요즘은 새로운 시스템이나 서비스를 만든다고 하면
대부분 클라우드를 전제로 이야기가 시작됩니다.
직접 서버를 두지 않더라도
SaaS, IaaS, PaaS 형태로
여러 가지 서비스를 조합해서 쓰는 경우가 많습니다.
클라우드 보안이라고 하면 거창하게 들리지만,
실무에서 먼저 챙겼던 것들은
오히려 비교적 기본적인 것들이었습니다.
누가 어떤 콘솔에 들어갈 수 있는지
클라우드 환경에서 제일 먼저 보는 것은
어떤 계정이 어떤 콘솔에 접근할 수 있는지입니다.
- 관리자 콘솔에 접속 가능한 계정 수
- 계정별 권한 수준 (읽기, 운영, 관리 등)
- 개인 계정과 공용 계정 사용 여부
이 부분이 정리되어 있지 않으면
나중에 리소스가 늘어날수록
구조가 복잡해지고,
사고가 났을 때 추적하기도 어려워집니다.
가능하면
- 개인별 계정을 발급하고
- 역할별 권한을 나누고
- 공용 계정 사용은 최소화하는 방향이
관리에도, 보안에도 도움이 됐습니다.
기본 설정 그대로 두고 쓰고 있지는 않은지
클라우드 서비스들은
편하게 쓰라고 기본값을 제공해주지만,
그 기본값이 항상 우리 조직에 맞는 것은 아닙니다.
예를 들면
- 공개 범위 설정 (퍼블릭/프라이빗)
- 로그·감사 기능 활성화 여부
- 백업 및 스냅샷 정책
- 암호화 옵션 (저장·전송 구간)
처음 세팅할 때
한 번만이라도 기본값을 점검해 보고
필요한 부분을 조정해 두면
나중에 “몰라서 그냥 쓰다가” 생기는 사고를 줄일 수 있습니다.
SaaS에 어떤 데이터를 올리고 있는지
업무용으로 쓰는 협업툴, 메신저, 파일 공유 서비스에는
의외로 많은 정보가 쌓입니다.
- 회의록, 기획 문서, 보고서, 계약서
- 로그 캡처, 화면 캡처, 샘플 데이터
이 중에는
개인정보나 중요한 내부 정보도 섞여 있을 수 있습니다.
그래서 어떤 종류의 데이터를
어느 수준까지 올리는 것을 허용할지
조직 차원에서 기준을 정해두는 편이 좋았습니다.
완전히 막기보다는
- 예시를 들어서
- 어떤 자료는 올려도 괜찮고
- 어느 선부터는 내부 시스템만 쓰도록 할지
구체적으로 안내하면
현업에서도 조금 더 현실적으로 받아들였습니다.
로그와 알림을 실제로 보고 있는지
클라우드 서비스들은
로그 기능과 알림 기능을 많이 제공합니다.
하지만
- 기능이 있는 것과
- 실제로 보고 있는 것은
다른 문제일 때가 많습니다.
실무에서는
- 이상 로그인, 권한 변경, 리소스 생성·삭제 같은 이벤트를
- 어떤 채널로, 누구에게, 어느 수준에서 알릴지
정해 두는 것부터 시작하는 편이 좋았습니다.
알림이 너무 많으면 무시하게 되고,
너무 적으면 중요한 신호를 놓치게 됩니다.
이 사이의 적당한 선을 찾는 것도 하나의 과제였습니다.
결국 책임은 어디에 있는가
클라우드 보안에서 자주 나오는 표현 중 하나가
“공유 책임 모델”입니다.
서비스 제공자가 책임지는 영역과
이용자가 책임지는 영역이 나뉘어 있다는 뜻입니다.
실무에서는 이 개념을 너무 어렵게 보기보다는
- 물리적인 인프라와 기본 보안은
제공자가 책임지는 부분이 크고 - 계정·권한, 데이터 분류, 접근 관리, 로그 확인 등은
결국 우리가 맡아야 할 영역이라는 정도로 정리해 두고 있습니다.
어느 쪽이든
“사고가 나면 같이 설명해야 하는 사람들”이라는 점에서는
크게 다르지 않다는 생각도 듭니다.
'정보보안 인프라·실무' 카테고리의 다른 글
| 27. IPS와 WAF 기능 비교를 넘어서 운영 관점에서 느낀 차이들 (0) | 2025.12.10 |
|---|---|
| 22. 방화벽 정책을 리뉴얼할 때 실무에서 꼭 거치는 세 단계 (0) | 2025.12.08 |
| 17. 재택·원격 근무가 늘어날수록 신경 쓰이던 것들 (0) | 2025.12.08 |
| 15. 계정·권한 관리, 생각보다 사고와 직결되는 이유 (0) | 2025.12.08 |
| 5. 이 링크 눌러도 될까? 피싱을 걸러내는 5가지 체크리스트 (0) | 2025.12.08 |