5가지 SaaS 보안 문제 및 해결 방법

게시 됨: 2020-03-31

SaaS 스타트업이 스케일업 단계로 이동하면 전환이 자주 발생합니다.

갑자기 증가하는 비즈니스 우선 순위 목록에서 보안이 급부상합니다. 그럴만한 이유가 있습니다.

비즈니스가 확장됨에 따라 이전보다 더 많은 고객과 더 많은 데이터를 관리해야 합니다. 그리고 비즈니스가 더 큰 고객을 유치하는 것을 목표로 하는 경우 이러한 고객은 의심할 여지 없이 더 큰 보안 문제와 더 엄격한 표준을 수용해야 합니다.

물론 SaaS 비즈니스가 확장 단계에 도달하면 팀이 시장에서 비즈니스의 위치를 ​​확립하는 데 많은 시간과 노력을 투자했을 가능성이 있다는 현실도 있습니다.

올해의 글로벌 최고 정보 보안 책임자(CISO)인 스테판 나포(Stephane Nappo)는 보안의 필요성을 다음과 같이 요약했습니다.

스타트업과 스케일업을 위한 SaaS 보안

SaaS 비즈니스를 처음 시작할 때 주요 초점은 성장을 지원하기 위해 고객을 유치하고 확보하는 것입니다. 말이 되는군요. 결국, 제품을 구매할 고객이 없으면 비즈니스가 없는 것입니다.

시작 단계에서 보안은 비즈니스가 실패하는 상위 10가지 이유 목록에도 포함되지 않습니다. 스타트업이 실패하는 가장 일반적인 이유는 다음과 같습니다.

  1. 시장에 필요한 것이 충분하지 않습니다
  2. 사업에 현금이 떨어졌다
  3. 제대로 된 팀이 없었다
  4. 경쟁이 그들을 능가했습니다.
  5. 가격 문제가 있었다
  6. 제품이 사용자 친화적이지 않음
  7. 제품을 지원하기에는 비즈니스 모델이 충분하지 않았습니다.
  8. 마케팅 탱커
  9. 고객의 요구가 간과되었습니다
  10. 제품이 잘못된 시간에 왔습니다

그러나 SaaS 비즈니스가 확장 단계에 도달하면 보안이 최우선 과제가 됩니다. 그리고 Nappo가 지적했듯이 보안 침해는 잘 알려진 회사를 순식간에 무너뜨릴 수 있습니다.

그러나 오늘날과 같은 SaaS 비즈니스의 온라인 보안은 얼마나 심각한 문제입니까? 짧은 대답은 매우 심각합니다. IT 전문가의 66%에 따르면 보안은 실제로 엔터프라이즈 클라우드 컴퓨팅 전략을 채택할 때 가장 큰 관심사입니다.

현대 비즈니스 보안의 현실

불행히도 손상된 보안은 더 이상 예외가 아닙니다. 2019년 상반기에는 침해로 인해 41억 개의 레코드가 노출되었습니다. 모든 종류의 기업은 2017년에서 2021년 사이에 보안 조치에 1조 달러 이상을 지출할 것으로 예상됩니다. 그리고 사물 인터넷(IoT) 기술의 부상과 연결된 장치의 보급으로 이 숫자는 증가할 것입니다.

IoT 보안 솔루션에 대한 지출만 2021년까지 전 세계적으로 15억 달러에서 31억 달러 이상으로 증가할 것으로 추정됩니다. 그리고 IoT 산업의 단편적인 보안 솔루션 노력은 말할 것도 없이 우려스러웠습니다.

비즈니스의 속도는 그 어느 때보다 빠르며 시장 내에서 데이터 안전과 반대되는 시장 출시 속도에 대한 강조는 확실히 어디에나 있습니다. 시장 최초 또는 조기 출시로 인한 단기적 이득은 성장하는 많은 기업, 심지어는 새로운 제품을 보유한 기존 기업에게도 매우 매력적일 수 있지만 장기적 결과는 치명적일 수 있습니다.

Google 검색결과의 첫 페이지에서 헤드라인이 사라진 후에도 데이터 침해의 영향이 끝나지 않는다는 점도 주목할 가치가 있습니다.

예를 들어 MyFitnessPal이 데이터 유출 사고를 당했을 때 약 1억 4400만 명의 가입자에게 영향을 미쳤습니다. 이에 대한 응답으로 이러한 가입자는 다른 제안된 보호 조치와 함께 암호를 변경하도록 권장되었습니다. 그러나 많은 경우 이러한 제안은 너무 늦을 수 있습니다.

myfitnesspal 데이터 유출


데이터 유출 1년 후, 원래 손상된 정보와 15개의 다른 웹사이트에서 해킹된 데이터가 다크 웹 마켓플레이스에서 최고 입찰자에게 제공되었습니다.

2012년 SaaS 파일 공유 대기업인 Dropbox는 자체 보안 딜레마에 빠졌습니다. 해커는 이메일 주소와 암호화된 암호를 포함하여 6,800만 사용자 계정에 액세스했습니다. 거기에서 5기가바이트는 다크 웹 시장에도 진출했다고 합니다.

이와 같은 세간의 이목을 끄는 침해 사고는 SaaS 비즈니스를 확장하여 자체 보안 조치를 살펴보고 예방 조치를 취하도록 유도합니다. 적어도 그들은 해야 합니다.

SaaS 비즈니스 확장에 대한 보안 문제

SaaS 비즈니스를 확장하려면 다음 질문을 해결해야 합니다. 시스템이 증가하는 보안 요구 사항을 충족할 수 있습니까? 아니면 현재 관행과 인프라로 인해 데이터 도난 및 기타 사악한 사이버 활동에 취약할까요?

다음은 SaaS 비즈니스 확장에 대한 몇 가지 주요 보안 문제와 기술 및 보다 엄격한 프로세스를 사용하여 이를 해결하는 방법에 대한 몇 가지 팁입니다.

1. 안전한 고객 데이터 저장을 위한 SaaS 보안 모범 사례는 무엇입니까?

언급한 바와 같이, SaaS 비즈니스를 확장하면 데이터 보안 유지에 관심이 있는 고객과 고객 규모가 증가하고 있습니다. 엔터프라이즈 비즈니스의 데이터 침해는 일반적으로 헤드라인을 장식하지만 모든 규모의 기업에서 데이터를 도난당할 수 있는 사건입니다.

이러한 침해는 고객의 비즈니스와 삶에 장기적인 영향을 미칠 수 있는 것은 물론이고 비즈니스의 평판, 고객 유지 및 궁극적으로 수익에 부정적인 영향을 미칠 수 있습니다.

Steve Durbin이 최근 Security Magazine 기사에서 제안한 것처럼 보안은 단순한 인식 이상이어야 합니다. 대신 비즈니스의 모든 측면이 참여해야 합니다.

"성공적인 비즈니스 중심 보안 보증 프로그램은 조직 전체에서 긍정적이고 협력적인 작업 관계를 필요로 합니다."라고 그는 적었습니다.

기업이 조직 내에서 보안이 처리되는 방식을 이해하고 있으면 이를 고객에게 자신 있게 전달할 수 있습니다.

SaaS 비즈니스가 확장됨에 따라 지금은 데이터를 안전하게 유지하기 위해 프로세스와 플랫폼을 구현하기에 이상적인 시기입니다. 예를 들어, 비즈니스에서 관리하는 데이터를 지속적으로 평가하고 잠재적인 취약점을 식별하고 이러한 취약점을 수정하기 위한 조치를 취한 다음 즉시 조치를 취할 수 있도록 모든 문제를 즉시 투명하게 보고하는 프로세스가 필요합니다.

보안 플랫폼 측면에서 강력한 구독 청구 플랫폼과 같은 옵션은 SaaS 청구에 대한 높은 수준의 재무 보안을 유지할 수 있습니다. PCI 레벨 1 인증을 제공하는 솔루션은 신용 카드 데이터 저장에 대한 가장 엄격한 표준을 준수합니다.

10년 이상 전에 설립된 PCI 보안 표준 위원회는 금융 데이터의 보안을 보장하기 위해 만들어졌으며 규정을 준수하지 않는 기업과 관련된 은행에 대해 매월 최대 $100,000의 벌금을 부과할 수 있습니다.

PCI 규정 준수는 보안 표준과 연결될 뿐만 아니라 감사가 자주 수행되고 프로세스가 수개월이 걸릴 수 있으므로 이러한 표준을 자신 있게 유지할 수 있습니다. 고객 데이터를 보호하기 위해 마련된 엄격한 요구 사항은 보안에 관심이 있는 기업의 필수 구성 요소입니다.

높은 수준의 보안 규정 준수를 보장하기 위해 팀을 구성할 수 있는 SaaS 솔루션에 대해 배울 때 숙제를 해야 합니다. 동일한 작업을 수행하지 않는 다른 솔루션과 통합하는 경우 자체 비즈니스 내에서 건전한 프로세스와 안전한 환경을 만들기 위해 노력하는 것은 의미가 없습니다.

2. 방화벽이란 정확히 무엇이며 내 비즈니스에 어떤 도움이 됩니까?

'방화벽'이라는 용어는 수년 동안 사용되어 왔으며 SaaS 비즈니스가 확장할 준비를 함에 따라 방화벽에 대해 더 많이 배우는 것이 현명합니다.

방화벽은 회사에서 설정한 보안 매개변수를 기반으로 들어오고 나가는 트래픽을 모두 모니터링하고 제어하는 ​​네트워크 보안 시스템 역할을 합니다. 이것은 귀하의 첫 번째 방어선이며 귀하와 인터넷 사이에 장벽을 만듭니다.

고객 입장에서 가장 기본적인 의미에서 컴퓨터 소유자는 바이러스 백신 소프트웨어를 설치하여 방화벽으로 자신의 PC를 보호합니다. 이 소프트웨어는 들어오는 트래픽이 보호되고 있는지 확인하기 위해 방문한 웹사이트에서 들어오는 모든 정보를 분석합니다.

해당 고객이 일회성 구매를 하거나 월별 반복 요금이 있는 서비스에 가입하기로 결정한 경우 고객이 공유하는 정보는 더 이상 자신의 컴퓨터 방화벽에 의해서만 보호되지 않습니다. 해당 데이터는 향후 청구 또는 구매를 위해 저장하기 위해 다른 곳으로 전송됩니다. 그들이 협력하고 있는 SaaS 회사는 자체 방화벽이 있어야 합니다.

따라서 SaaS 비즈니스가 보안 방화벽으로 보호되는지 확인하는 것은 귀사의 데이터와 고객의 데이터 안전을 위해 필수적입니다. 또한 기업은 저장 중인 데이터를 완벽하게 보호하기 위해 최첨단 방화벽으로 보호되는 기술과만 파트너 관계를 맺는 것을 고려해야 합니다.

3. SaaS 보안 조치로 인해 비즈니스 프로세스가 느려집니까?

SaaS 제품의 특성상 데이터는 빠르고 쉽게 액세스할 수 있어야 합니다. 정보를 더 빨리 얻을 수 있을수록 비즈니스가 더 민첩해지며 이는 경쟁 우위를 유지하는 데 필수적입니다.

확장 비즈니스는 시작 단계에 있을 때보다 더 많은 고객을 위해 모든 정보를 처리하기 때문에 이전보다 훨씬 많은 데이터를 가져옵니다. 예를 들어, 불필요한 정보로 인해 수렁에 빠진 ​​스크립트를 실행하는 데이터베이스를 고려하십시오. 이러한 데이터는 프로세스를 복잡하게 만들고 속도를 늦출 수 있습니다.

그러나 스크립트의 속도를 높이고 필요한 데이터 결과에 빠르게 액세스할 수 있도록 하기 위해 취할 수 있는 단계가 있습니다. 또한 데이터가 클라우드에 저장되면서 머신러닝과 인공지능(AI)으로 처리 속도가 빨라져 접근성이 높아지고 있다.

4. 내 비즈니스가 사용자 데이터를 보호하는 경우 투명성이 감소합니까?

이 경우 데이터 보안은 양날의 검이 될 수 있습니다. 기업은 고객에게 정보가 안전하게 저장된다고 확신할 수 있지만 이러한 보안 조치가 무엇인지 설명하는 것은 주저할 수 있으며 해당 안전을 손상시킬 위험이 있습니다. 고객에게 솔직하지 않으면 비즈니스가 투명하지 않은 것처럼 보일 수 있습니다.

그러나 SaaS 비즈니스는 보안 프로토콜을 시연하면서 투명성을 유지할 수 있습니다. 서비스 수준 계약(SLA)은 서비스에 문제가 있는 경우 다운타임 및 응답 시간과 같이 비즈니스에서 기대할 수 있는 사항을 고객에게 설명하는 데 사용됩니다. SLA는 또한 보안 문제를 논의할 수 있는 방법을 제공하며 데이터 침해가 있는 경우 고객에게 알리는 단계를 간략하게 설명합니다.

또한 데이터가 클라우드나 다른 서버에 저장된다는 것은 일반적으로 알려진 사실입니다. 고객에게 개인 정보 보호 정책을 통해 비즈니스 데이터 저장소에 대한 세부 정보를 알려 데이터가 저장되는 서버를 중단시키는 정전이나 다른 문제가 있는 경우 어떤 일이 발생할 수 있는지 이해할 수 있습니다.

5. 공급업체와 협력할 때 어떤 SaaS 보안 조치를 고려해야 합니까?

방화벽 보호 외에도 확장 SaaS 비즈니스는 파트너가 되는 모든 플랫폼이 네트워크 침입 탐지 및 콘텐츠 전달 소프트웨어를 제공할 수 있는지 확인해야 합니다. 엄격한 방화벽 보호와 함께 네트워크 침입 탐지는 악의적인 활동에 대해 시스템을 지속적으로 모니터링합니다. 활동이 감지되면 즉시 네트워크 관리자에게 경고를 보내 조치를 취하도록 합니다.

네트워크 침입 탐지는 방화벽이 미리 설정된 정적 규칙 집합에서 작동하는 반면 네트워크 침입 탐지는 연결을 능동적으로 종료한다는 점에서 방화벽과 다릅니다. 서로 연결되어 있지만 책임이 다릅니다.

동시에 보안은 데이터를 빠르게 전송하고 높은 가용성과 성능을 허용하는 CDN(콘텐츠 전달 네트워크) 을 캡슐화해야 합니다. 오늘날의 CDN은 또한 항상 '켜져 있는' 보안 프로토콜로 전송을 보호해야 합니다.

선택하는 공급업체와 플랫폼에 관계없이 한 번에 보안 면에서 가장 중요한 작물이 미래에는 항상 가장 안전한 것은 아니라는 점을 기억하십시오. 프로토콜이 변경되고 소프트웨어가 업데이트되며 새로운 위협이 나타나기 때문에 선택한 파트너가 향후 높은 수준의 보안을 유지하도록 해야 합니다.

효과적인 SaaS 보안을 유지하는 것은 지속적인 여정입니다.

SaaS 비즈니스가 초기 단계에서 고객 성장, 제품 업데이트 및 기본적인 생존과 같은 것에 집중적으로 집중했을 수 있지만 확장으로 이동함에 따라 초점의 전환이 필요합니다.

증가된 SaaS 청구 및 고객 정보 관리에서 투명성 및 파트너십 보안에 이르기까지 맹공격적인 추가 정보를 처리할 준비를 할 때 해당 데이터를 처리하고 보호할 수 있는 시스템이 있는지 확인하십시오. 그리고 보안은 한 번에 끝나는 것이 아니라 지속적인 여정임을 기억하십시오.

비즈니스의 보안 방어 메커니즘을 지속적으로 검토하는 것이 매우 중요합니다. 현재와 ​​미래에 높은 수준의 규정 준수 및 보안 프로토콜을 안정적으로 유지할 수 있는 사람, 프로세스 및 솔루션을 내부적으로 그리고 파트너십 및 공급업체를 통해 배치하십시오.

사이버 보안 및 규정 준수 도구에 대한 최신 지식으로 SaaS 비즈니스를 안전하게 유지하십시오.