소개:
온라인 서비스를 강화하기 위해 클라우드 기술을 도입하는 금융 기관이 증가하고 있지만, 높은 수준의 보안이 필요한 조직에게 클라우드 보안은 도전 과제가 될 수 있습니다. 이번 블로그에서는 국내 한 금융 기관이 클라우드에서 웹사이트를 보안하는 과정에서 직면한 과제에 대해 알아보겠습니다.
배경:
최근에는 많은 기업들이 클라우드 서비스를 이용하고 있습니다. 이는 기업들이 비용을 절감하고 유연성과 확장성을 높일 수 있는 이점이 있기 때문입니다. 하지만 클라우드 서비스를 이용함으로써 보안 이슈가 발생할 수 있습니다.
클라우드 환경에서는 보안에 대한 책임이 클라우드 공급자와 고객 간에 분담되어야 합니다. 클라우드 공급자는 인프라 구성, 네트워크 보안 등과 같은 기본적인 보안을 제공하지만, 애플리케이션 및 데이터의 보안은 고객의 책임입니다. 이는 고객이 클라우드 환경에서 구성한 애플리케이션 및 데이터에 대한 보안 책임도 고객에게 있음을 의미합니다.
SSL 가시성:
우리는 클라우드 서비스 제공업체에서 제공하지 않는 SSL 가시성 문제에 직면했습니다. 이로 인해 SSL 트래픽에 숨어 있을 수 있는 잠재적 위협이나 공격을 탐지할 수 없어 종합적인 보안 모니터링을 수행하기 어려웠습니다.
제한된 보안 모니터링:
우리는 자체 내부 보안 모니터링 센터와는 별도로 위탁 보안 모니터링 센터에 의존해야 했습니다. 이로 인해 보안 이벤트를 모니터링하고 효과적인 사고 대응을 수행하는 데 한계가 있었습니다. 또한 타사 모니터링 센터는 알림, 실시간 보고, 페이로드 분석 등의 기능을 온전하게 제공하지 않아 보안 위협을 분석하고 대응하기 어려웠습니다.
추가 보안 모니터링 부족:
국내 금융기관들은 금융보안원에서 제공하는 추가 위탁 보안관제를 받고 있습니다.. 그러나 클라우드 시스템에는 이러한 추가 모니터링이 제공되지 않았기 때문에 높은 수준의 보안을 보장하는 데 한계가 있었습니다.
클라우드 서비스 제공업체의 지원 부족:
금융 기관이 클라우드 서비스 공급업체에 추가 보안 조치를 요청했을 때, 공급업체는 개별 고객의 요청에 응답하지 않는다는 통보를 받았습니다. 이러한 유연성 및 고객 서비스 부족은 조직의 보안 문제를 더욱 가중시켰습니다.
결론:
클라우드에서 운영되는 웹사이트를 보호하기 위해서는 클라우드 도입의 보안 영향을 신중하게 고려하는 것이 중요합니다. 특히 금융기관 및 공공기관은 클라우드 서비스 제공업체가 보안관제에 한계가 있음을 인지하고 내부 보안 조치와 타사 보안 제공업체를 통해 높은 수준의 보안을 보장하기 위한 조치를 취해야 합니다. 포괄적인 위험 평가를 수행하고 각 조직이 직면한 고유한 보안 문제를 해결할 수 있는 강력한 보안 전략을 개발하는 것이 필수적입니다.