[reinvent 2025] 사이버 리스크는 비즈니스 리스크: 중단 없는 클라우드 보안 관리 (sponsored by Trend Micro)

Security, Compliance & Identity

Summary

이 세션은 Trend Micro가 후원하며, 최근 대규모 침해 사고 사례를 통해 사이버 공격이 기업 운영과 재무에 미치는 치명적인 영향을 설명합니다. 이를 해결하기 위한 전략으로 ‘리스크 정량화(Risk Quantification)’와 ‘통합 플랫폼(Platform Approach)’을 제시합니다. 보안 담당자가 경영진과 효과적으로 소통하고, 사전 예방적인 보안 체계를 구축하여 비즈니스 혁신을 안전하게 지원하는 방법을 배울 수 있는 세션입니다.

리인벤트 2025 테크 블로그의 더 많은 글이 보고 싶다면?

AWS re:Invent 2025 Tech Blog written by MegazoneCloud

Overview

  • Title: Maximizing EC2 Local NVMe Storage: Enhanced NVMe Metrics and K8s Integration
  • Date: 2025년 12월 3일 (수)
  • Venue: Venetian | Level 3 | Lido 3106
  • Speaker:
  • Bharat Mistry
  • Industry: Automotive

들어가며

이번 칼럼에서는 Trend Micro가 후원한 세션으로, 사이버 리스크를 단순한 기술적 문제가 아닌 ‘비즈니스 리스크’로 인식하고 관리해야 한다는 주제를 다룹니다. 최근 Jaguar Land Rover(JLR)나 Qantas 항공 등 막대한 재정적, 운영적 손실을 입힌 대규모 침해 사례들이 늘어나고 있습니다. 이에 따라 CISO(정보보호최고책임자)뿐만 아니라 이 사회 차원에서의 리스크 관리가 필수적이 되었습니다. 이 세션에서는 혁신을 저해하지 않으면서도 클라우드 보안을 강화하고, 비즈니스 회복탄력성을 확보하기 위한 전략적 접근법을 제시합니다.

사이버 리스크는 곧 운영 리스크이자 비즈니스 리스크

최근의 사이버 공격은 단순한 데이터 유출을 넘어 기업의 생존을 위협하는 수준에 이르렀습니다. JLR의 경우 사이버 공격으로 인해 2억 2천만 달러의 손실과 5주간의 생산 중단을 겪었습니다. 이는 사이버 리스크가 곧 ‘운영 리스크(Operational Risk)’임을 명확히 보여줍니다. 세션에서는 사이버 리스크 관리가 이사회의 핵심 안건이 되어야 하며, 이를 IT 문제로만 치부해서는 안 된다고 강조했습니다. 영국 국가사이버보안센터(NCSC)의 권고처럼, 최악의 시나리오에서는 IT 시스템 없이도 비즈니스를 운영할 수 있는 ‘회복탄력성(Resilience)’을 갖추는 것이 중요합니다.

혁신과 보안의 딜레마, 그리고 사고 방식의 변화

많은 기업들이 AI와 같은 신기술을 도입하여 혁신을 꾀하고 있지만, 동시에 92%의 기업이 보안 리스크 증가를 우려하고 있습니다. 특히 소프트웨어 공급망의 복잡성과 재택근무 등으로 인해 공격 표면(Attack Surface)이 급격히 확장되었습니다. 이러한 상황에서 필요한 것은 사후 대응적(Reactive) 방어에서 사전 예방적(Proactive) 리스크 기반 접근 방식으로의 사고 방식 변화가 필요하다고 연사는 말했습니다. 단순히 보안 도구를 늘리는 것이 아니라, 비즈니스 관점에서 리스크를 평가하고 우선순위를 정하여 선제적 대응이 필요합니다.

리스크 정량화(Quantification)와 비즈니스 언어로의 소통

보안 담당자들이 경영진에게 보안 투자의 필요성을 설득하기 위해서는 리스크 정량화(Risk Quantification)가 무엇보다 중요합니다. 세션에서는 보안 리스크를 기술적 용어가 아닌, ‘연간 수익의 18% 손실 가능성’과 같이 구체적인 금전적 가치로 환산하여 제시해야 한다고 강조했습니다. 요인 분석(Factor Analysis) 모델 등을 활용하여 시나리오별 최소/최대 예상 손실액을 산출하고, 이를 바탕으로 이사회와 소통함으로써 보안 예산을 확보하고 전략적 투자를 이끌어낼 수 있습니다.

Vision One과 Northeast Georgia Health System 사례

복잡한 보안 환경을 효율적으로 관리하기 위해서는 파편화된 도구들이 아닌, 통합 플랫폼(Platform Approach)이 필요합니다. Trend Micro의 ‘Vision One’과 같은 플랫폼은 공격 표면 관리, 취약점 분석, 위협 탐지 등을 하나로 통합하여 가시성을 제공하고 대응 속도를 높여줍니다. 실제 사례로 소개된 Northeast Georgia Health System은 5개 병원을 운영하는 비영리 의료 기관으로, 제한된 리소스 내에서 내부 및 외부 공격 표면을 관리해야 하는 과제를 안고 있었습니다. 이들은 사이버 리스크 노출 관리 모델과 위협 인텔리전스를 통합한 플랫폼을 도입함으로써, 수동 작업을 줄이고 중앙집중식 가시성을 확보하여 팀의 효율성을 크게 향상시켰습니다.

결론

본 세션은 사이버 보안이 비즈니스 혁신을 지원하는 핵심 요소임을 재확인하는 자리였습니다. 리스크 정량화를 통한 경영진과의 소통 강화 및 통합 플랫폼 기반의 사전 예방적 보안 체계 구축은 급변하는 위협 환경에서 비즈니스 연속성과 지속 가능한 성장을 보장하는 필수 전략입니다.
글 │메가존클라우드, Specialty Service Unit, Modernization SA 1팀, 박혜진 SA
리인벤트 2025 테크 블로그의 더 많은 글이 보고 싶다면?
게시물 주소가 복사되었습니다.

[필수] 개인정보 수집 및 이용 동의

메가존클라우드(이하 ‘회사’)는 아래 사항에 따라 회원님의 정보를 수집·활용하고 있습니다. 아래 사항을 숙지하시어 동의하시는 경우 확인란에 표시해 주시기 바랍니다.


1. 개인정보 수집자 : 메가존클라우드(주)


2. 개인 정보 수집 항목

– [필수] 성함 / 회사 이메일 / 회사명


3. 개인정보 수집 및 이용 목적

– 뉴스레터를 통해 IT산업(클라우드 산업 포함) 및 메가존클라우드의 다양한 소식 및 정보를 제공하고, 이용자 분석 통계를 통해 신규 서비스 발굴 및 기존 서비스 개선, 맞춤 서비스 제공을 위해 개인정보를 활용합니다.


4. 보유 및 이용 기간
– 수집일로부터 3년(단, 정보주체가 철회할 경우 지체 없이 파기)


※ 개인정보 이용 철회 방법

– 안내문 등의 동의철회 이용방법 : 거부 전자 메일 링크를 클릭하거나 정보 텍스트에서 거부 전자 메일 연락처에 통지하여 거부/수락 의사를 알립니다.

– 개인정보처리상담부서

– 부서명 : 마케팅그룹

– 연락처 : 02-2108-9171, event@megazone.com


※ 동의 거부권 및 불이익

– 귀하는 동의를 거절할 수 있는 권리를 보유하며, 동의를 거절하는 경우 상기 이용 목적에 명시된 서비스가 제공되지 아니합니다.

[선택] 마케팅 활용 및 광고성 정보 수신 동의

메가존클라우드(이하 ‘회사’)는 아래 사항에 따라 회원님의 정보를 수집·활용하고 있습니다. 아래 사항을 숙지하시어 동의하시는 경우 확인란에 표시해 주시기 바랍니다.


1. 개인정보 수집자 : 메가존클라우드(주)


2. 개인 정보 수집 항목

– [필수] 성함 / 회사 이메일 / 회사명


3. 개인정보 수집 및 이용 목적

– 행사 안내 및 제공, 신제품 안내, 소식지 발송 등 영업 마케팅 활동

※ 본 동의에는 이메일, 문자, 전화를 이용한 광고 수신 동의가 포함됩니다.


4. 보유 및 이용 기간
– 수집일로부터 3년(단, 정보주체가 철회할 경우 지체 없이 파기)


※ 개인정보 이용 철회 방법

– 안내문 등의 동의철회 이용방법 : 거부 전자 메일 링크를 클릭하거나 정보 텍스트에서 거부 전자 메일 연락처에 통지하여 거부/수락 의사를 알립니다.

– 개인정보처리상담부서

– 부서명 : 마케팅그룹

– 연락처 : 02-2108-9171, event@megazone.com


※ 동의 거부권 및 불이익

– 귀하는 동의를 거절할 수 있는 권리를 보유하며, 동의를 거절하는 경우 상기 이용 목적에 명시된 서비스가 제공되지 아니합니다.