👩🍳 IT 셰프 PICK! Chef’s Choice 👨🍳
|
|
|
오늘 살펴볼 내용은요🍽
1.클라우드를 노리는 보안 위협
2.클라우드 보안의 핵심, 데브섹옵스(DevSecOps)
3.아무도 믿지 마세요! 제로 트러스트
|
|
|
님, 어서 오세요.
소중한 클라우드, 절.대.지.켜!
클라우드 방위대 야밋 셰프가 준비한
'클라우드 보안' 이야기를 들려드릴게요👨🍳.
|
|
|
[Starter] 클라우드 속 데이터가 위험해 |
|
|
넷플릭스 영화 <스마트폰을 떨어뜨렸을 뿐인데>의 주인공 나미는 우연히 스마트폰을 잃어버린 후 돌이킬 수 없는 사건들을 겪게 돼요. 스마트폰을 주운 해커가 스파이웨어를 설치해 스마트폰에 있는 연락처, 사진, 비밀번호 등 각종 개인정보를 갈취하고 나미의 모든 일상을 감시하죠😡. 이처럼 현대 사회에서 실제로 자신의 분신과도 같은 스마트폰을 잃어버린다면, 우리의 소중한 데이터는 순식간에 위험에 빠질 수 있어요. 만약 사용자가 스마트폰과 클라우드를 동기화 시켰을 경우 스마트폰 속 데이터는 고스란히 클라우드에 저장되기 때문에, 클라우드 속 데이터까지 위험에 노출될 수 있는 거죠😮!
구름 속 정보를 노리는 어둠의 그림자
최근 클라우드 사용량이 증가함에 따라 클라우드 보안 취약점을 악용하는 범죄도 늘어나고 있어요. 지난해 6월, 중국 상하이 공안 시스템의 클라우드 서버가 해킹돼 중국인 10억 명의 개인 정보가 유출되는 사건이 발생했어요🚨. 해커는 23.88TB 분량의 개인 정보를 10비트코인(당시 약 2억 6천만 원)에 판매하려고 시도했다고 해요. 기업이 이용하는 클라우드의 보안 체계가 무너지면 결국 그 기업을 이용하는 수많은 사용자의 보안까지 위협받을 수 있어요. 도미노가 무너지는 것처럼 2차, 3차 문제가 발생하는 거죠.
|
|
|
소중한 클라우드를 지켜내기 위해선 어떤 방법이 필요할까요?
오늘의 요리는 셰프의 비밀 레시피로 만든 ‘클라우드 보안’이랍니다👩🍳! |
|
|
[Main Dish] 미션! 위험에 처한 구름을 구해라 |
|
|
우리는 클라우드를 통해 인터넷만 사용 가능하면 언제 어디서든 원하는 소프트웨어와 데이터에 접근할 수 있어요. 클라우드는 방대한 양의 데이터를 효율적으로 저장·관리해주기 때문에 편리하고, IT 자원을 직접 구매할 필요가 없어 비용 측면에서도 경제적이죠. 이러한 클라우드 환경에서 애플리케이션을 쉽고 안정적으로 개발하고 운영할 수 있도록 지원하는 방식이 지난 야밋 22호에서 만나본 '클라우드 네이티브'였어요☁.
반면 클라우드 사용량이 증가하고 여러 구성원이 클라우드를 사용할수록 기업에서는 계정 관리가 더욱 복잡해져요. 보호해야 할 데이터가 기하급수적으로 늘어남과 동시에, 클라우드 보안 취약점을 통해 악성코드에 노출되거나 서버가 해킹될 수 있기 때문이죠. 그렇다면 어떻게 클라우드를 안전하게 관리할 수 있을까요?
|
|
|
STEP 1. 데브옵스 이해하기
데브옵스란 개발(Development)과 운영(Operations)이 합쳐진 단어로, 개발과 운영 간의 프로세스를 긴밀하게 연결하고 자동화해서 효율성을 극대화하는 방법을 말해요. 과거 IT 업계는 개발팀과 운영팀이 나뉘어 업무를 수행했지만, 이러한 방식은 운영 단계에서 문제를 발견하면 다시 개발 단계로 돌아가 처음부터 문제를 해결해야 하는 번거로움이 있었어요. 이를 해결하기 위해 개발하는 동시에 피드백을 바로 적용하며 운영하는 데브옵스 방법론이 만들어졌답니다🌞.
STEP 2. 데브옵스에 보안이 필요한 이유는?
이전에는 소프트웨어 개발이 끝나면 별도 보안팀에서 보안 점검을 했어요. 하지만 소프트웨어 개발 주기가 빨라지고 디지털 전환이 가속화됨에 따라 이러한 방식에는 한계가 있었죠. 클라우드 환경에서 모든 단계에 걸쳐 지속적이고 일관성 있게 보안 정책을 유지할 수 있는 방법이 필요했어요. 뿐만 아니라 클라우드 해킹 공격 수준이 향상되면서 데브옵스에도 보안이 필요하다는 목소리가 높아졌죠🔐.
데브섹옵스(DevSecOps)란 데브옵스에 보안(Security)을 추가한 개념이에요. 글로벌 리서치 기업 가트너(Gartner)가 2012년 공개한 'DevOpsSec : Creating the Agile Triangle'이라는 문서에서 처음 등장했는데요. IT 개발, 배포, 운영, 관리 등 전 영역이 보안과 밀접하게 연계되어 있으니, 보안을 모두의 책임으로 간주하고 전체 개발 주기 동안 보안 기반을 다져야 한다고 언급했어요.
잠깐만, DevOpsSec? DevSecOps?
야밋 셰프가 깔끔하게 정리해 드릴게요👩🍳. 앞서 말한 것처럼 처음에는 데브옵스섹이라는 용어로 쓰였어요. 하지만 보안이 개발이나 운영 중 어느 단계에 속하는 것이 아니라, 데브옵스 전반에 걸쳐 필요하기 때문에 보안을 의미하는 Sec이 Dev와 Ops 사이에 위치하는 지금의 데브섹옵스라는 명칭으로 사용하게 되었답니다.
데브섹옵스는 개발 초기부터 배포와 운영까지 모든 단계에서 보안에 필요한 요소를 지속적으로 검토해요. 보다 꼼꼼하게 보안 활동을 수행하면서 선제적으로 보안 리스크를 최소화시키는 거죠. 혹시 문제가 발생하더라도 빠르게 파악하고 조치할 수 있기 때문에 보안 사고로 인해 서비스가 중단되는 사태를 막을 수 있어요.
|
|
|
기업의 클라우드 전환이 증가하면서, 전문적이고 안정적으로 클라우드를 관리해줄 업체를 선택하는 것 또한 중요한 과제로 떠올랐어요. 이러한 고민을 단번에 해결하기 위해 삼성SDS는 맞춤형 클라우드 도입부터 최적화된 보안 솔루션 적용 및 자동화 구현까지, 데브섹옵스의 모든 것을 성공적으로 도입할 수 있도록 클라우드 서비스를 제공하고 있어요! 안전한 클라우드 사용을 지원하기 위해 공격이 '들어오지 못하게', 데이터가 '나가지 못하게', 만에 하나 '나가더라도 쓸모없게' 하는 철저한 보안 원칙으로 기업의 클라우드 고민을 해결해준답니다.
클라우드 보안은 역시? 삼성SDS!
이뿐만이 아니에요! 삼성SDS는 2022년 IDC MarketScape의 Worldwide Managed Cloud Security Services 부문에서 국내 기업 중 유일하게 Major player에 선정되었어요. IDC MarketScape는 글로벌 IT 시장 조사 기관인 IDC가 발간하는 대표적인 분석 리포트인데요. 현재 시점의 제품, 서비스 경쟁력과 3~5년 후 사업 전략 및 고객 세그먼트를 종합적으로 평가해 해당 분야 기업을 Leaders, Major Players, Contendaers, Participants로 선정해요. 삼성SDS는 2021년에 이어, 2년 연속 IDC 리포트에 등재되어 클라우드 보안에 대한 전문 역량을 세계적으로 인정받았답니다✌️. |
|
|
이번 시간은 '클라우드 파헤치기' 마지막 편으로,
구름을 지키는 방법에 대해 다뤄보았는데요.
오늘의 야밋, 이것만 기억해 주세요!👩🍳 |
|
|
- 📣미션: 위험에 처한 구름을 구하라! 클라우드 보안 취약점을 악용한 범죄는 나날이 증가하고 고도화되어 가는데... 클라우드☁️를 안전하게 지킬 수 있는 방법은 없을까?
- 때마침 등장한 '데브섹옵스(DevSecOps)'. 데브섹옵스란 개발(Development)과 보안(Security), 운영(Operations)을 합친 단어로, 클라우드 환경에서 개발과 운영 전 과정을 아울러 꼼꼼하게 보안 활동을 수행하는 우리의 슈퍼 히어로!🦸♂️
- 개발 초기부터 배포와 운영까지 모든 단계에서 보안을 지속적으로 검토하기 때문에 선제적으로 보안 리스크를 최소화하고, 문제가 발생하더라도 빠른 파악과 조치가 가능하다는 사실! 🙆♀️🙆♂️: 고마워요, 데브섹옵스!
|
|
|
[Side Dish] 아무도 믿지 마세요! 제로 트러스트 |
|
|
제로 트러스트는 ‘Never trust, always verify’라는 의미에서 ‘절대 신뢰하지 말고, 항상 검증하라’는 원칙을 갖고 있어요. 네트워크 상의 모든 사용자, 기기 혹은 애플리케이션이 잠재적인 위협이 될 수 있다는 거죠. 사용자의 위치나 네트워크에 따른 액세스 권한 부여가 아닌 사용자의 신원, 사용 기기, 요청된 내용 등을 기반으로 네트워크에 액세스 권한을 부여해요.
믿지 않아서 안전하다! 제로 트러스트의 장점은?
제로 트러스트 모델은 모든 액세스 요청에 대해 사용자 및 기기 인증과 권한 부여를 강제해요. 사용자가 언제 어디서든 안전하게 액세스할 수 있도록 지원해 업무 유영성을 향상시키고, 기업 내부 및 외부 위협에 대해 적극적으로 대응할 수 있죠💡. 또한 사용자와 기기의 동작을 지속적으로 모니터링해 변경사항을 빠르게 감지하고, 유연하게 대응할 수 있답니다.
믿지 않아서 불편하다! 제로 트러스트의 단점은?
제로 트러스트 모델은 모든 액세스 요청에 대해 인증과 권한 부여가 필수적이기 때문에 실제로 모델을 구현하는 과정이 다소 복잡하다는 단점이 있어요. 모델 구현 과정에서 인프라 요구 사항도 증가해 구현 및 관리 비용도 높아질 수 있고요. 하지만 이러한 단점에도 불구하고 제로 트러스트 모델은 데이터 유형에 상관없이 적용할 수 있기 때문에 가장 안전한 보안 모델로 꼽히고 있어요😉. |
|
|
[Dessert] 야밋 셰프의 비밀 레시피 Quiz👨🍳 |
|
|
오늘의 마지막 요리는 님의 텐션을 업! 시켜줄 디저트 퀴즈랍니다. 퀴즈를 모두 풀고 나의 IT 레벨 이미지를 야밋 놀이터에 인증해 주세요. 추첨을 통해 🍰시원한 아이스 커피🍰를 드립니다. (참여기한: ~5/7(일))
|
|
|
님을 위해 준비한 이달의 Chef’s Choice는 여기까지입니다! |
|
|
Yumm-IT은 더 맛있는 코스로 다시 돌아올게요.
👩🍳또 만나요👩🍳 |
|
|
💡 뉴스레터를 함께 읽고 싶은 친구들이 떠올랐나요?
|
|
|
이번 레터는 어땠나요?
버튼을 클릭해 의견을 남겨주세요! |
지난 야밋 IT 코스가 궁금하다면?
버튼을 클릭해 확인해 보세요! |
|
|
삼성SDS 소셜미디어 yummit@samsungsdsletter.com 서울 송파구 올림픽로35길 125 삼성SDS Campus 02-6155-3114 수신거부 Unsubscribe |
|
|
|
|
