클라우드 컴퓨팅 환경에 보안정책과 기술을 어떻게 적용해야 하는지, 기존 온프레미스 환경에서의 보안 차이점은 무엇인지를 전반적으로 설명한다. 저자들은 대기업, 온라인 이커머스, O2O, 미디어 등 다양한 기업에서 클라우드 관련 기술과 정책을 기술 부서와 협업하면서 관리해왔다. 기존 온프레미스 환경에서 보안을 구축하고 운영한 경험이 있다면 클라우드 환경에서 보안을 적용하는 방법을 더욱 쉽게 배울 수 있다. 기본적인 보안에 대한 원칙과 개념, 데이터 자산 관리 및 보호, ID 및 접근 관리, 취약점 관리, 네트워크 보안, 침해사고 탐지 및 대응 등 여러 도메인의 실용적인 기술을 쉽게 설명하고 있어 보안에 입문할 때 읽기도 좋다.
이 책은 기업에서 ISMS, ISMS-P, ISO27001, ISO27701과 같은 국내외 보안 인증을 준비하는 기업 보안 담당자, 이제 막 클라우드 보안에 입문하는 학생들에게 적합하다. 클라우드 보안에 입문해서 공부를 시작하는 분들, 실무를 진행하는 분들에게 도움이 되기를 기원한다.

“심층 방어 및 침해 사고 대응과 관련된 모범 사례를 낱낱이 추려서 통합했다. 클라우드 솔루션을 구현하고자 하는 이들은 이 책에 기술된 현실적인 도전 과제에 관한 광범위한 경험을 반드시 접해봐야 한다.”

■ 클라우드에서의 최소 권한 및 심층 방어와 같은 표준 원칙과 개념
■ 데이터 자산 관리 및 보호에서 온프레미스와 클라우드 환경 비교
■ 데이터를 저장, 처리하거나 관리자용 통제 수단을 제공하는 클라우드 제공자 관리
■ 클라우드에서 ID 및 접근 관리(IAM)가 수행하는 역할 이해
■ 다양한 유형의 취약점 관리
■ 전술적인 침해 사고 탐지, 대응 및 복구

기업에서 ISMS, ISMS-P, ISO27001, ISO27701과 같은 국내외 보안 인증을 준비하는 기업 보안 담당자, 이제 막 클라우드 보안에 입문하는 학생을 대상으로 한다.

초반에서는 클라우드와 온프레미스 환경에서 사용자의 책임이 어떻게 다른지 이해하고, 보유한 정보 자산이 무엇이며 해당 자산에서 발생할 수 있는 가장 큰 위협은 무엇인지, 어떻게 위협으로부터 자산을 보호할 수 있는지를 설명한다.
나머지 장에서는 가장 먼저 고려해야 할 중요한 보안 통제를 우선순위에 따라 적용할 수 있도록 실용적인 지침을 제공한다. 마지막 장에서는 침해 시도가 있을 때 이를 탐지하고 대응하는 방법을 다룬다. 실제로 보안 침해 사고가 발생하기 전에 마지막 장을 먼저 읽는 것이 좋다.
조직에서 PCI 인증이나 SOC 2 보고서와 같은 인증이나 증명을 확보해야 한다면 몇 가지 특정 위험을 주의해야 한다. 또한 조직에 적용돼야 하는 규정은 어떤 것이 있는지 확인해야 한다. 예를 들면 미국에서 PHI(건강 정보 보호)를 처리하거나 애플리케이션이 호스팅되는 위치에 관계없이 EU 시민의 개인정보를 처리하는 경우도 있다.

이 책은 클라우드 환경을 보호할 수 있도록 돕는 실용적인 가이드다. 거의 모든 조직에서 보안은 시간과 비용적인 투자를 확보하기 위해 싸워야 하며, 우선순위가 많이 밀린다. 보안 측면에서 ‘가성비’에 중점을 두는 것은 중요하다.
클라우드에 처음 입문하는 보안 전문가, 보안에 책임 있는 아키텍트와 개발자에 상관없이 가장 중요한 정보 자산을 보호할 때 가장 필요한 보안 통제를 적시적소에 적용할 때 이 책이 도움될 것이다. 기본적인 보안 요소를 견고히 익히고 추가 보안 통제를 적용해 나감으로써 보안 능력을 높일 수 있다.
보안 통제와 원칙은 클라우드와 온프레미스 환경에서 유사하지만 몇 가지 중요한 차이점이 있다. 따라서 온프레미스에서 보안을 경험했던 사람들에게 실제 클라우드 보안에 관한 몇 가지 권장 사항은 놀랄 정도로 다르다. 대부분의 정보 보안 분야에서는 보안 전문가들 사이에 의견 차이가 있다. 이 책에서 제시하는 권장 사항은 실제 클라우드 환경에서 보안을 운영해본 경험을 녹였고 추가적으로 새롭게 개발하고 있는 기능적인 정보를 제공한다.

크리스 닷슨(Chris Dotson)

IBM 선임 기술직원이자 IBM 클라우드와 왓슨(Watson) 플랫폼 조직의 수석 보안 아키텍트다. Open Group Distinguished IT 아키텍트 자격증을 비롯해 11개의 전문 자격증을 보유했으며, IT 업계에서 20년 이상의 경력이 있다. http://www.ibm.com 홈페이지에서 클라우드 혁신가로도 여러 차례 소개됐다. 주력 분야는 클라우드 인프라 보안, 네트워킹 인프라 보안, 서버, 스토리지이며 농담을 아주 좋아한다.

이 책은 클라우드 컴퓨팅 환경에 보안 정책과 기술을 어떻게 적용해야 하는지, 기존 온프레미스 환경에서의 보안 차이점은 무엇인지를 전반적으로 설명한다. 기존 온프레미스 환경에서 보안을 구축하고 운영한 경험이 있다면 클라우드 환경에서 보안을 적용하는 방법을 더욱 쉽게 배울 수 있다. 이 책은 기본적인 보안에 대한 원칙과 개념, 데이터 자산 관리 및 보호, ID 및 접근 관리, 취약점 관리, 네트워크 보안, 침해사고 탐지 및 대응 등 여러 도메인의 실용적인 기술을 쉽게 설명하고 있어 처음 보안에 입문하는 독자에게도 도움이 된다.
기업에서 ISMS, ISMS-P, ISO27001, ISO27701과 같은 국내외 보안 인증을 준비하는 기업보안담당자, 이제 막 클라우드 보안에 입문하는 학생들에게도 도움을 줄 수 있는 기초 지식도 담고 있다. 클라우드 보안에 입문해서 공부를 시작하는 분들, 실무를 진행하는 분들에게 도움이 되기를 기원한다.

김종준

기업 보안 및 개인정보보호 담당자로 반도체 업계, 모바일 업계에서 근무했으며, 현재는 이커머스 기업에서 보안 팀을 이끌고 있다. 특히 AWS 클라우드 환경을 활용하는 기업에서 그 시작과 확장을 직접 경험하며 온프레미스와 클라우드 환경 모두를 아우르는 보안 강화에 많은 노력을 기울여 왔다. 보안 정책, 개인정보보호, ISO27001, ISMS-P 등 보안 인증 및 내부 보안 감사, ISO31000 프레임워크 기반의 위험관리, 미국영화협회의 MPAA 그리고 다양한 기술 보안 경험 등 보안과 개인정보에 다양하고 광범위하며 높은 수준의 경험이 있다.

신동혁

대기업, 이커머스업계, O2O플랫폼을 거쳐, 현재 글로벌 미디어 기업의 정보보호 최고책임자(CISO) 및 개인정보보호 책임자(CPO)로 근무하고 있다. 다양한 기업에서 해외 컴플라이언스 규제, 국내외 보안 인증 ISO27001, ISO27701, ISMS-P 등 보안 체계를 구축했다. 정보보호 공학석사, 컴퓨터공학 박사 학위를 취득했으며, 이후 국립 충북대학교에서 경영정보학과 겸임교수, 고려사이버대학교 정보관리보안학과 교수로 후학 양성에도 기여하고 있다.