블로그

F5 애플리케이션 제공 보고서의 주요 보안 발견 사항

F5 썸네일
F5
2017년 6월 29일 게시

F5 블로그를 자주 읽어주시는 독자라면 아시겠지만, 우리는 SOAD(State of Application Delivery) 보고서의 세 번째 버전을 출시했습니다. 2017년 보고서는 약 2,200명의 임원과 IT 전문가를 대상으로 한 설문 조사 결과를 나타내며, 온프레미스, 하이브리드 클라우드, 클라우드를 포함한 애플리케이션 제공의 모든 측면을 다룹니다. 보고서의 여러 결과는 응답자가 보안 환경과 어떤 관계를 맺고 있는지에 관한 것입니다. 응답자 5명 중 1명 가까이가 보안 직책을 가지고 있으며, 이 글에서는 동료들이 가장 중요하게 생각하는 몇 가지 항목에 초점을 맞추겠습니다.

발견: 클라우드와 보안 전문성 격차가 있습니다.

놀랍게도 응답자 5명 중 4명이 2017년에 멀티클라우드 전략을 도입할 계획입니다. 그리고 그 5개 기업 중 하나는 이미 절반 이상의 애플리케이션을 클라우드에 구축했습니다! 하지만 오늘날 기업들이 단 하나의 클라우드라도 처리할 만큼 충분한 클라우드 전문가를 보유하고 있을까요? AWS에 대해 잘 아는 사람도 있고 Azure에 대해 전혀 모르는 사람도 있고, 그 반대의 경우도 있습니다.

제 칼럼 (또는 존 올치크의 칼럼 )을 읽는 사람이라면 누구나 놀랄 일이 아닐 텐데, 조직 3곳 중 1곳이 보안 기술 격차를 심각한 보안 과제로 꼽았습니다. 우리는 전 세계적으로 스스로 훈련을 받고 있는 블랙햇들을 따라잡을 만큼 충분한 화이트햇들을 훈련시키지 못하고 있습니다. 머신 러닝과 자동화라는 마법의 조합으로 보안 기술 격차가 해소될 가능성이 있습니다. DEF CON 24에서 발표된 DARPA 사이버 그랜드 챌린지는 이미 그 방향을 가리키고 있습니다. 하지만 그때까지 보안 분야의 신뢰에 박수를 보냅니다.

예를 들어, SOAD 보고서는 응답자들에게 향후 12개월 동안 어떤 애플리케이션 서비스를 구축할 계획인지 물었는데, 40%가 보안이라고 답해 가장 많은 비중을 차지했습니다.

발견: 보안 애플리케이션 서비스의 배포가 더욱 정교해지고 있습니다.

보고서에서는 설문 참가자들에게 새롭게 등장하는 위협을 물리치고, 애플리케이션을 보안하고, 데이터를 보호하기 위한 전략에 대해 물었습니다. 올해의 좋은 소식은 전반적으로 기업들이 작년보다 최우선 보안 과제를 처리할 수 있는 능력에 더 자신감을 갖게 되었다는 것입니다.

기술 격차를 제외한 모든 난관에 대해서는 조직이 덜 당황하는 것으로 나타났습니다. 저는 보고서의 저자 중 한 명인 로리 맥비티 에게 그 이유를 물었습니다. 

"우리는 그것이 그들이 전반적으로 덜 두려워한다는 것을 의미한다고 생각합니다. 우리는 보안 예산이 증가했기 때문일 수 있다고 생각하며, 따라서 과제를 해결하는 데 필요한 솔루션을 구축할 수 있었습니다. 공개 보고서에는 나와 있지 않지만 보안 문제로 '예산이 너무 적다'는 응답이 2016년 41%에서 2017년 30%로 떨어졌기 때문에 저희의 추정입니다."

전 세계적으로 공격을 견뎌낼 수 있는 능력에 가장 큰 자신감을 가진 조직들은 보안에 대한 단순한 경계 접근 방식을 넘어 확장해 왔습니다. 많은 기업이 내년에 DDoS 완화(21%), DNSSEC 보호(25%), 웹 애플리케이션 방화벽(20%)을 구축할 계획입니다.

발견: 앱을 배포하는 데 있어서 가장 안 좋은 것은…

매년 SOAD 설문 조사에서는 참가자들에게 애플리케이션을 배포할 때 가장 필요하다고 생각하는 것이 무엇인지 묻습니다. 

보안은 작년보다 더 큰 폭으로 가장 중요한 분야로 부상했습니다. 2016년에는 가용성이 보안을 앞지르게 되었습니다. 아마도 기업들은 마침내 침해가 중단보다 훨씬 오래 지속되는 부정적 영향을 미칠 수 있다는 사실을 인식하기 시작했을 것입니다. 침해에 대한 끊임없는 뉴스가 그러한 인식을 확산시키는 데 일조할 가능성이 높습니다. 좋은 일이에요.

애플리케이션 보안에 대한 가장 일반적인 답변은 물론 웹 애플리케이션 방화벽(WAF)입니다. 클라우드를 우선으로 생각하는 응답자의 절반 이상이 WAF를 배포했다고 보고했습니다. 그다지 놀라운 일은 아니지만, 나머지 48%는 무엇을 하고 있는지 궁금해집니다.

 2017년 애플리케이션 제공 보고서 현황

관심 있는 분들은 2017년 애플리케이션 제공 현황 보고서 전문을 여기에서 확인하실 수 있습니다.