Cloud CISO Perspectives: 2024년 사이버 보안 전망 보고서
Phil Venables
VP, TI Security & CISO, Google Cloud
Nick Godfrey
Senior director, Office of the CISO, Google Cloud
Hear monthly from our Cloud CISO in your inbox
Get the latest on security from Cloud CISO Phil Venables.
Subscribe*본 아티클의 원문은 2023년 12월 22일 Google Cloud 블로그(영문)에 게재되었습니다.
2023년 12월 두 번째 Cloud CISO Perspectives 보고서에 관심을 가져 주셔서 감사합니다. 한 해를 마무리하고 새해를 시작한 의미로, 작년 가장 큰 관심을 끌었던 보안 업데이트는 무엇이었는지 알아보고, CISO실 전무이사인 닉 갓프리가 CISO의 관점에서 소개하는 미래 지향적 인사이트와 2024년 Google Cloud의 새로운 사이버 보안 전망 보고서를 살펴보겠습니다.
2023년은 IT가 세상을 완전히 뒤집어 놓았던 유례없는 한 해였습니다. Google 보안에 근 20년간 머신러닝과 AI를 사용해 왔지만, 생성형 AI의 등장은 업계를 떠들썩하게 만든 것은 물론 Google Cloud의 보안 업데이트에도 지대한 영향을 미쳤습니다. 다음은 올해 Google Cloud에서 공유한 보안 업데이트 중 독자와 고객으로부터 가장 많은 관심을 받은 주요 10가지 보안 업데이트 목록입니다.
모든 Cloud CISO Perspectives 보고서와 마찬가지로, 이 뉴스레터의 내용은 Google Cloud 블로그에 게시됩니다. 현재 웹사이트에서 이 페이지를 읽고 있는 경우, 이메일로 뉴스레터를 받아보시려면 여기에서 구독을 신청해 주세요.
Google Cloud의 2024년 사이버 보안 전망 보고서
Nick Godfrey, CISO 전무이사
사이버 보안은 사후 대응적 방어 활동으로 보이는 경우가 많습니다. 최신 제로데이 취약점에 분주하게 대응하거나, 쏟아지는 알림의 바다에 압도되지 않으려고 허우적대거나, 빠르고 깊이 있게 연구를 진행하거나, 비즈니스 리더와 이사회에 계속해서 보안 니즈를 알리기 위해 고군분투하는 모습처럼 말이죠. 그러나 사전 대비는 조직의 리더가 반드시 챙겨야 하는 사이버 보안의 핵심입니다. 따라서 Google Cloud의 새로운 사이버 보안 전망 보고서를 통해 현재 트렌드를 바탕으로 다가오는 새해에 발생이 예상되는 시나리오를 살펴보고자 합니다.
보고서는 Mandiant Intelligence, Mandiant Consulting, Chronicle Security Operations, Google Cloud CISO실, VirusTotal 등 여러 Google Cloud 보안팀과 협력하여 작성되었습니다. 아래에서 Google Cloud CISO실의 새로운 인사이트를 바탕으로 한 보고서의 몇 가지 핵심 사항을 확인하실 수 있습니다.
직원이 더 안전한 엔터프라이즈급 AI 도구 대신 소비자급 AI 도구를 사용함에 따라 업무 환경에서 섀도우 AI 사례가 증가하고 있습니다.
보안팀과의 소통을 주도하는 생성형 AI
위협 행위자와 보안팀 모두에서 생성형 AI와 기반 모델의 역할이 빠르게 커지리라 예상됩니다. 위협 행위자 역시 정보 운영의 규모를 키우기 위해 AI를 사용할 확률이 높고, 이에 따라 '피싱, SMS, 기타 소셜 엔지니어링 운영'이 더욱 적법해 보이는 형태로 나타날 것이라는 예상을 보고서에 밝힌 바 있습니다. 오탈자와 문법적 오류가 적고 문화적 맥락에도 잘 맞는 내용을 담은 피싱 공격 콘텐츠를 만들기 위해 위협 행위자들은 AI를 활용할 확률이 높습니다.
공격자들이 계속해서 혁신을 거듭하고 있기는 하나, 기업의 사이버 대응에서도 이들을 막기 위해 개선된 도구를 사용할 수 있습니다. 보안팀은 생성형 AI 및 관련 기술을 사용하여 공격자에 대한 감지, 대응, 추적을 대규모로 강화하고 분석은 물론 리버스 엔지니어링과 같이 시간이 많이 드는 기타 작업의 속도를 높일 수 있습니다. 장기적인 관점에서, 조직이 보안을 강화하는 데 AI를 사용한다면 반복 업무 감소, 위협 과부하 해결, 확대되는 인재 격차 해소에 큰 도움이 되리라 기대합니다.
Marina Kaganovich, CISO 최고 신뢰 책임자
직원이 더 안전한 엔터프라이즈급 AI 도구 대신 소비자급 AI 도구를 사용함에 따라 업무 환경에서 섀도우 AI의 사례가 증가하고 있습니다. 생성형 AI 도구와 사용 사례는 시간이 지남에 따라 발전할 것이므로 조직은 이러한 경향에 앞서 대응해야 합니다. 조직에서는 생성형 AI를 성공적으로 안전하게 구현하기 위한 계획을 수립해야 하며, 이는 조직의 사용 사례에 맞는 생성형 AI 도구를 선택하는 것에서부터 시작됩니다.
Toby Scales, CISO 자문 담당자
생성형 AI 모델 개발에 관여하는 회사는 모델 출력의 오류나 누락에 대해 책임져야 하는 경우가 점점 더 많아질 것이며, 생성형 AI 모델을 채택하기로 한 기업은 기반 모델의 한계와 이를 보호하기 위한 새롭고 고유한 방법을 모두 알고 있어야 합니다. (예: Langchain, Rebuff 등 오픈소스 소프트웨어 도구 사용) 혁신의 속도가 점점 빨라지고, 기술의 혁신과 인간 윤리가 충돌하면서 책임감 있는 AI를 유도하기 위한 공공의 AI 원칙 선언과 정부 주도의 노력이 더욱 중요해질 것입니다.
새로운 SEC 규칙에 따라 보험 및 법률적 지원, 사이버 보안 및 위험 관리에 대한 이사회 및 고위 경영진의 명시적인 책임 설명과 같은 필수적인 직무 보호 조치는 필수적이게 될 것입니다.
CISO와 마찬가지로 최고 책임자와 이사회의 책임도 늘어날 것
Taylor Lehmann, CISO 디렉터
새로운 SEC 규칙에 따라 보험 및 법률적 지원, 사이버 보안 및 위험 관리에 대한 이사회 및 고위 경영진의 명시적인 책임 설명과 같은 필수적인 직무 보호 조치는 필수적이게 될 것입니다. 사이버 보안 결과에 대해 CISO가 개별적으로 책임을 져야 하고 비기술 부문 경영진의 책임이 아니라는 기존의 개념은 더 이상 받아들여지지 않을 것입니다.
David Homovich, CISO 보안 컨설턴트
2023년에는 여러 산업 분야의 이사회가 사이버 보안 감독에 더욱 적극적으로 나섰는데, 이는 주로 진화하는 위협 및 새로운 규정의 잠재적 영향과 관련된 비즈니스 위험 증가로 인한 조치였습니다. 이사회의 이 같은 적극적인 참여는 사이버 보안이 더 이상 IT에 국한된 문제가 아니며, 전반적인 위험 관리 프로세스를 효과적으로 구축하는 데 있어 중요한 구성 요소라는 인식이 확산하고 있음을 시사합니다. Google Cloud는 책임자들이 관련 교육을 받고, 적극적으로 참여하며, 효과적인 감독을 위해 최신 정보를 숙지하도록 계속 지원할 예정입니다. 예산과 리소싱을 비롯한 운영 계획을 아직 수립하지 않았다면 지금 바로 시작하시기 바랍니다.
미리 구성되어있는 독자적인 워크플로 및 감지 콘텐츠로 보안 프로그램을 즉시 시작하고 고객에게 큰 가치를 제공할 수 있습니다.
SecOps를 중심으로 더 많은 통합이 예상
Anton Chuvakin, CISO 보안 자문 담당자
보안 운영의 통합은 양날의 검과도 같습니다. 효율성과 통합을 보장하는 반면, 특정 공급업체에 종속되거나 혁신을 저해할 위험도 있습니다. 조직이 경직된 플랫폼과 사일로화된 데이터를 피하도록 지원하려면 그 자체로 훌륭하면서 다른 도구와도 원활하게 호환되는 더욱 간편한 도구가 필요하다는 것이 Google Cloud의 생각입니다. 미리 구성되어있는 독자적인 워크플로 및 감지 콘텐츠로 보안 프로그램을 즉시 시작하고 고객에게 큰 가치를 제공할 수 있습니다. 하지만 감지 및 대응 도구를 최대한 활용하려면 그 이상의 접근 방식이 필요합니다.
즉, 콘텐츠를 만능 열쇠가 아닌 시작 지점으로 다루어야 합니다.
- 공급업체에서 제공한 콘텐츠와 워크플로를 주어진 환경 및 위협에 맞게 조정합니다.
- 위협을 분석하고, 플레이북을 개발하고, 공급업체에서 제공한 콘텐츠 이상의 정보를 바탕으로 결정을 내릴 수 있도록 내부 전문성을 갖추는 데 투자하고 팀원들을 교육합니다.
- 오픈소스 위협 피드, 위협 연구 커뮤니티를 비롯한 다양한 인텔리전스로 공급업체 인텔리전스를 보완합니다.
오늘날 보안 사고의 절반 이상을 차지하는 ID 관리 문제와 구성 오류가 계속해서 주요 위협 문제가 될 것입니다.
하이브리드 및 멀티 클라우드 환경을 표적으로 하는 공격의 영향력 증대
Jorge Blanco, CISO 디렉터
2023년 한 해 동안 공격자들은 여러 목표 대상 환경 간의 경계를 넘기 위해 더욱 정교한 공격을 시도했습니다. 하이브리드 클라우드, 퍼블릭/프라이빗 클라우드, 멀티 클라우드 등 조직에서 사용하는 다양한 기술 전략으로 인해 이러한 환경을 방어하기가 더 어려워질 수 있습니다.
오늘날 보안 사고의 절반 이상을 차지하는 ID 관리 문제와 구성 오류가 계속해서 주요 위협 문제가 될 것입니다. 현명한 조직이라면 올바른 인증 관리와 정책 시행, 클라우드 환경 및 아키텍처에 중점을 둔 핵심 교육을 통해 구성 오류를 방지하여 위험을 줄일 수 있습니다.
Erin Joe, CISO 사이버 보안 부문 선임 경영진
국가 차원의 사이버 범죄 위협 행위자들은 에지 기기와 보안 어플라이언스를 악용하기 위해 제로데이 취약점, 대중적으로 알려졌지만 아직 패치되지 않은 취약점을 집중적으로 빌드하고하고 이용하고 있습니다. 이러한 공격 유형은 방화벽이나 엔드포인트 보안 어플라이언스 등 기존의 보안 접근 방식으로는 감지하기 어려운 경우가 많습니다.
보안 리더는 이러한 위협에 대응하기 위해 앞으로 한 해 동안 시간을 투자하여 심층 방어 전략이 충분히 광범위하고 깊이 있게 적용되도록 해야 합니다. 또한 비즈니스 리더와의 협업을 통해 자동화 및 AI 기반 기술을 사용하여 보안 접근 방식을 현대화하는 데 힘써야 합니다.
클라우드 도입 관련 위험, 규정 준수, 제어를 담당하는 리더는 2024년에 조직이 위험 관리 결과를 디지털 혁신 목표의 강력한 동력으로 전환하도록 지원하는 중요한 역할을 수행하게 될 것입니다.
업무 환경 전반의 협업 및 사이버 보안
Odun Fadahunsi, CISO 금융 서비스 부문 최고 신뢰 책임자
2023년에는 클라우드 도입을 감독하는 위험 관리 리더를 한자리에 모아 클라우드 도입 위험 관리 리더를 위한 라운드테이블 세션을 열었습니다. 클라우드 도입 관련 위험, 규정 준수, 제어를 담당하는 리더는 2024년에 조직이 위험 관리 결과를 디지털 혁신 목표의 강력한 동력으로 전환하도록 지원하는 데 중요한 역할을 수행하게 될 것입니다.
Bill Reid, CISO 보안 컨설턴트
지난 한 해는 환자의 안전을 위해 의료 기기 보안의 분수령이 되었던 시기였습니다. FDA는 안전하고 효과적인 의료 기기를 개발하는 데 있어 양질의 사이버 보안이 필수적이라고 밝힌 바 있습니다. 새로운 법규에 따라 모든 신규 의료 기기는 반드시 보안 내재화 설계를 포함해야 하고, 취약점 및 패치 관리를 계속해서 강력하게 지원해야 하며, Software bill of materials, SBOM (소프트웨어 자재 명세서)를 제공해야 합니다. 이 같은 새로운 규정이 강력하게 시행될 것으로 예상되는 만큼 보안 작업이 제조업체의 품질 관리 시스템과 같은 선상에서 이루어지도록 하는 것이 중요합니다.
Vinod D’Souza, CISO 제조 및 산업 부문 책임자
공급망 취약점이 화두가 되리라고 봅니다. 글로벌 공급업체에 대한 의존도와 상호 연결 시스템의 지속적인 융복합으로 인해 악의적인 행위자가 중요한 인프라를 침해하고 프로덕션을 방해하는 데 사용하는 새로운 공격 지점이 생겨나고 있습니다. 차량 해킹, 스마트 에너지 그리드 취약점, 운영 기술 악용, 지식 재산 도용 및 경쟁사 비하를 모두 포함하는 산업 스파이 행위 등 다양한 영역에서 이러한 현상이 나타나고 있습니다. 고객은 클라우드 기술을 활용하고 적재적소에서 AI 역량을 강화하여 보안 상황을 혁신하기 위한 계획을 수립해야 합니다.
최신 소식 요약
다음은 이번 달까지 Google Cloud 보안팀에서 제공한 업데이트, 제품, 서비스, 리소스 관련 최신 소식입니다.
- '섀도우 AI' 집중 조명 - 위험한 AI 관행으로부터 보호하는 방법: 비즈니스 환경에서 소비자급 AI를 사용하는 섀도우 AI라는 새로운 트렌드가 조직에 위험을 야기할 수 있습니다. 엔터프라이즈급 AI를 택해야 하는 이유를 알려드립니다. 더보기
- 유럽 조직들이 Google Sovereign Cloud 솔루션으로 혁신하는 방법: Google의 Sovereign Cloud 솔루션이 생성형 AI 및 데이터 분석과 같은 획기적인 기술 도입을 가속하는 데 어떻게 도움이 되었는지에 관한 사례를 살펴보세요. 더보기
- 안전한 클라우드 환경을 위한 사용자 인증 정보 자동 탐색 도구 소개: Google Cloud는 일반 텍스트에 저장된 사용자 인증 정보를 찾고 모니터링할 수 있는 Sensitive Data Protection 무료 보안 비밀 탐색 도구를 출시했습니다. 더보기
Mandiant에서 제공한 새로운 소식
- 악성 광고 대응 - 멀버타이징 캠페인을 차단한 비결: 올해 초 Mandiant의 Managed Defense 위협 헌터들이 스폰서 검색엔진 결과 및 소셜 미디어 게시물에서 새로운 악성 광고 캠페인을 발견했습니다. Mandiant는 Google 안티 멀버타이징팀과 협력하여 광고 생태계에서 악성 광고를 삭제한 다음, 영향을 받는 다른 조직에서도 조치를 취할 수 있도록 알림을 보냈습니다. 더보기
- Gophers와 Crabs를 위한 FLOSS: Go와 Rust 실행 파일에서 문자열 추출: 진화하는 소프트웨어 개발 환경에 Go, Rust 등 새로운 프로그래밍 언어가 도입되었습니다. Go 및 Rust 실행 파일의 정적 분석을 지원할 수 있도록 이제 FLOSS에서 향상된 알고리즘을 사용해 프로그램 문자열을 추출해 줍니다. 더보기
- 2023년 Google 프로그래밍 경진대회(Summer of Code)에서 FLARE의 멀웨어 분석 도구 개선: 올여름에는 FLARE팀이 글로벌 오픈소스 소프트웨어 개발 멘토링 프로그램인 Google 프로그래밍 경진대회(GSoC)에 처음으로 참가했습니다. 여기에서 2023년 FLARE GSoC 프로젝트를 간단히 살펴보세요. 더보기
Google Cloud 보안 및 Mandiant 팟캐스트 소개
- Kevin Mandia가 말하는 클라우드 위협: 한 해를 마무리하며 Google Cloud의 Mandiant CEO가 진행자 안톤 슈바킨, 팀 피콕과 함께 새로운 위협 행위자와 기존의 실수, 모두를 위한 교훈에 관해 이야기를 나눕니다. 내용 듣기
한 달에 2번 발행되는 Cloud CISO Perspectives 게시물을 이메일로 받아보려면 뉴스레터 구독을 신청하세요. Google Cloud의 더 많은 보안 관련 업데이트 소식으로 1월에 다시 찾아뵙겠습니다.