Cloud CISO 관점 소개

* 본 아티클의 원문은 2021년 4월 13일 Google Cloud 블로그(영문)에 게재되었습니다.  

불과 3개월 전 최고 정보 보안 담당자(CISO)로 Google Cloud에 합류한 이후 클라우드를 통해 고객과 사회 전반의 보안을 개선해야 한다는 독특한 관점을 직접 확인했습니다. 보안 업계가 소프트웨어 공급망에 영향을 미치는 중대한 보안 침해로 어려움을 겪는 상황에서 CISO라는 새로운 역할을 맡게 되었고 Google에 합류한 여러 이유 중 한 가지가 생각났습니다. 바로 까다로운 보안 문제를 해결하고 더욱 안전한 미래를 위한 기반을 마련하는 데 도움을 주어 업계를 발전시킬 기회를 포착하는 것이었습니다. 

오늘 새로운 블로그 시리즈를 시작하게 되어 매우 기쁩니다. 이 블로그 시리즈를 통해 컨퍼런스 하이라이트, 새로운 연구 또는 전사적인 Google 보안팀의 성과 등 Google Cloud는 물론 업계 전반을 아우르는 사이버 보안 분야의 주요 소식과 트렌드에 대한 관점을 공유하고자 합니다. 이 블로그 시리즈가 Google의 가장 중요한 보안 업데이트와 CISO의 관점에서 이러한 업데이트가 중요한 이유를 한곳에서 파악할 수 있는 공간이 되기를 바랍니다. 

업계 전반에 대한 생각

• 코로나19 시대의 글로벌 공급망 - 지난달, 코로나19 팬데믹으로 인한 공급망 위험에 대해 다루는 미국 외교협회(Council on Foreign Relations) 패널에 참가했습니다. 주요 논의 사항에는 글로벌 공급망 전반의 위험 매핑처럼 조직과 정부가 현존하는 공급망 위험 관리의 지속적인 안정 상태를 논의해야 한다는 것이 있었습니다. 물리적 공급망이 자연적 위험에 대비해야 하는 것처럼 모든 공급망에는 장애가 일어날 수 있는 디지털 요소가 있으며 이에 대한 사이버 예방 조치를 고민해야 합니다. 
• IDC 멀티 클라우드 백서 - Google은 규제 대상 조직이 멀티 클라우드를 채택함으로써 단일 클라우드 공급업체를 사용할 때의 위험을 어떻게 완화할 수 있는지에 대해 조사하는 IDC의 연구를 지원했습니다. 이 백서에서는 여러 공급업체 및 하이브리드 클라우드 사용과 관련하여 유럽 조직이 채택한 다양한 접근법을 살펴보고 이러한 전략이 조직의 집중 위험과 공급업체 종속을 해소하고 규정 준수 상태를 향상하며 출구 전략을 설명하는 데 어떻게 도움이 되는지 소개합니다.
• 금융 서비스 기업은 운영 복원력 부문에 주력하고 있으며 이에 따라 전 세계 규제 기관은 클라우드 서비스 제공업체를 비롯하여 아웃소싱 업체 사용에 대한 지침을 발전시키고 있습니다. Google은 이 부문에서 FSI 고객과 긴밀히 협력하고 있기 때문에 새로운 백서를 작성하여 클라우드로의 마이그레이션이 고객, 주주, 규제 기관에서 요구하는 운영 복원력을 보장하는 데 어떻게 도움이 되는지 소개했습니다.
• #ShareTheMicInCyber - Google은 여성 역사의 달을 맞아 Google 직원이기도 한 카밀 스튜어트가 공동 설립한 업계의 중요 활동인 #ShareTheMicInCyber를 기념했습니다. 모든 영역에서 다양성, 평등, 포용을 통해 이점을 누릴 수 있지만 특히 보안 업계에서 그렇습니다. Google은 다양한 배경으로 구성된 보안팀이 보다 혁신적이고, 더 나은 제품을 생산하고, 사이버 위협에 대한 방어 능력을 강화한다는 것을 직접 배웠습니다. 

Google 보안 코너 

• 스펙터 개념 증명 - Google 보안팀은 웹 사용자에 대한 스펙터 악용 가능성에 대한 최근 연구 결과를 발표했습니다. 이 연구에서는 브라우저의 메모리에서 정보를 유출할 수 있는 자바스크립트로 작성된 개념 증명(PoC)을 소개했습니다. 이러한 종류의 연구 결과를 보안 커뮤니티와 공유하는 것은 엄청난 가치가 있습니다. 더불어 보안팀은 연구를 통해 Google 전반의 경험을 바탕으로 웹 저작자가 사용할 수 있는 보호 조치와 웹 애플리케이션에서 이러한 보호 조치를 사용하기 위한 권장사항을 강조했습니다.
• 오픈소스 보안 - Google이 설립하는 데 도움을 준 오픈소스 보안 재단의 연구에 대한 엄청난 활동과 지원이 계속되고 있습니다. 누구나 가입하여 수많은 중요한 프로젝트의 보안을 강화하는 데 도움을 줄 수 있습니다. 참여 방법은 여기를 참고하시기 바랍니다. sigstore 발표도 환영합니다. Linux 재단이 추진하는 이 새로운 프로젝트는 소프트웨어 공급망 무결성과 인증을 강화하는 것을 목표로 합니다.

Google Cloud 보안 하이라이트 

이 분기에 Google Cloud 보안팀은 여러 업무로 바쁘게 보냈습니다. BeyondCorp Enterprise, Risk Protection Program과 같은 제품을 발표하며 주요 이정표를 달성했고 새로운 Google Cloud Security 팟캐스트를 시작했습니다. 이와 관련된 주요 소식을 소개합니다.

• BeyondCorp Enterprise - 올해 초 포괄적인 제로 트러스트 제품인 BeyondCorp Enterprise를 발표하며 조직에서 현대적이고 검증된 BeyondCorp 기술을 도입하여 자체적으로 제로 트러스트를 구현하는 과정에 착수할 수 있도록 지원했습니다. 
• 신뢰할 수 있는 클라우드 - 투명성 및 주권, 제로 트러스트, 공통된 운명이라는 세 가지 핵심 요소를 바탕으로 구축된 신뢰할 수 있는 진정한 클라우드를 제공한다는 비전을 간략하게 설명했습니다.
• Risk Protection Program - Google Cloud는 업계를 선도하는 보험사 두 곳과 파트너십을 발표했습니다. 특정 보안 권장사항을 준수하는 Google Cloud 고객을 대상으로 전문적인 사이버 보안 보험과 Google 플랫폼을 통해 이들 고객의 보안 상태에 대한 자동화된 문서를 제공합니다.
• Active Assist 계정 보안 권장사항 - Active Assist는 사용자에게 클라우드 배포를 최적화하는 방법에 대해 권장사항을 제공합니다. 새로 출시된 '계정 보안' 추천자는 프로젝트 소유자처럼 높은 권한이 있는 사용자가 강력한 인증을 사용하지 않는 경우를 자동 감지합니다. 이러한 사용자에게 휴대전화를 피싱 방지 두 번째 단계 인증 기기로 사용 설정하라는 알림을 보내 계정 보안을 더욱 강화하는 데 도움을 줍니다. 
• 새로운 보안 권장사항 문서 - 클라우드 보안 혁신을 위한 CISO 가이드와 업데이트된 Google Cloud 보안 기반 가이드라는 두 가지 새로운 포괄적인 백서를 발표했습니다.