개요
Akamai는 온라인 라이프를 지원하고 보호합니다. 매일 수십 억 명의 사람들이 좋아하는 브랜드를 통해 온라인 쇼핑, 게임, 아이디어 공유, 자금 관리 등의 활동을 수행합니다. 고객들은 알지 못할 수도 있지만, Akamai는 이러한 활동을 지원하며 빠르고, 안정적이고, 안전한 경험을 제공합니다.
Akamai는 보안이 오늘날 온라인 라이프에 근본적으로 중요하다는 것을 잘 알고 있으며, 기업 인프라뿐만 아니라 서비스 전반에 걸쳐 사용되는 고객의 데이터를 보호하기 위해 최선을 다하고 있습니다. 이를 위해 Akamai는 현재와 미래의 위협에 대한 포괄적인 보호 기능을 제공하기 위해 자체 보안 제품 및 서비스를 비롯한 선도적인 보안 기술로 지원되는 포괄적인 정보 보안 프로그램을 구축했습니다.
공유 책임 모델
고객은 Akamai 솔루션의 여러 측면을 제어하며, 따라서 고객의 결정은 보안에 영향을 미칩니다. 그러므로 Akamai는 제품 및 서비스 제공과 소비와 관련된 다양한 당사자의 역할과 책임을 정의하는 공유 책임 모델을 도입했습니다.
이 모델에서 고객은 데이터의 민감도에 적합한 Akamai 서비스를 활용하고 애플리케이션과 관련된 리스크를 해결하기 위해 서비스를 올바르게 설정할 책임이 있습니다. 예를 들어, 콘텐츠 전송 솔루션을 사용하는 경우 고객은 사용 사례에 적합한 TLS 설정과 캐싱 정책을 선택해야 합니다. 클라우드 컴퓨팅 솔루션을 사용하는 경우 고객은 기본 운영 체제 및 소프트웨어 스택의 안전한 관리를 포함해 Akamai에서 실행하는 워크로드를 보호하기 위한 조치를 취해야 합니다. 마찬가지로 고객은 Akamai 서비스와 통합하는 자체 인프라를 보호할 책임이 있습니다.
한편, Akamai는 모든 제품을 뒷받침하는 Akamai Connected Cloud 플랫폼의 안전한 개발 및 운영을 책임지고, Akamai 서비스가 올바른 고객 설정에 따른 보안 및 개인정보 보호 속성을 위반하지 않도록 합니다.
예를 들어, 공유 책임 모델에 대한 자세한 내용은 Akamai의 정보 보안 컴플라이언스 사이트에서 제공되는 PCI DSS 컴플라이언스를 위한 책임 매트릭스에서 확인할 수 있습니다. 아래에서는 Akamai의 정보 보안 프로그램에 대해 자세히 설명하고 Akamai가 보안 책임을 이행하는 방법을 설명합니다.
정보 보안 거버넌스
Akamai에는 CSO(Chief Security Officer)가 이끄는 정보 보안 전담 조직인 InfoSec이 있습니다. 보안 전문가로 구성된 이 팀은 Akamai의 정보 보안 프로그램을 유지하고 Akamai의 모든 보안 측면을 감독하는 임무를 맡고 있습니다.
InfoSec은 독립적인 조직이지만 회사의 전반적인 보안 리스크 프로필을 관리하기 위해 엔지니어링, 서비스, 법무, 인사 등 나머지 비즈니스 부서와 매일 긴밀하게 협력합니다.
Akamai는 보안 리스크를 식별, 평가, 방어하는 InfoSec의 역량을 지원하는 잘 정립된 거버넌스 구조를 갖추고 있습니다. Akamai의 ISC(Information Security Committee)는 CSO가 의장을 맡고 비즈니스 전반의 내부 경영진 이해관계자로 구성된 핵심 보안 거버넌스 기구입니다. ISC는 고위 경영진과 정기적으로 리스크 정보를 교환해 중요한 의사결정을 내립니다. 또한 Akamai 이사회 구성원들은 CSO로부터 정기적으로 보안 체계에 대한 업데이트를 받습니다.
기능
Akamai의 정보 보안 프로그램은 Akamai Connected Cloud와 Akamai 고객을 대신해 처리하는 데이터는 물론 기업 내부 시스템, 데이터, 인력을 보호하기 위해 설계되었습니다.
Akamai가 사용하는 주요 보안 기능은 다음과 같습니다.
리스크 관리. InfoSec 리스크 관리팀은 포괄적인 리스크 관리 프로세스를 통해 새로운 리스크와 알려진 리스크를 모두 식별하고, 평가하고, 추적하면서 Akamai의 보안 리스크 노출을 지속적으로 모니터링합니다. 중앙 리스크 레지스터에서 리스크를 추적하고, 회사의 리스크 허용 범위를 초과하는 리스크의 상태를 앞서 설명한 보안 거버넌스 기관에 주기적으로 전달하며, 각 리스크 소유자와 함께 해결 노력을 조율합니다.
지속적인 모니터링. InfoSec 산하의 GSO(Global Security Operations) 팀은 자동화 및 오케스트레이션의 지원을 받는 전담 팀을 통해 여러 데이터 소스에서 보안 시그널을 수집하고 상호 연관성을 파악해 Akamai 시스템을 지속적으로 모니터링합니다. NOCC(Network Operations Command Center)는 Akamai 시스템에 성능, 용량, 기술적 문제 징후가 있는지 지속적으로 모니터링함으로써 GSO의 기능을 보완합니다. 두 팀 모두 장애 복구 기능을 갖추고 있으며 여러 대륙에 분산 배치되어 있습니다.
취약점 관리. InfoSec 산하의 위협 및 취약점 관리 팀은 Akamai의 포괄적인 취약점 관리 프로세스를 감독해 중요한 정책과 지표를 수립하고, 취약점의 심각도와 영향을 평가하고, 시스템 소유자에게 가이드를 제공해 자산에 대한 취약점을 정확하게 매핑하고 문제를 적시에 해결할 수 있도록 합니다.
인시던트 관리. Akamai는 기술 및 보안 인시던트를 처리할 수 있는 적절한 인력을 확보할 수 있도록 설계된 강력한 인시던트 관리 프로세스를 갖추고 있습니다. 이 3단계 프로세스는 즉각적인 위협을 봉쇄하고 상황을 평가해 당면한 문제에 대한 주제별 전문가로 구성된 태스크포스 설정, 팀의 해결 기준에 따른 완전한 문제 해결 및 검증, (마지막으로) 교훈을 바탕으로 인시던트 후 검토 및 장기 정책, 프로세스, 제어 개선을 수행합니다.
위협 인텔리전스 및 보안 연구. Akamai의 보안 전문가들은 새로운 위협을 모니터링하고, 분석하고, 대응합니다. 이들은 세계에서 가장 크고 분산된 클라우드 플랫폼이 제공하는 인터넷 트래픽 및 환경에 대한 Akamai만의 독보적인 가시성을 활용할 수 있습니다. Akamai는 업계 파트너, 법 집행 기관, 특별 이익 단체, 전문 기관, 표준 기구, 학술 기관, 오픈 소스 커뮤니티와 협력해 위협 인텔리전스 역량을 강화합니다. 또한 Akamai는 자체 리서치 역량을 활용해 보안 문헌에 기여하고 새로운 인사이트를 커뮤니티와 공유합니다.
보안 개발. 보안 개발은 Akamai의 모든 시스템 소유자와 엔지니어링 부서가 공유하는 책임이며, InfoSec 산하 제품 보안팀은 이 과정에서 시스템 설계자와 개발자에게 전문적인 보안 전문 지식을 제공합니다. 제품 보안팀은 비즈니스 전반에 걸쳐 일반적으로 적용되는 보안 설계, 보안 코딩, 보안 테스트 요건을 감독하고 필요에 따라 실무 지침 요청에 대응할 뿐만 아니라 개발팀과 일대일로 협력하는 보안 아키텍트를 배치해 초기 설계 단계에서 위협 모델링을 수행한 후 개발자가 Akamai의 표준 시스템 개발 프로세스에서 공식 보안 검토 게이트를 통과할 수 있도록 안내합니다. Akamai의 내부 모의 해킹 테스트 팀은 시스템별 공격 테스트 연습을 통해 이러한 기능을 보완합니다.
보안 표준 컴플라이언스. Akamai는 반복적 감사를 거쳐 ISO 27001, ISO 27017, ISO 27018, ISO 27701, PCI DSS, SOC 2 Type 2, FedRAMP, Akamai의 정보 보안 컴플라이언스 사이트에 나열된 다른 많은 표준을 준수함을 입증합니다. 또한 Akamai는 이러한 보안 표준에 따라 자격을 갖춘 써드파티 벤더사가 수행하는 취약점 스캔 및 모의 해킹 테스트를 주기적으로 거칩니다.
고객 신뢰. InfoSec 산하의 고객 신뢰팀은 보안 전문가로 구성된 전문 팀으로, Akamai 고객과 소통하며 고객의 보안 관련 질문에 대한 답변을 제공합니다. 고객 신뢰팀은 Akamai의 정보 보안 프로그램, 아키텍처, 암호화 사용, 기타 낮은 수준의 기술적 세부 사항과 보안에 미치는 영향 등 모든 측면에 대해 논의할 수 있습니다. 또한 Akamai의 운영을 자세히 살펴보고자 하는 고객과 현장 감사를 조율합니다.
결론
Akamai는 다양한 업계와 지역에 걸쳐 수천 명의 고객에게 안전하고 신뢰할 수 있는 클라우드 서비스를 제공해 온라인 입지, 보안, 성능을 향상시키는 신뢰할 수 있는 파트너라는 것을 자랑스럽게 여깁니다. Akamai는 진화하는 위협 환경에 한발 앞서 대응하고 사이버 공격으로부터 플랫폼, 고객사, 고객의 최종 사용자를 보호하기 위해 보안 기능과 혁신에 지속적으로 투자하고 있습니다.