 관리되지 않는 데이터 솔루션과 섀도 데이터가 숨어 있다는 점을 감안하면, 최신 솔루션에 대한 필요성은 더 분명해집니다. Kubernetes 클러스터 내에 숨어 있는 개인 식별 정보(PII)를 캐싱하는 컨테이너화된 간단한 데이터베이스에는 검색 및 분류가 필요하며, 이는 알려지지 않은 항목을 탐지하고 보호하기 위해 자동화를 통해서만 처리할 수 있는 작업입니다.
우리가 알고 있는 알려지지 않은 항목의 경우 내부 솔루션에 대한 AI를 최대한 넓은 시야를 가지고 채택하는 것도 포함됩니다. 예를 들어, 모델과 서비스를 훈련하고 표현하는 데이터에 대한 통제된 액세스를 보장하는 것은 데이터 보안에 새롭고 흥미로운 과제를 제시한다는 것을 우리는 알고 있습니다. 그리고 이는 구축된 AI 지원 애플리케이션의 인벤토리를 빌드하고 모니터링하는 것 외에도 추가적으로 필요한 사항입니다.
단지 고객 데이터/자산에 대해서만 이야기하는 것이 아닙니다. 암호 관리에 어려움을 겪고 있다고 보고한 조직은 38%에 불과한 반면, 지난 1년 동안 암호 노출이 증가했다고 답한 조직은 43%에 달했습니다.
도구로 해결하세요!
CISO 시리즈 "Super Cyber Friday" 이벤트에 참여하신 적이 없다면 꼭 한번 참여하시기를 강력히 권장드립니다. 이는 사이버 보안 전문가와의 흥미로운 대화형 인터뷰입니다. 특히 여기에서는 청취자가 특정 문제에 대해 최악의 솔루션을 제출할 수 있는 "나쁜 아이디어" 세그먼트가 있습니다. "도구로 해결하세요"는 이러한 세그먼트에 대한 모순적인 대응일 것입니다.
설문에 참여한 조직은 평균 16개의 클라우드 보안 도구를 사용하고 있지만 응답자의 90%는 사용되는 포인트 도구의 수가 너무 많아 보안 사각지대가 발생한다고 답했습니다. 이와 같은 현실은 리스크의 우선순위를 지정하고 보안 효과를 저해하는 위협을 예방하는 능력에 영향을 미치고 있습니다.
그러나 모순은 여기서 끝나지 않습니다. 거의 모든 보안 전문가 응답자들은 자신의 조직에 공격 성공 가능성이 가장 높은 취약점과 구성 오류를 자동으로 식별하고 즉각적인 복구 업데이트 단계를 제공하는 솔루션이 필요하다는 데 동의했습니다. 들어보니, CNAPP가 필요할 것 같네요.
위협에 대해 논의합시다! 우리 자신에게 집중할 시간입니다!
DevSecOps는 정확히 언제 발생합니까? 2038년 문제를 생각하면, 2037년 12월에 빳빳한 100달러 지폐를 미리 준비해야 할지도 모릅니다. DevOps의 80% 이상이 여전히 보안을 방해 요인으로 보고 있기 때문에 아직 SecOps와 DevOps 팀 사이에서 "함께하면 효과적"이라는 사례는 이루어지지 않았습니다. 현실은 이 방해 요인이 보안의 업무라는 것입니다. 이 방해 요인을 전적으로 다루어야 합니다. 이는 필요악이기도 합니다. 방해로 인한 문제는 보안을 개발자 환경에 통합하는 방법, 그리고 어느 정도 개발자의 마음이 필요한 만큼 원활하지 않을 가능성이 높습니다.
이해가 충돌하는 양쪽 모두의 공감이 부족한 상황입니다. 90% 이상의 보안팀은 개발자가 안전한 코드만 생성하면 된다고 생각합니다. 문제 해결! 실제로 성공 요인은 그 사이 어딘가에 있습니다. AI가 훌륭한 DevSecOps 유화제가 될지, 아니면 개발 속도를 크게 향상시켜 문제를 악화시킬지는 매우 흥미로운 점입니다.
앞으로의 방향성
조직이 클라우드 네이티브 보안의 복잡성을 알아보고자 한다는 점에서 이 보고서는 보안 태세를 강화하기 위한 다음과 같은 중요한 권장 사항을 제공합니다.
- 클라우드 마이그레이션 이니셔티브 시작부터 보안에 우선순위를 두고 보안을 전체 전략에 포함시켜 취약점, 데이터 침해, 규정 준수 불이행 처벌을 예방합니다.
- 클라우드 서비스 시장의 복잡성과 다양성을 고려하여 도구와 공급업체를 철저히 조사하고 조직의 요구 사항, 예산, 전략적 목표에 가장 적합한 옵션을 평가합니다.
- 개발팀과 보안팀 간의 협업을 촉진하고 우선순위를 조정하고 프로세스를 간소화하여 이해충돌을 완화하고 효율적이고 안전한 애플리케이션 구축을 보장합니다.
- 실제로 클라우드 네이티브 애플리케이션 내에서 리소스와 데이터가 급증하고 있습니다. 수동 방식에서 현대식으로 전환하는 것은 모든 규모의 조직에 필수적인 경로입니다.
- 클라우드가 디지털 환경을 지속적으로 변화시킴에 따라, 조직은 보안 전략에 있어 경계심과 적극성을 유지해야 합니다. 조직은 방어를 강화하는 동시에 혁신을 도입함으로써 클라우드 네이티브 시대의 복잡성을 극복하고 성장과 혁신을 위한 잠재력을 최대한 발휘할 수 있습니다.
자세히 알아보기
반드시 필요한 2024년 클라우드 네이티브 보안 현황 보고서를 놓치지 마세요. 지금 다운로드하세요.