Cloud CISO Perspectives: Google Cloud 보안팀과 함께 안전하게 구축하기

* 해당 블로그의 원문은 2025년 5월 22일 Google Cloud 블로그(영문)에 게재되었습니다.

2025년 5월 첫 번째 Cloud CISO Perspectives에 오신 것을 환영합니다. 이번 호에서는 보안 엔지니어링 수석 디렉터(Senior Director)인 이아인 멀홀랜드(Iain Mulholland)가 Google Cloud가 보안 엔지니어링에 어떻게 접근하고, 'Secure by Design(설계부터 보안)' 원칙을 단순한 아이디어 차원을 넘어 실제 운영(프로덕션) 단계까지 어떻게 구현하는지 그 내부를 공개합니다.

모든 Cloud CISO Perspectives와 마찬가지로, 이번 뉴스레터의 내용은 Google Cloud 블로그에도 게시됩니다. 웹사이트에서 이 글을 읽고 계시면서 이메일 버전을 받아보길 원하시면, 여기에서 구독하실 수 있습니다.

Google Cloud 보안팀이 엔지니어의 안전한 개발을 지원하는 방법

이아인 멀홀랜드(Iain Mulholland), 보안 엔지니어링 수석 디렉터

저희는 필 베너블스(Phil Venables)와 앤디 웬(Andy Wen)이 작년에 언급했듯이, 경영진을 설득하여 더 현대적인 보안 도구에 투자하려는 노력들이 성공을 거두었음에도 불구하고, 여전히 너무나 많은 조직이 데스크톱 시대에 맞춰 설계된 낡은 방어 체계에 의존하고 있는 것이 현실입니다.

그들은 "오늘날의 보안 환경에서 진정한 회복탄력성을 갖추기 위해서는, 조직은 IT 시스템 전반을 점검하고, 특정 유형의 취약점과 공격 경로 자체를 무력화하는 현대적이고 '설계부터 보안(secure-by-design)' 원칙에 입각한 아키텍처를 갖춘 솔루션으로 전략을 근본적으로 재고해야 합니다."라고 강조했습니다.

이러한 핵심 보안 철학을 현실로 구현하기 위해, 저희는 이를 팀 구성 방식의 지침으로 활용하고 있습니다. 클라우드 보안 엔지니어를 제품팀에 소속시켜 전체 조직이 보안을 개발 초기 단계로 앞당기는 '시프트 레프트(shift left)'를 실현하고, 엔지니어링 중심의 보안 접근 방식을 채택하도록 지원합니다. 저희 CISO 사무실 보안 엔지니어링 팀은 소프트웨어 개발 수명 주기의 모든 단계에서 제품팀 소프트웨어 엔지니어들과 긴밀히 협력합니다. 이를 통해 제품 출시 속도를 유지하고 'Secure by Design(설계부터 보안)' 원칙을 준수하는 동시에, 안전한 소프트웨어를 제공할 최적의 경로를 찾고 있습니다.

Google Cloud의 위협 모델링 실제 사례를 통해 이러한 접근 방식을 확인할 수 있습니다. 보안 엔지니어와 소프트웨어 개발팀은 긴밀하게 협력하여 제품에 대한 잠재적 위협을 분석하고, 위험을 완화할 수 있는 조치와 제품 기능을 파악합니다. 이러한 과정이 설계 단계에서 이루어지므로, 개발팀은 소프트웨어 개발 수명 주기 초기에 위협 요소를 제거하여 제품이 설계부터 안전하게 만들어지도록 보장합니다.

엔지니어링을 보안의 근간으로 삼음으로써, 저희는 광범위하고 심층적이며 각 기능이 서로 명확히 연계된 역량들을 구축할 수 있습니다. 그 결과, 이러한 부분들의 단순한 합을 뛰어넘는 총체적인 힘을 발휘하게 됩니다.

위협으로부터 보호하는 것은 이러한 접근 방식의 영향을 보여주는 훌륭한 예입니다. 저희는 방대한 클라우드 위협 환경을 다음 세 가지 특정 영역으로 특성화합니다. 즉, 아웃바운드 네트워크 공격(예: DDoS, 아웃바운드 침입 시도, 취약점 스캔), 리소스 오용(예: 암호화폐 채굴, 불법 비디오 스트리밍, 봇), 콘텐츠 기반 위협(예: 피싱, 악성코드)입니다.

이러한 환경 전반에서 위협 행위자들은 종종 유사한 기술을 사용하고 유사한 취약점을 악용합니다. 이러한 전술에 대응하기 위해 저희 팀은 Google Cloud 제품에서 위험이 고객에게 문제로 발전하기 전에 이를 예방, 탐지 및 완화하기 위한 인텔리전스를 생성합니다.

저희는 위협에 대해서도 "시프트 레프트(shift left, 개발 초기 단계로 보안 강화)"를 실천합니다. 즉, 이러한 시스템적 위험을 식별하여 소프트웨어 및 제품 개발 수명 주기에 반영합니다. 위협 경로를 식별하면 보안 및 제품 엔지니어와 긴밀히 협력하여 위협이 뿌리내리기 전에 제거할 수 있도록 제품 방어 체계를 강화합니다.

저희는 AI, 고급 데이터 과학 및 분석 솔루션을 사용하여 다음 세 가지 핵심 기능에 집중함으로써 미래의 위협으로부터 Google Cloud와 고객을 보호합니다. 즉, 미래 사용자 행동 예측, 위험한 보안 패턴 선제적 식별, 위협 및 보안 운영의 효율성과 측정 가능성 향상입니다.

공격자보다 먼저 공격 경로를 찾아내고, 제품과 서비스가 고객에게 제공되기 전에 취약점을 발견하여 알려지지 않은 보안 위험을 줄이는 것은 저희 임무에 매우 중요합니다. 저희는 단순히 위험을 시뮬레이션하는 데 그치지 않고, 연구원들을 투입하여 클라우드 전체를 하나의 공격 표면으로 간주하도록 합니다. 이 연구원들은 기존과는 다른 새로운 방식으로 여러 취약점을 연쇄적으로 활용하여 저희의 전반적인 보안 아키텍처를 개선합니다.

위협에 대응하는 것은 저희 엔지니어링 환경의 상호 연동된 역량 중 세 번째 핵심 요소입니다. 저희 보안 대응 운영팀은 외부 당사자로부터 오는 해결 전략을 평가하고 구현하며, 포괄적인 업계 전반의 대응에 자주 참여합니다. Google Cloud의 취약점 포상 프로그램(Vulnerability Rewards Program)과의 정기적인 협력은 이 분야에서 저희 성공의 주요 동인이었습니다.

이 모든 영역에는 엄청난 복잡성이 존재하지만, 작업을 안내하는 철학은 간단합니다. 즉, 엔지니어링 프로세스에 보안을 처음부터 통합함으로써, 마지막에 보안을 덧붙이는 것보다 더 효과적이고 더 일찍 시스템을 보호할 수 있다는 것입니다. 개발 수명 주기의 가능한 한 초기 단계에 보안 인력, 프로세스 및 절차를 포함시키고 심층적인 엔지니어링 역량에 투자하면 조직 전체의 의사 결정에 대한 자신감과 비즈니스 회복탄력성을 강화할 수 있습니다.

여러분의 조직 엔지니어링 환경에 보안 모범 사례를 통합하는 방법에 대해 더 자세히 알아보려면 저희 CISO 사무실(Office of the CISO)을 통해 확인하실 수 있습니다.

Google Cloud의 보안 관련 최신 소식

Here are the latest updates, products, services, and resources from our security teams so far this month:

• 개정된 영국 사이버 규범에 따른 이사회의 복원력 강화 방안: Google Cloud가 조직과 이사회가 새롭게 개정된 영국 사이버 규범에 적응하도록 지원하는 방법을 알아보세요. Read more.
• IAM, 액세스 위험 및 클라우드 거버넌스의 새로운 기능: Google의 핵심 임무는 귀사가 정책, 규정 준수 및 비즈니스 목표를 달성하도록 돕는 것입니다. IAM, 액세스 위험 및 클라우드 거버넌스의 새로운 기능을 확인하세요. Read more.
• AI를 보안 조력자로 활용하는 3가지 새로운 방법: 생성형 AI는 이미 명확하고 영향력 있는 보안 결과를 제공하고 있습니다. 조직이 지금 바로 채택할 수 있는 세 가지 결정적인 예를 소개합니다. Read more.
• 새로운 보험 파트너 및 AI 보장 확대를 통한 위험 보호 프로그램 확장: Google은 Next ‘25에서 Google과 사이버 보험사 간의 업계 최초 협력 프로그램인 위험 보호 프로그램의 주요 업데이트를 공개했습니다. 새로운 소식을 확인하세요. Read more.
• 통찰력에서 실행까지: M-Trends, 에이전트 AI, 그리고 RSAC 2025에서 방어 역량 강화 방안: 최신 M-Trends 보고서부터 Google 통합 보안, 제품 포트폴리오 및 AI 기능 전반의 업데이트에 이르기까지 RSAC에서 전해드리는 새로운 소식을 확인하세요. Read more.
• 보안 운영에서 에이전트 AI의 여명: 에이전트 AI는 지능형 에이전트가 인간 분석가와 함께 작업하는 보안팀에 근본적이고 지각 변동적인 변화를 약속합니다. 에이전트 미래에 대한 Google의 비전을 소개합니다. Read more.
• 2025년 Android 보안 및 개인 정보 보호의 새로운 기능: Android에서 사기, 부정 행위 및 도난으로부터 사용자를 안전하게 보호하기 위해 업계 최고의 보호 기능을 기반으로 하는 새로운 기능과 개선 사항을 발표합니다. Read more.

이번 달에 게시된 더 많은 보안 관련 소식은 Google Cloud 블로그를 방문하세요.

위협 인텔리전스 소식

• COLDRIVER, 서방 표적 및 NGO로부터 데이터 탈취 위해 신규 악성코드 사용: Google 위협 인텔리전스 그룹(GTIG)은 러시아 정부 지원 위협 그룹 COLDRIVER(UNC4057, Star Blizzard, Callisto로도 알려짐)가 서방 정부 및 군, 언론인, 싱크탱크, NGO로부터 데이터를 탈취하는 데 사용한 신규 악성코드를 확인했습니다. Read more.
• 최전선에서 전하는 사이버 범죄 강화 지침: 현재 미국 소매 부문이 랜섬웨어 공격의 표적이 되고 있으며, GTIG는 UNC3944(Scattered Spider로도 알려짐)와 관련된 것으로 의심하고 있습니다. UNC3944는 지속적인 사회 공학적 기법 사용과 피해자와의 뻔뻔한 소통을 특징으로 하는 금전적 동기의 위협 행위자입니다. 이들의 위협 활동에 대응하기 위한 최신 사전 강화 권장 사항을 확인하세요. Read more.

이번 달에 게시된 더 많은 위협 인텔리전스 관련 소식은 Google Cloud 블로그를 방문하세요.

최신 팟캐스트

• 귀사의 이사회는 사이버 보안에 얼마나 능숙한가요?: 저희는 오랫동안 이사회가 기초적이면서도 최첨단인 사이버 보안 과제에 대해 신속하게 파악하는 것의 중요성을 강조해 왔습니다. 이것이 바로 CISO 사무국의 데이비드 호모비치, 알리샤 케이드, 닉 갓프리가 진행하는 새로운 월간 팟캐스트 "사이버에 능숙한 이사회(Cyber Savvy Boardroom)"를 시작한 이유입니다. 처음 세 개의 에피소드에는 카렌앤 테럴, 크리스찬 카람, 돈 칼라한과 같이 직관력, 전문성, 지침으로 잘 알려진 보안 및 비즈니스 리더들이 출연합니다. Listen here.
• AI 에이전트부터 MLSecOps의 출처까지: MLSecOps란 무엇이며, CISO는 이에 대해 무엇을 알아야 할까요? Protect AI의 CSO인 다이애나 켈리가 호스트 안톤 추바킨 및 팀 피콕과 함께 머신러닝 모델 보안에 대해 심도 있게 논의합니다. Listen here.
• RSAC 2025에서 배운 점: 안톤과 팀이 올해 RSA 컨퍼런스 경험에 대해 토론합니다. 전시장은 오늘날 정보 보안 환경의 복잡한 현실을 얼마나 잘 반영했을까요? Listen here.
• 올해 M-Trends 해부: GTIG의 커스티 페일리와 맨디언트 사고 대응팀의 스콧 러넬스가 안톤 및 팀과 함께 표준 사고 보고서를 올해 M-Trends에서 볼 수 있는 더 큰 그림의 검토로 전환하는 과제에 대해 이야기합니다. Listen here.
• 방어자의 이점: UNC5221이 Ivanti Connect Secure VPN을 표적으로 삼은 방법: 맨디언트의 맷 린과 Ivanti의 다니엘 스파이서가 호스트 루크 맥나마라와 함께 UNC5221의 Ivanti 대상 캠페인에 대한 조사 및 대응에 대해 자세히 알아봅니다. Listen here.

매월 두 번 Cloud CISO Perspectives 게시물을 받은 편지함으로 받아보시려면 뉴스레터를 구독하세요. 몇 주 후에 Google Cloud의 더 많은 보안 관련 업데이트로 다시 찾아뵙겠습니다.