많은 중소기업 경영자들이 밤잠을 설치게 하는 현실이 있습니다. 클라우드 환경 설정 오류 하나로 고객 데이터가 유출되고, 규제 기관으로부터 벌금을 부과받고, 경쟁업체에 기업 이미지를 빼앗길 수 있다는 것입니다. 이 모든 일이 아침 커피를 마시기도 전에 일어날 수 있습니다. 하지만 다행인 점은 클라우드 환경을 안전하게 보호하는 데 수십만 달러의 보안 예산이나 전담 IT 부서가 필요한 것은 아니라는 것입니다. 올바른 우선순위를 올바른 순서로 적용하기만 하면 됩니다.
당신이 직면할 가장 큰 위험은 아마 당신이 생각하는 것과는 다를 것입니다
대부분의 중소기업은 클라우드 서비스 제공업체가 서버를 관리해주기 때문에 안전하다고 생각합니다. 하지만 이러한 생각은 큰 손실로 이어질 수 있습니다. 클라우드 제공업체는 인프라만 보호합니다. 그 위에 실행되는 데이터, 사용자 권한, 설정 등을 보호하는 것은 전적으로 기업의 책임입니다.
공격자들이 가장 흔히 침입하는 경로는 어처구니없을 정도로 평범합니다. 과도한 권한이 부여된 계정, 공개된 채로 방치된 스토리지 버킷, 애플리케이션에 하드코딩된 자격 증명 등이 그 예입니다. 이러한 취약점들은 정교한 해킹 기술을 필요로 하지 않습니다. 자동화된 봇은 클라우드 환경을 24시간 내내 스캔하며, 노출된 후 몇 분 안에 이러한 허점을 찾아냅니다.
정체성에서 시작하여 외부로 확장해 나가십시오
보안 도구에 돈을 쓰기 전에 먼저 클라우드 계정에 접근 권한이 있는 사람과 프로그램을 감사하십시오. 사용하지 않는 계정 정보는 삭제하고, 모든 사용자 로그인에 다단계 인증을 적용하며, 각 애플리케이션이 필요한 기능에만 접근할 수 있도록 서비스 권한을 검토하십시오. 이러한 간단한 작업만으로도 대부분의 중소기업이 인지하지 못하는 사이에 보유하고 있는 공격 표면의 상당 부분을 제거할 수 있습니다.
그다음에는 클라우드 공급업체의 내장 위협 탐지 기능을 활성화하세요. AWS GuardDuty , Microsoft Defender for Cloud , Google Security Command Center는 모두 저렴하거나 무료로 기본 모니터링 기능을 제공합니다. 이러한 기능은 사용자가 직접 시스템을 구축할 필요 없이 의심스러운 API 호출, 비정상적인 로그인 패턴, 잠재적인 데이터 유출 등을 감지해 줍니다.
더 적은 비용으로 더 많은 보장을 받으세요
중소기업에 가장 중요한 보안 도구는 무료이거나 월 몇백 달러 정도의 비용으로 이용할 수 있습니다. Prowler와 같은 오픈 소스 보안 상태 검사 도구는 환경을 매주 점검하여 문제가 발생하기 전에 잘못된 구성을 찾아낼 수 있습니다. AWS, Azure 또는 HashiCorp의 비밀 관리자는 데이터베이스 자격 증명과 API 키를 안전하게 저장하며, 그 비용은 점심 한 끼 값보다 저렴합니다.
기업들이 실제로 과도한 비용을 지출하는 부분은 규모에 맞게 설계되지 않은 엔터프라이즈급 보안 프로그램을 모방하려는 시도입니다. 12명 규모의 팀에 500명 규모의 보안운영센터(SOC)용으로 구축된 SIEM 플랫폼이 필요한 것은 아닙니다. 실제 규모에 맞는 적절한 도구를 선택하는 것 자체가 보안 결정입니다. 과도하게 구축된 시스템은 점검이 제대로 이루어지지 않고 잘못 구성될 가능성이 높기 때문입니다.
안전한 클라우드 컴퓨팅에서 암호화와 백업은 필수 불가결한 요소입니다
대부분의 플랫폼에서 클라우드 스토리지와 데이터베이스에 암호화를 활성화하는 데 추가 비용이 들지 않습니다. 단순히 활성화하고 확인하기만 하면 됩니다. 마찬가지로 중요한 것은 검증된 백업 전략입니다. 중소기업을 대상으로 하는 랜섬웨어 공격이 급증하고 있으며, 가장 빠르게 복구하는 기업은 별도의 계정이나 지역에 깨끗하고 최신 백업을 저장해 둔 기업입니다.
테스트되지 않은 백업은 정작 필요할 때 제대로 작동하지 않을 수 있습니다. 분기별로 복구 훈련을 실시하세요. 잠깐이면 충분한 시간을 확보할 수 있으며, 기업의 손실을 완전히 막을 수도 있습니다.
예산을 낭비하지 않고 적절한 대상에게 도달하기
치열한 시장에서 경쟁하는 중소기업에게 보안은 성공의 절반에 불과합니다. 제한된 자원을 관리하면서 매출을 늘리려면 모든 마케팅 비용을 효율적으로 사용해야 합니다. 의도 기반 마케팅은 기업이 자사 솔루션과 유사한 제품을 적극적으로 검색하는 잠재 고객을 파악하고 관계를 구축하는 데 도움을 줍니다. 따라서 시간과 비용을 진정한 구매 의사가 있는 사람들에게 집중할 수 있습니다.
계정 기반 마케팅 은 광범위한 마케팅보다는 적합한 기업 목록에 집중하는 방식이므로, 중소기업도 대기업 예산에 맞춰 설계된 과도한 캠페인 없이도 파이프라인 구축에서 규모에 비해 훨씬 뛰어난 성과를 낼 수 있습니다.
기본기가 모든 것을 이긴다
체계적이고 일관성 있게 적용되는 기본 원칙은, 규모가 큰 보안 프로그램을 부주의하게 적용하는 것만큼이나 소규모 사업체를 효과적으로 보호합니다.
신원 확인부터 시작하세요. 기본 탐지 기능을 활성화하고, 잘못된 설정을 검사하고, 모든 데이터를 기본적으로 암호화하고, 백업을 테스트하세요. 이러한 일련의 단계를 적절한 예산으로 실행하면 공격자들이 실제로 사용하는 대부분의 침입 경로를 차단할 수 있습니다.
