Cloud CISO 관점: 2021년 5월

* 본 아티클의 원문은 2021년 5월 14일 Google Cloud 블로그(영문)에 게재되었습니다.  

5월은 보안 업계에 중요한 달입니다. 2020년 마지막 주요 대면 이벤트 중 하나였던 RSA를 위해 샌프란시스코에서 모인 지 벌써 1년이 넘었습니다. 올해는 대면 이벤트를 열기 힘들겠지만 지금은 보안 업계가 뜻을 모아 그간의 여러 성과를 되돌아보고 아직 우리 앞에 놓여 있는 과제를 고민해야 할 중요한 시기입니다. 세계의 관심이 보안 사고와 아직 해결되지 않은 온갖 위험에 쏠려 있습니다. 하지만 때로는 한발 물러나 규모를 불문하고 많은 기업이 점증하는 위협으로부터 스스로와 고객을 보호하는 일에 거대한 진전을 이뤘음을 인정할 필요가 있습니다. 특히 놀라운 점은 조직들이 디지털 혁신을 가속화하고, 고객을 지원 및 보호하며, 원격 근무와 관련해 지속되는 문제를 관리하면서 이 같은 진전을 이루었다는 것입니다. 조직의 각 팀이 훌륭한 성과를 낼 수 있도록 Google Cloud도 지원을 아끼지 않았습니다. 

2021년 4월에 첫 CISO 관점 블로그 게시물을 게시한 이후 Google Cloud는 분주한 한 달을 보냈습니다. 오늘은 클라우드 보안 및 업계 주요 소식을 요약하고 RSA를 위해 Google이 준비한 사항 등을 간략히 살펴보겠습니다. 

업계 전반에 대한 생각

• 클라우드에서 디지털 혁신의 위험 거버넌스 - 최신 CISO 책임자 백서에서는 클라우드 혁신이 최고 위험 책임자, 최고 규정 준수 책임자, 내부 감사 책임자는 물론 관련 팀에 안겨준 과제와 기회에 대해 안내했습니다. 클라우드로 이전하면 관리해야 할 위험이 더 커질 것이라고 오해하는 책임자들이 종종 있습니다. 이러한 리더 역할을 맡았던 경험이 있는 제가 보기에는 클라우드 자체에 내포된 위험이 있기는 하지만 클라우드는 보안, 복원력, 기타 위험을 관리하는 수단이기도 합니다. 본 백서에서는 디지털 혁신 여정에 나선 조직의 각 리더가 고려해야 할 사항을 자세히 다룹니다. 
• 전 세계 규정 준수 요건 충족의 중요성 - 규정 준수는 공공 부문을 비롯해 규제가 엄격한 업종에 해당하는 고객의 신뢰를 얻는 데 중요합니다. 사고가 막대한 영향을 미칠 수 있는 중요 산업에서는 고객을 보호하는 강력한 업계 관행 및 표준이 필수라는 점을 명심해야 합니다(지난 여름에 게시한 내용 참고). Google Cloud는 전 세계 고객의 니즈를 충족하기 위해 정기적으로 새로운 규정 준수 및 보안 인증을 추가하고 있습니다. 최근에는 Cloud DNS를 포함하도록 FedRAMP 높음 등급의 인증 제품 목록을 확장하고 아시아 태평양 지역의 고객들이 보안 및 데이터 보호에 대한 새로운 정부 규정을 충족할 수 있도록 다양한 규정 준수 요구사항의 해결을 지원했습니다. 또한 Google Cloud는 고객에게 혁신적인 솔루션과 경험을 제공하기 위해 클라우드 인프라 및 기술을 이용하는 유럽의 주요 금융 기관 및 보험 회사 39곳이 연합한 CCAG(Collaborative Cloud Audit Group)와 함께 연례 합동 감사를 실시한 유일한 클라우드 서비스 제공업체입니다. 금융 서비스 산업에서 대부분의 경력을 쌓으면서 저는 고객이 클라우드 제공업체에 원하는 사항을 제공하기 위해서는 아웃소싱 공급업체의 위험 평가를 관리하는 것이 중요하다는 사실을 직접 경험했습니다. 

RSA 2021 

올해 RSA에는 Google 직원들의 유익한 발언 세션과 기조연설이 준비되어 있었습니다. 특히 놓쳐서는 안 될 중요한 일정을 아래에 소개합니다. 

• 저는 5월 20일에 공급망 복원력에 관한 세션을 진행했습니다. 이 세션에서는 전문가 패널이 향후 '공급망에 타격'을 입힐 새로운 위험에 대처하기 위해 위험 및 보안 이니셔티브를 조정하는 방법을 자세히 다룹니다. 또한 5월 18일에는 여러 업계 및 정부의 저명한 CISO 리더들과 함께 기조연설 토론을 통해 차세대 과제 해결을 위한 업계 발전 방향에 관한 주요 보안 통계, 교훈, 권장사항을 공유했습니다. 
• Google 정보 보안 부문 전무이사인 헤더 애드킨스가 규모에 맞게 안전하고 안정적인 시스템을 구축하는 방법에 관한 세션을 진행합니다. '규모에 맞게 안전하고 안정적인 시스템을 구축하는 방법'이라는 제목의 이 세션에서는 Google 사이트 안정성 엔지니어링 도서(여기에서 무료로 다운로드 가능)에 소개된 원칙을 설명합니다. 저는 헤더의 조언이 가장 기대됩니다. 헤더는 조직에서 기본적으로 안전하고 확장성과 안정성을 갖춘 시스템을 설계하도록 지원하는 최신 아키텍처 및 기술을 토대로 업계에서 보안에 대한 사고를 어떻게 재구성할 수 있는지에 대해 다룰 예정입니다.
• Google Cloud 보안 부문의 선임 제품 관리자인 넬리 포터는 컨피덴셜 컴퓨팅 기술, 이 기술이 보안 환경에 가져온 변화, 앞으로 나아갈 방향을 주제로 보안 전문가들과 패널 토론을 갖습니다. 지난 1년간 Google Cloud는 규제 대상 업계 고객을 위한 컨피덴셜 컴퓨팅 포트폴리오를 제공하는 데 있어 큰 진전을 이루었으며 2021년에도 새로운 성과를 달성하리라 기대됩니다.  

Google Cloud 보안 하이라이트

• 인프라 및 SRE 중요 소식 - 저는 Google Cloud에 입사하기 전부터 해저 케이블 혁신부터 SRE 발명 및 원칙에 이르는 Google 고유의 인프라와 이점을 늘 높이 평가해 왔습니다. Google 인프라는 모든 레이어가 보안과 복원력을 기반으로 구축됩니다. 플랫폼을 빌드하고 지원하는 많은 Google 직원들이 고객과 동일한 상황을 겪었기에 고객의 니즈를 잘 알고 있습니다. 지난 몇 달간 기술 인프라팀은 놀라운 성장을 보였으며 안정성, 운영 복원력, 보안 이점을 고객에게 직접적으로 제공했습니다. 예를 들어 폴란드를 새 리전으로 추가했고, 미국과 싱가포르를 급행 선로를 통해 광섬유 페어로 직접 연결하는 최초의 해저 케이블 설치 소식을 발표했으며, 조직의 성공적인 클라우드 마이그레이션을 주제로 한 SRE 도서를 공개했습니다.
• 새로운 보안 기반 청사진 가이드 - Google은 업계에서 가장 신뢰할 수 있는 클라우드를 제공한다는 사명에 따라 위험 관리에 있어 고객과의 공통된 운명 모델을 운영하기 위해 노력하고 있습니다. 이러한 노력에는 Google Cloud에서 고객이 워크로드를 배포하는 방법에 대한 주요 결정 사항과 중점 영역을 다룬 단계별 안내에 관한 의견 공유도 포함됩니다. Google Cloud 보안 기반 가이드와 해당 Terraform 청사진 스크립트를 업데이트한 이유가 여기에 있습니다. 이러한 청사진은 클라우드 보안에 대한 Google의 핵심 원칙을 이해해야 하는 CISO나 Google Cloud에서 조직의 보안, 위험, 규정 준수 요건을 충족하기 위해 팀에 필요한 기술을 빠르게 파악해야 하는 최고 책임자급 경영진 등 기업 내 많은 이해관계자에게 매우 유용합니다. 

Google은 제품에 포함할 기능 유형을 고민할 때 많은 원칙을 따릅니다. 하지만 제가 거듭하여 그 중요성을 강조하는 2가지 원칙은 다음과 같습니다.

1. 보안 제품뿐 아니라 모든 제품에 필요한 보안 기능. 모든 제품은 보안 기능을 기본적으로 제공해야 합니다. Google에서 우수한 보안 제품을 빌드하고 있기는 하지만 보안팀을 비롯한 각 팀이 모든 제품의 기본적인 보안 수준과 보안 기능을 지속적으로 향상하는 데 주력해야 합니다. 

2. 심층 방어. 공격에 대한 심층 방어에만 초점을 두는 것이 아니라 Google과 고객을 위한 방어에도 집중하고 있습니다. 또한 구성 오류나 기타 위험에 대한 심층 방어에 우선순위를 두고 있습니다. 

아래에 소개된 새로운 기능 및 제품에서 Google이 제품 및 모든 형태의 심층 방어를 위해 어떤 노력을 기울이고 있는지 알 수 있습니다. 

• 워크로드 아이덴티티 제휴 - 서비스 계정 키는 강력한 사용자 인증 정보이며 제대로 관리하지 않을 경우 보안상 위험할 수 있습니다. 보다 안전한 접근 방식은 IAM을 사용하여 서비스 계정을 가장할 수 있는 권한을 포함한 외부 ID IAM 역할을 부여하는 워크로드 아이덴티티 제휴를 사용하는 것입니다. 이렇게 하면 리소스에 직접 액세스할 수 있고 서비스 계정 키와 관련된 유지보수 및 보안 부담이 사라집니다. 또한 Google Cloud에서 서비스 계정을 사용하고 인증하는 가장 좋은 방법에 관한 전반적인 안내를 제공하고 있습니다.
• VPC-SC 방향 정책 - VPC 서비스 제어(VPC-SC)를 사용하면 관리자가 Google 관리형 서비스의 보안 경계를 정의하여 서비스에 대한 통신 및 서비스 간 통신을 제어할 수 있습니다. VPC-SC를 사용해 프로덕션 GCP 리소스를 승인되지 않은 VPC 네트워크 또는 인터넷에서 격리할 수 있습니다. 그렇다면 사용자가 설정한 격리 환경 간에 데이터를 전송해야 하는 경우에는 어떻게 해야 할까요? VPC-SC 방향 정책은 격리 환경 간에 효율적이고 안전한 비공개 데이터 교환을 구성할 수 있는 새롭고 안전한 데이터 교환 기능입니다. 
• Anthos Service Mesh의 VM 및 클러스터 지원 - 대부분의 엔터프라이즈 컴퓨팅 리소스가 여전히 VM에 있으며 대다수가 앞으로도 오랫동안 VM에 유지될 것으로 예상됩니다. Anthos 1.7에서는 VM 기반 워크로드가 컨테이너 기반 워크로드와 동일한 메시 기능을 사용할 수 있습니다.
• Cloud Spanner CMEK 및 액세스 승인 - Cloud Spanner는 Google Cloud의 완전 관리형 관계형 데이터베이스로서 무제한 확장성, 고성능, 리전 간 strong consistency, 고가용성을 제공합니다. 이제 Spanner에서 고객 관리 암호화 키(CMEK)와 Google 지원 및 엔지니어링팀이 사용자 콘텐츠에 액세스하기 전에 승인을 받아야 하는 업계 최고의 제어 기능인 Google Cloud 액세스 승인을 지원합니다.
• 외부 키 관리자 개선사항 - 2020년 초에 Google Cloud는 업계 최고의 HYOK(Hold-Your-Own-Key) 제품인 Cloud 외부 키 관리자(Cloud EKM)를 출시했습니다. Cloud EKM을 사용하면 Google Cloud에서 저장 및 처리되는 데이터를 보호하는 데 사용되는 키가 Google Cloud 인프라 외부에서 완전하게 호스팅되고 관리됩니다. Cloud EKM은 출시 당시에는 BigQuery와 GCE/PD를 지원했는데 Cloud SQL, GKE, Dataflow Shuffle, Secret Manager로 지원을 확대했습니다. 현재 CMEK는 베타 버전으로 지원됩니다. 또한 새 백서를 통해 Cloud EKM의 기능, 아키텍처, 사용 사례에 대한 심층 문서도 제공했습니다.
• 웹 앱 및 API 보호 솔루션 -  조직이 고객 및 파트너와 상호작용하는 방식에서 웹 애플리케이션 및 공개 API가 차지하는 중요도가 커지고 있습니다. 사기와 악용으로부터 이러한 리소스를 보호하기 위해 도구에 대한 투자가 증가하고 있습니다. Google Cloud의 새로운 웹 앱 및 API 보호 솔루션에는 Google이 공개용 서비스를 웹 애플리케이션 악용, DDoS 공격, 사기성 봇 활동, API를 노린 위협으로부터 보호하기 위해 사용하는 기술이 동일하게 적용됩니다. 이 기술은 클라우드 및 온프레미스 환경에서 보호를 제공합니다.
• Threat Intel for Chronicle - 대부분의 위협 인텔리전스 피드에는 보안팀의 구현과 사전 조사가 필요합니다. 하지만 새로운 Threat Intel for Chronicle 제품에서는 보안 원격 분석에 인텔리전스 통계가 자동으로 적용되어 환경 내의 고유한 관찰 결과를 제공합니다. Google Cloud의 인텔리전스 연구 및 애플리케이션팀인 Uppercase가 기업 고객만을 위해 선별하는 Threat Intel for Chronicle에서는 인터넷 전반의 위협에 대한 Google의 관점을 제공하고 위협을 관련 알림으로 보냅니다.

이것으로 한 달간의 주요 소식을 마무리합니다. 메일로 매달 이 Cloud CISO 관점 게시물을 받아보려면 여기를 클릭해 신청하세요.