2024년 클라우드
네이티브 보안 현황
보고서
생성형 AI는 조직을 혁신과 위험의 교차점에 놓이게 하고 상상할 수 없는 도전과 기회를 탐색하도록 요구하는 획기적인 힘입니다.
‘네 번째 연례 보고서’인 2024년 클라우드 네이티브 보안 현황 보고서는 10개 국가와 5개 산업 분야에서 2,800명 이상의 클라우드 보안 및 DevOps 전문가와의 토론을 통해 얻은 동향과 통찰력을 보여줌으로써 조직이 클라우드 보안 혁신을 최대한 활용할 수 있도록 돕는 것을 목표로 합니다. 동료들이 현재 일어나고 있는 모든 변화에 어떻게 대처하고 있는지 자세히 알아보려면 계속 읽어보세요.
AI: 공격 벡터인가, 아니면 가속기인가?
AI가 계속해서 발전함에 따라 한 가지 확실한 것은 AI가 무기화될 것이라는 점입니다. 이것이 바로 조직의 38%가 2024년에 AI 기반 공격을 최대 관심사로 꼽고, 43%는 AI 기반 위협이 일반적인 위협 벡터가 될 것이라고 예측하는 이유입니다.
AI 생성 코드로 인한 보안 위험
AI 기반 공격은 문제의 절반에 불과합니다. 조직의 44%는 AI 생성 코드와 관련된 위험에 대해 똑같이 우려하고 있으며 당연히 그렇습니다. 자율적으로 생성된 소프트웨어와 AI 생성 코드 개발의 빠른 속도로 인해 보안 결함이 감지되지 않을 가능성이 높아지고 기존 보안 테스트 방법에 부담이 가중됩니다.미지에 대한 포용
AI에 직면했을 때 상당한 두려움과 주의를 표명했음에도 불구하고 조직은 낙관적입니다. 모든 설문 조사 응답자는 AI 지원 코딩을 받아들일 계획이며 이에 맞춰 보안 접근 방식을 맞춤화할 것입니다.도구, 공급업체 및 요구 사항 간의 균형 맞추기
클라우드 환경이 매우 빠르게 복잡해진다는 것은 누구나 아는 사실입니다. 응답자들은 평균 12개의 클라우드 서비스 제공업체와 16개의 클라우드 보안 도구를 사용하고 있으니 놀라운 일도 아닙니다. 그 중 98%는 단순화와 통합의 필요성을 표명하고 사용 중인 보안 도구 수를 줄이는 것이 중요하다고 강조했습니다.
복잡성은 ‘클라우드 네이티브 보안 현황 보고서’에서 반복되는 주제였지만 이를 제거하는 데는 거의 진전이 없었습니다. 클라우드 보안 전용 도구의 수가 작년보다 60% 증가했습니다.
복잡성은 ‘클라우드 네이티브 보안 현황 보고서’에서 반복되는 주제였지만 이를 제거하는 데는 거의 진전이 없었습니다. 클라우드 보안 전용 도구의 수가 작년보다 60% 증가했습니다.
단편화된 생태계에서의 데이터 보호
데이터 보안은 많은 조직에게 큰 과제이며, 50%는 클라우드 내 민감한 데이터를 파악하고 분류하기 위해 수동 검토를 수행합니다. 이는 수동 검토가 시간이 많이 걸리고 오류가 발생하기 쉽고 종종 불완전할 뿐만 아니라 수동 검토로 인해 데이터 보호에 공백이 발생하여 조직이 침해에 취약해지기 때문에 문제가 됩니다.
설상가상으로 조직의 98%는 여러 환경에 걸쳐 민감한 데이터를 저장하고 있습니다. 설문 조사 응답자의 절반 이상이 이러한 복잡성 때문에 민감한 정보를 모니터링하고 제어하는 데 어려움이 있다고 비난하며, 48%는 데이터 보호가 부적절하게 수행되었다고 주장했습니다.
보안 사고는 해마다 증가하는 추세입니다. 조직의 약 50%가 잘못된 구성, 규정 준수 위반 및 안전하지 않은 API로 인해 가동 중지 시간이 증가했다고 보고했으며(조직의 43%는 API 위험을 최우선 보안 문제로 꼽음), 조직의 64%에서 데이터 침해가 증가했습니다.
설상가상으로 조직의 98%는 여러 환경에 걸쳐 민감한 데이터를 저장하고 있습니다. 설문 조사 응답자의 절반 이상이 이러한 복잡성 때문에 민감한 정보를 모니터링하고 제어하는 데 어려움이 있다고 비난하며, 48%는 데이터 보호가 부적절하게 수행되었다고 주장했습니다.
증가하는 보안 사고
데이터는 클라우드 환경에 걸쳐 분산되어 있는 경우가 많기 때문에 대부분의 조직은 공격 표면이 광범위합니다. 내부자 위협의 기회를 증가시키는 포괄적인 가시성 부족과 결합하면 응답자의 45%가 지능형 지속 위협(APT)의 증가를 경험하는 것은 놀라운 일이 아닙니다.보안 사고는 해마다 증가하는 추세입니다. 조직의 약 50%가 잘못된 구성, 규정 준수 위반 및 안전하지 않은 API로 인해 가동 중지 시간이 증가했다고 보고했으며(조직의 43%는 API 위험을 최우선 보안 문제로 꼽음), 조직의 64%에서 데이터 침해가 증가했습니다.
협업의 시작은 위에서부터
클라우드 보안과 애플리케이션 개발 사이의 갈등은 항상 존재할 가능성이 높으며 올해 보고서의 결과도 이를 뒷받침합니다. 참가자들은 자신이 직면한 문제에 대해 목소리를 냈는데, 84%는 보안 프로세스 때문에 프로젝트 일정이 지연된다고 답했고, 83%는 보안을 부담으로 여기며, 79%는 직원들이 보안 프로세스를 자주 무시하거나 회피한다고 주장했습니다.
그리고 성급한 배포로 인해 발생하는 취약점을 보고하는 조직의 71%는 어떤가요? 대부분(92%)은 비효율적인 개발 및 배포를 꼽았고 71%는 스트레스를 꼽았으며 응답자의 93%는 높은 이직률을 언급했습니다.
백로그 및 책임 공방
개발자는 비즈니스 목표를 달성하기 위해 가능한 한 빨리 새로운 기능, 업데이트 및 버그 수정을 제공해야 하기 때문에 보안 티켓이 쌓이고 출시 날짜를 놓치며 책임을 전가하는 문화가 계속됩니다. 이 문제에 대한 피드백은 예상대로 양분되었습니다. 86%는 소프트웨어 출시를 방해하는 보안에 책임이 있으며 91%는 개발자가 더 안전한 코드를 생성해야 한다고 말합니다.그리고 성급한 배포로 인해 발생하는 취약점을 보고하는 조직의 71%는 어떤가요? 대부분(92%)은 비효율적인 개발 및 배포를 꼽았고 71%는 스트레스를 꼽았으며 응답자의 93%는 높은 이직률을 언급했습니다.
위험, 현실 및 클라우드 보안 전략
도구 문제는 보안 버그와 취약점을 해결하는 데 있어서 큰 과제가 됩니다. 이는 설문조사 응답자의 40%는 개발 프로세스에 영향을 미치며, 보안 실무자의 33%는 레거시 보안 도구가 위협 벡터를 파악하지 못한다고 답했으먀 해결이 지연되는 원인으로 의미 없는 경고를 꼽았습니다.
이러한 과제 때문에 효율성과 효과성이라는 중요한 주제가 주요 초점이 되었습니다. 응답자의 90% 이상이 자신이 사용하는 포인트 도구의 수가 너무 많아 위험의 우선 순위를 정하고 위협을 예방하기 어렵게 만드는 사각지대가 발생한다고 주장합니다. 또한 88%는 필요한 보안 도구가 무엇인지 파악하는 데 어려움을 겪고 있습니다. 다행히 팀에서는 필요한 기능이 무엇인지 명확하게 알고 있었습니다. 거의 95%가 즉각적인 문제 해결 단계를 제공하는 솔루션을 원하며 거의 같은 수의 사람들이 공격 성공 가능성이 가장 높은 상호 연결된 취약성과 잘못된 구성을 자동으로 찾아내는 솔루션이 도움이 된다는 데 동의합니다.
이러한 과제 때문에 효율성과 효과성이라는 중요한 주제가 주요 초점이 되었습니다. 응답자의 90% 이상이 자신이 사용하는 포인트 도구의 수가 너무 많아 위험의 우선 순위를 정하고 위협을 예방하기 어렵게 만드는 사각지대가 발생한다고 주장합니다. 또한 88%는 필요한 보안 도구가 무엇인지 파악하는 데 어려움을 겪고 있습니다. 다행히 팀에서는 필요한 기능이 무엇인지 명확하게 알고 있었습니다. 거의 95%가 즉각적인 문제 해결 단계를 제공하는 솔루션을 원하며 거의 같은 수의 사람들이 공격 성공 가능성이 가장 높은 상호 연결된 취약성과 잘못된 구성을 자동으로 찾아내는 솔루션이 도움이 된다는 데 동의합니다.