투자자가 되어 보스턴 시포트에 있는 PTC 본사로 걸어들어간다고 상상해 보십시오. 햇빛이 반사되어 반짝이는 17층 건물이 열정적인 전문가들과 최첨단 소프트웨어로 가득합니다. 짐 헤플만(Jim Heppelmann) CEO와 인사를 나누자, 그는 모든 투자금을 자신의 매트리스 아래에 둔다며 안전하다고 안심시킵니다. 이 말을 듣고 여러분은 충격을 금할 수 없습니다. '은행이 아니라 매트리스라고? 개인이 직접 자산을 관리하고 보호하지 않아도 되도록 은행이라는 조직이 대신해주는 것 아닌가?'

이 말도 안 되는 일화는 놀라운 현실을 드러냅니다. 오늘날 많은 기업이 어떤 의미에서는 귀중품을 매트리스 아래에 넣어두고 있다는 점입니다. 그런 경우 지폐나 동전을 뺏길 염려는 없겠지만 기밀 데이터와 사용자 정보는 뺏길 위험이 있습니다. 안전하게 지키려면 아무도 매트리스 아래에 있다는 걸 모르기를 바랄 수밖에 없습니다. 그렇더라도 '귀중품'을 안전하게 지키고 숨겨두는 책임은 소유자와 그 팀에 있습니다.

명확히 설명하자면, 온프레미스 사이버 보안 솔루션은 일반적인 매트리스보다는 훨씬 더 안전하며 IT 팀의 노력을 칭찬해야 마땅하지만, 사이버 보안에 있어서는 이길 수 없는 싸움을 해야 할 경우가 많습니다.

러시아, 중국, 미국 등 수많은 국가에서 현재 사이버 전쟁을 치르고 있습니다. 가트너(Gartner)에서는 최근에 러시아가 우크라이나 전쟁 초기에 침략 계획의 일환으로 사이버 공격을 계획했다는 점을 조명했습니다. 조직에서는 지정학적 갈등 외에도 데이터를 훔치고 몸값을 요구하려는 악의적인 서드파티와 아무런 이유 없이 장난으로 정보를 삭제하거나 노출하려는 사람들, 심지어는 조직 내부에서 우발적으로 또는 근본적으로 보안을 방해하는 사람들을 경계해야 합니다.

이렇게 다양한 위협을 감안하면 FBI가 2021년 한 해 동안 사이버 범죄로 인해 70억 달러에 가까운 손실을 입었다는 것도 놀랍지 않습니다. 사이버 공격의 범인이 누구이든 모든 사이버 공격이 발생하는 공통적인 상황이 있습니다. IT 팀의 업무가 너무 과중할 때, 보안 조치가 뒤처질 때 보안 침해가 일어난다는 것입니다.

다시 은행과 매트리스의 일화로 돌아가면 오늘날 돈을 보호하는 일반적인 수단으로 은행을 꼽는 데는 이유가 있습니다. 귀중한 자산을 보호하고 활용하는 일을 전담으로 하는 조직에 자산을 맡기면 지속적이고 포괄적으로 보안을 강화할 가능성이 크기 때문입니다.

전통을 따르느라 새롭고 (솔직히 말해서) 더 뛰어난 데이터 보호 방법을 도입하는 데 방해를 받아서는 안 됩니다. 클라우드 기술과 클라우드 기반 프로그램, 그리고 더 나아가 SaaS(Software as a Service)는 발전과 개선을 거듭했으며 대부분은 온프레미스 보안 솔루션의 한계를 뛰어넘었습니다. 온프레미스 사이버 보안 솔루션을 오랫동안 사용한 조직에서 기밀 데이터를 직접 소유하는 방식에서 벗어나는 것을 고민하기는 쉽지 않겠지만, 디지털 환경에서 보안 침해가 더욱 적대적으로 변해가고 있는 것이 현실이기 때문에 새로운 사고방식으로 전환해야만 합니다.

이 백서에서 PTC는 사이버 보안 이해를 위한 기준을 제시하고 사이버 보안과 SaaS 및 클라우드의 관계를 설명하며 데이터 보호를 강화하는 데 있어 각 기술이 가진 잠재력을 밝힙니다. 이러한 움직임의 중요성을 강조하기 위해 최근 설문조사에서 얻은 데이터를 사용하여 조직들이 사이버 보안 이니셔티브를 얼마나 많이 생각하고 여기에 투자하고 있는지 보여줍니다.

본 백서를 위해 PTC는 76명에게 연락을 취해 일의 진화에 관해 SaaS(Software as a Service)와 클라우드 운영의 관점에 중점을 두고 28개의 문항을 질문했습니다. 모든 응답자들은 미국의 다양한 업계에서 풀타임 의사결정권자(이사 이상)로 일하는 사람들이었습니다.

설문조사 데이터는 2022년 3~4월에 수집 및 편집되었으며 당시 주요 문제에 대한 응답자들의 관점과 이해를 담고 있습니다.

사이버 보안은 인터넷 사용과 함께 중요성이 높아지고 있습니다. 온라인에 더 많은 정보가 저장될수록 특정 데이터를 보호하는 일은 더욱 필수적입니다. 안타깝게도 디지털 환경이 발전하면서 사이버 범죄의 다양성 또한 커졌습니다. 현재 사이버 공격은 다양한 형태로 발생하며, 그중에서도 맬웨어와 피싱이 가장 대표적입니다.

그 외에 서비스 거부(DoS)와 중간자(MitM) 공격도 일반적인 유형의 사이버 범죄입니다. 안타깝지만 IoT 장치가 더욱 많이 사용될수록 신규 솔루션이나 때로는 충분히 심사숙고하지 않고 만들어진 솔루션들이 보호되지 않은 네트워크 액세스 포인트가 될 수 있습니다. 프린터와 같이 단순한 기계조차도 제대로 보호하지 않으면 공격에 취약해질 수 있습니다. 또한 조직에서 외부 당사자들도 경계해야 하지만 교육을 받지 못했거나 제대로 훈련을 받지 못한 직원들 역시 우발적인 데이터 침해, 기밀 정보 유출 또는 공개의 주범이 될 수도 있습니다. 레드팀 시큐리티(RedTeam Security)에서 수집한 데이터에 따르면 데이터 침해의 71%는 부주의한 사용자들이 우연히 데이터를 공개하면서 발생했으며, 또 다른 68%는 태만(사용자가 데이터 정책을 알고 있지만 올바른 절차를 모두 따르지 않음)이 원인이었습니다. 이러한 침해 중 어떤 것도 악의적인 의도를 가진 사람이 행한 것은 아니지만 모두 재정적 손실을 가져왔습니다.

유형과 상관없이 대부분의 사이버 범죄의 목표는 동일합니다. 바로 악의적으로 기밀 데이터를 이용함으로써 피해자에게 해를 입히려는 것입니다. 사이버 범죄자들은 디지털 환경이 새로운 환경이며 끊임없이 변한다는 특징을 이용합니다. 직원들이 특히 사이버 범죄 탐지나 퇴치를 위해 교육을 받지 않는 조직이 이상적인 타겟입니다. 무지가 데이터 침해의 친구인 셈입니다.

이러한 현상은 2020년 팬데믹이 발발하면서 급격히 악화되었습니다. 이전에는 원격 근무와 탈중앙화된 소프트웨어 인프라를 통한 운영을 심각하게 고려하지 않았던 조직은 갑작스럽고 빠른 속도로 그러한 현실에 내몰렸습니다. 많은 근로자들과 경영진들은 친숙하지 않은 솔루션에 적응해야 했습니다. 그 결과로 FBI는 2019년에서 2021년까지 사이버 공격 관련 신고와 손실이 두 배 가까이 증가했다고 보고했습니다. 그러한 손실 비용 또한 35억 달러에서 대략 7억 달러로 두 배가 늘었습니다.

팬데믹이 엔데믹이 되고 조직들이 새로운 유연 근무 방식에 적응하면서 사이버 보안의 역할은 더욱 커질 것입니다. 이제는 조직이 사이버 범죄를 '만약 경험한다면'이 아니라, '언제 경험하느냐'에 집중해야 합니다. PTC 데이터에 따르면 모든 응답자 중 64%가 사이버 보안의 중요성을 인지하고 있었으며 이를 최우선순위로 꼽았습니다. 그러나 그러한 문제에 정확히 어떻게 대응할지는 알기가 어려울 수 있습니다.

디지털 시대에 데이터 보호의 중요성이 높기 때문에 PTC는 사이버 보안뿐만 아니라 일반적인 개인 정보 보호에 있어서 종합적이고 다층적인 접근법을 채택하도록 클라이언트들에게 권장합니다. 꼭 기억해야 할 것 한 가지는 불안한 요소가 하나라도 있는 네트워크는 안전하지 않은 네트워크이며 다른 액세스 포인트와 서버가 얼마나 잘 보호되어 있는지는 중요하지 않다는 점입니다. 취약한 연결고리는 사슬을 끊는 것이 아니라 붕괴시켜버릴 수 있습니다. 이것은 온프레미스나 SaaS에서 모두 통하는 사실입니다.

효과적인 사이버 보호는 복잡할 수 있지만 세 가지 간단한 토대를 기반으로 시작됩니다. 바로 사람, 프로세스, 기술입니다.

사람: 현재를 기준으로 사람의 중요성을 무시할 만큼 본질적으로 안전한 기술은 없습니다. 모든 직급의 사람들에게 효과적인 사이버 보안 전략을 수행하는 데 있어 각자의 역할을 교육해야 합니다. 집중적으로, 반복해서 교육을 실시해야 합니다. 사이버 범죄는 정적이지 않기 때문입니다. 인식을 제고함으로써 조직은 직원들이 사기에 휘말릴 위험을 줄일 수 있을 뿐만 아니라 직원의 우발적인 행동으로 인해 발생하는 데이터 침해의 가능성을 낮출 수 있습니다.

프로세스:조직의 모든 측면에서 신뢰할 수 있는 직원들이 일하고 있다고 해도 가시성과 레코드 보관을 위한 프로세스를 마련해 두어야 합니다. 프로세스에는 근본적으로 보안을 강조하는 제로 트러스트와 최소 권한의 원칙 등의 설계 철학이 포함될 수 있습니다. 노출과 위험을 제한하는 것을 원칙으로 삼고 디지털 워크플로의 모든 측면을 추적하는 조직을 구성함으로써 경영진은 걷잡을 수 없이 침해가 악화될 가능성을 줄일 수 있습니다.

기술: 모든 기술이 동일하게 만들어지지는 않으므로 조직에서는 보안과 유용성 측면 모두에서 더 포괄적인 이니셔티브에 걸맞은 프로그램을 선택해야 합니다. 이때 자동화가 유용할 수 있는데, 인간의 상호작용 접점을 제한하면 사이버 범죄자가 기업 인프라에 침해할 기회가 줄어들기 때문입니다. 솔루션이 온프레미스이든 클라우드이든 기술을 추적하고 적절하게 업데이트하는 조치를 항상 취해야 합니다.

클라이언트가 여전히 생소한 클라우드 네이티브 SaaS 기반의 사이버 보안 환경을 이해하고 활용할 수 있도록 PTC에서는 사람, 프로세스, 기술 수준에서 보안을 우선시하는 SaaS 파트너를 선택할 것을 권장합니다.

사이버 보안은 포괄적이며 전사적어야 합니다. 사이버 보안은 일회성 솔루션이 아니라 지속적인 개선 및 혁신 프로세스입니다. 조직 수준에서는 완전한 사이버 보안 정책을 개발하기 위해 사람, 프로세스, 기술을 어떻게 준비시키고 태세를 갖추게 할지를 고려하십시오.

사이버 보안, 더 나아가 SaaS 사이버 보안을 이야기할 때 '제로 트러스트'와 '최소 권한의 원칙'이라는 용어가 자주 등장합니다. 각각 정의가 다르지만 둘 다 광범위한 사이버 보안 철학, 즉 근본적인 보안이라는 철학의 일부입니다. 근본적인 보안은 현대적 사이버 보안 정책 철학의 핵심이자 PTC가 클라우드 및 SaaS 솔루션과 관련성이 있다고 보는 이유이기도 합니다.

근본적인 보안은 소프트웨어 분야에서 처음 등장한 개념입니다. 이름에서 알 수 있지만 근본적인 보안이란 소프트웨어 엔지니어들이 기존 소프트웨어보다 근본적으로 더 안전하고 위험성이 적은 솔루션을 위해 시간을 들여 고민하고 개발한 것을 의미합니다. 다시 말하면, 패스트푸드 매장이었던 건물을 은행으로 바꾸는 게 아니라 처음부터 은행을 설계하는 것입니다. 그러면 투자를 많이 하지 않고도 근본적으로 보안 수준이 더 높을 것입니다.

조직이 전체 인프라를 근본적으로 보호하려고 하면서 이러한 사고방식이 소프트웨어 분야 밖으로 확대된 것입니다. 형태는 다양하지만 그중 하나는 이미 언급한 반복적인 교육 일정입니다. 대응 계획을 수립하는 조직 역시 데이터 침해가 실제로 일어나거나 가능성이 있을 때 취할 명확한 조치를 정해둠으로써 근본적으로 보안을 강화하는 것입니다. 최소 권한의 원칙은 사용자가 소프트웨어 및 프로그램과 상호작용하는 방식을 제한한다는 점에서 근본적인 보안에 속합니다. 최소 권한의 원칙은 권한이 있는 사용자가 특정 소프트웨어 프로그램에서 자신이 정당하게 직무를 수행하는 데 꼭 필요한 측면에만 액세스할 수 있도록 하는 원칙입니다. 예를 들어, 급여를 생각해 보십시오. 일반적으로 직원들은 곧 받게 될 자신의 급여를 볼 수 있지만 조직 전체의 급여 정보에 액세스해야 할 정당한 이유는 없습니다.

제로 트러스트도 유사한 개념입니다. 이름에서 알 수 있듯이 제로 트러스트는 '의심스러우면 확인하라'는 소프트웨어 아키텍처 설계 철학입니다. 어떤 장치도 기본적으로 신뢰해서는 안 됩니다. 이미 사용 중인 온프레미스 위치(예: 사무실)에 있는 알 수 없는 장치도 마찬가지입니다. 이 철학은 설계 프로세스의 각 단계마다 신원 확인을 수행하는 것을 강조하여 올바른 사용자만 네트워크 액세스를 부여받도록 합니다.

경쟁력 있는 SaaS 솔루션은 모두 근본적으로 보안이 설계되어 있습니다. 반면에 온프레미스 솔루션은 주로 레거시 시스템으로, 사이버 보안의 우선순위가 훨씬 낮았을 때 만들어진 워크플로입니다. 업그레이드를 하더라도 이러한 프로세스는 여전히 취약하고 이용될 가능성이 높으며, 그런 경우 시정하는 데 비용이 많이 듭니다. 디지털 시대에는 사후에 보안을 고려해서는 안 됩니다. 조직에서는 내부 및 외부 대면 직원들 모두가 보안을 모든 비즈니스 운영의 근본적인 측면으로 여겨야 합니다.

레거시 소프트웨어 업데이트 문제가 있음에도 불구하고 IT 이사들과 경영진들은 여전히 사이버 보안을 위해 클라우드를 이용한다는 생각을 꺼리고 있을 수 있습니다. '가장 안전한 손은 우리의 손이다'라는 오랜 속담도 있기 때문입니다. 그러나 레거시 시스템의 문제를 무시하더라도 온프레미스가 더 뛰어나지는 않습니다. 현장 또는 자체 서버에 데이터를 저장하면 모든 조직이 기밀 데이터를 즉시 완전하게 제어할 수 있지만 이것은 양날의 검입니다.

이상적인 상황이라면 IT 직원이 충분하고 특히 정보 보안 팀의 직원이 충분하다면 조직이 데이터를 효과적으로 보호할 수 있겠지만 이 경우 점점 더 강력해지는 사이버 공격은 말할 것도 없고 숙련된 작업자 부족, 높아진 이직률, 더 커진 번아웃의 위험과 같은 더 광범위한 트렌드는 고려하지 않은 것입니다. 재해 복구 계획으로 데이터 침해에 대비하는 조직조차도 안전하지 않습니다. 2022년 IDC의 연구에 따르면 응답자의 79%가 지난 12개월 안에 계획을 실행했다고 응답했습니다.

PTC가 수집한 데이터에 따르면 68%의 조직이 자사 IT 팀의 운영이 거의 지속적인 유지관리라고 응답했습니다. 디지털 워크플로로 대규모 전환이 이루어지면서 이제 IT는 비즈니스의 거의 모든 측면에 관여되어 있습니다. 따라서 사내 IT 팀은 반작용 모드를 유지하게 됩니다. 잠재적인 보안 문제에 대해 선제적으로 생각하거나 계획할 시간이나 여력이 없는 것입니다. 즉, 비유적으로, 그리고 문자 그대로 지금 당장 불타고 있지 않다면 관심이 필요해도 주목하지 않습니다.

이 접근법을 클라우드 스토리지 공급자, 즉 전적으로 기밀 데이터와 정보를 보호하는 역할을 하는 조직과 비교해 보십시오. 당연히 클라우드 스토리지 공급자라고 해서 사이버 보안 능력이 모두 동일한 것은 아니지만, 데이터를 안전하게 저장하는 것이 유일한 임무인 조직에 업무 부담을 나눈다면 경영진들은 잠재적인 침해와 유출을 끊임없이 모니터링하는 위치에 회사의 비밀을 묻어둘 수 있습니다.

결과적으로 클라우드는 근본적인 보안에 속합니다. 클라이언트 조직의 모든 사람이 데이터에 액세스하기가 더 어렵게 만들기 때문입니다. 클라우드 공급자는 기본적으로 권한을 신중하게 대하며 일반적으로 클라이언트에게 누가 어떤 데이터에 액세스 권한을 가져야 하는지 직접 질문합니다. 이런 운영 스타일은 직원이 자신과 관련 없는 시스템에 액세스할 가능성을 제한합니다. 또한 직원이 우발적으로든 의도적으로든 현장의 서버를 훼손하거나 손상시키지 못하게 합니다. 온프레미스 솔루션을 설정하는 것이 가능하기는 하지만 지속적으로 모니터링하고 업데이트하고 관리하는 것은 사내 IT 부서의 또 다른 업무입니다.

예전에는 소프트웨어 업데이트가 기능 및 신규 콘텐츠 추가에 집중되었고 최신 소프트웨어로 교체하는 가장 중요한 이유도 여전히 기능입니다. 그러나 보안 역시 업데이트를 해야 하는 중요한 이유로 떠오르고 있으며 어떤 공급자들은 업데이트를 강요하기도 합니다. SaaS 솔루션을 일회성 교환으로 생각해서는 안 됩니다. 조직에서는 소프트웨어를 구매하는 것이 아니라 최신 버전을 대여하는 것입니다. 완전한 소유권을 잃는다는 것이 단점처럼 들릴 수 있지만 SaaS는 전반적인 사이버 보호를 크게 강화해 줍니다.

전통적인 설치형 프로그램을 생각해 보십시오. 사용자가 프로그램을 자신의 컴퓨터에 로드하면 필요할 때마다 사용할 수 있도록 컴퓨터에 프로그램이 남아 있습니다. 개인 컴퓨터의 경우 신규 기능을 원하거나 보안 취약성을 고치려면 사용자가 업데이트를 해야 할 수 있습니다. 그러나 직장의 경우 그러한 수정을 위한 이니셔티브를 제한하는 경우가 많습니다. 물론 직원이 시스템을 성공적으로 업데이트할 수도 있겠지만 허용할 수 없는 기간 동안 오프라인 상태로 만들 수도 있습니다. 대부분의 조직에서는 일반 직원에게 그러한 업데이트를 수행하는 데 필요한 권한을 부여하지도 않습니다.

따라서 기업 전체에서 수많은 소프트웨어 버전을 사용하여 업무를 처리하려고 시도하게 됩니다. 잘하면 이러한 버전이 여전히 서로 호환될 수도 있지만 어떤 기능은 소프트웨어에 따라 사용하지 못하게 될 수도 있습니다. 최악의 경우 알려진 취약성이 있지만 패치 처리가 되지 않은 소프트웨어를 사용하는 직원이 생길 수도 있습니다.

모두가 한 지붕 아래서 일할 때도 같은 문제가 있었지만 직원들이 탈중앙화되면서 문제가 더 복잡해졌습니다. 소프트웨어를 온프레미스로만 구매한다면 직원들은 서비스를 위해 시스템을 보내야 하고 IT 팀은 새로운 소프트웨어를 우편으로 보내고 상세한 지침을 제공해야 할 것이며, 그렇게 한다고 하더라도 실패할 수 있을 것입니다.

SaaS 솔루션을 사용하면 업데이트가 일괄적으로 배포되어 모든 직원들이 동일한 버전을 사용할 수 있습니다. 또한 업데이트 프로세스가 자동화되므로 사이버 보안 취약성의 위험도 크게 줄어듭니다. SaaS 솔루션을 사용하는 조직에서는 소프트웨어가 여전히 안전하기 확인하기 위해 모든 하드웨어 스테이션을 수동으로 찾아내는 데 IT 팀을 배치할 필요가 없습니다. SaaS 솔루션을 사용하면 숙련도가 높은 직원들이 유지관리보다는 감독과 전략 수립, 비즈니스 전략 지원에 더 집중할 수 있습니다.

비즈니스가 디지털로 전환하고 있습니다. 이런 전환은 몇 년 전부터 시작되었으며 앞으로도 계속될 전망입니다. 팬데믹과 인플레이션 등의 혼란스러운 상황으로 탈중앙화된 근무 환경에 대한 직원들의 요구가 커졌고, 유연 근무를 지원할 강력하고 안전한 인프라 확보에 대한 중요성과 압박 또한 커졌습니다.

따라서 사이버 보안은 앞으로 그 중요성이 더욱 커질 것입니다. 데이터에 따르면 많은 조직에서 이미 이런 현실을 파악하고 있습니다. 응답자의 33%는 자신의 조직이 다른 우선순위보다 사이버 보안에 더 많이 투자하고 있다고 응답했고, 또 다른 43%는 투자 수준이 다른 최우선순위와 유사하다고 설명했습니다. 그러나 이러한 수치는 거의 4분의 1에 달하는 응답자들이 다른 비즈니스 전략만큼 사이버 보안에 투자하지 않는다고 생각한다는 것을 의미합니다. 이러한 조직은 변화하는 사이버 공격 행태에 맞서는 데 필요한 강력한 인프라를 확보하지 못한다는 중대한 위험에 처한 것입니다.

앞으로 2년간 사이버 보안 지출이 늘어날 것으로 예상되는지 묻는 질문에는 28%가 아니라고 답했습니다. 대부분의 조직들은 사이버 범죄의 피해가 커질수록 보호에 대한 투자를 늘려야 한다는 것을 이해하고 있습니다.

인터넷을 기반으로 한 장치의 다양성이 높아지고 탈중앙화된 인력이 많아지면서 이미 복잡한 사이버 보안 환경은 더 복잡해질 것입니다. 온프레미스에서 클라우드 기반 SaaS 솔루션으로 전환하면 조직은 It 팀에 더 선제적인 태세를 취할 여력을 주면서 보호를 강화할 수 있습니다. 탈중앙화된 디지털 세상에서 SaaS는 온프레미스보다 더 효과적일 뿐만 아니라 전반적으로 더 시대에 맞는 솔루션입니다. 언뜻 들어서는 동의하지 않을 수 있지만 기밀 정보를 전통적인 온프레미스 솔루션 외부에 저장하는 것이 더 안전할 수 있으며, 실제로 그런 경우가 많습니다.

SaaS는 사이버 보안의 현실을 바꿔놓았습니다. 보호 측면에서 더 이상 조직은 자체 IT 인프라의 한계로 제한을 받지 않으며, 그 결과는 긍정적일 뿐입니다. 외국의 위협을 비롯한 수많은 위협을 생각하면 일반적인 중소기업이 자체 리소스만을 사용하여 종합적으로 회사와 데이터를 보호하기란 불가능합니다.

사이버 보안 관리를 현장 리소스가 아닌 외부 파트너에게 맡기는 전환을 고려하는 것이 두렵게 느껴질 수도 있습니다. 모든 SaaS 조직이 같은 수준으로 사이버 보안 보호를 적용하는 것은 아니므로 조직에서는 단순히 공급업체가 'SaaS'라고 말할 때마다 온프레미스 데이터 보호를 맡겨버려서는 안 됩니다. 가장 좋은 SaaS 파트너는 프로그램에 내장된 사이버 보안 프로토콜이 다양하며 처음부터 보안을 염두에 두고 설계한 파트너입니다.

PTC에 대해 자세히 알아보기

PTC가 사이버 보안에 어떻게 접근하는지 자세히 알아보려면 Trust Center를 확인하거나 여기를 통해 직접 문의하시기 바랍니다.