벤더가 이제 공격 표면
2026년 업데이트
10년간 보안팀은 하나의 목표에 집중했습니다: 공격자가 네트워크에 들어오지 못하게 하는 것. 경계를 보호하고, 엔드포인트를 잠그고, 로그인을 통제했습니다. 구식 모델은 공격자가 조직을 직접 공격할 것이라고 가정했습니다.
2024년 수치는 그 모델이 깨졌음을 보여줍니다. SaaS 침해가 Obsidian Security 2025 SaaS 보안 위협 보고서에 따라 2024년에 300% 급증했습니다. 공격자들은 더 이상 조직을 직접 공격하지 않습니다. 조직이 기록을 신뢰하는 SaaS 도구를 공격합니다.
클라우드 도구가 공격 대상일 때 강력한 내부 네트워크는 도움이 되지 않습니다. 고객 기록, 직원 문서, 민감한 내용이 도구 서버에 있습니다. 도구의 키로 잠겨 있습니다. 도구가 피해를 입으면 노출됩니다.
2024년 SaaS 침해 수치
2024년 침해 총계가 위험 규모를 보여줍니다.
Conduent가 2,590만 건의 기록을 노출시키는 침해를 당했습니다. Conduent는 정부 기관과 대형 기업의 비즈니스 프로세스 업무를 처리합니다. 혜택, 지불, 시민 서비스를 관리합니다. 영향받은 2,590만 명은 제3자가 자신의 정보를 보유하고 있다는 것을 알지 못했습니다.
NHS Digital이 900만 명의 환자에 영향을 미치는 침해를 당했습니다. 환자 기록이 클라우드 도구 서버를 통해 노출됐습니다. 환자들은 자신의 의료 제공자에게 정보를 주었습니다. 그것이 제3자 플랫폼에 도달했다는 것을 알 이유가 없었습니다.
이것은 드문 사건이 아닙니다. 새로운 표준입니다. 대형 침해가 이제 한 번도 존재를 몰랐던 제3자가 정보를 보유하고 있었던 수백만 명의 사람들에게 영향을 미칩니다. 이 경우의 법적 책임 할당은 GDPR 컴플라이언스 개요를 참고하세요.
SaaS 침해가 다르게 작동하는 이유
고전적인 네트워크 침해는 많은 단계를 거칩니다. 공격자가 경계를 통과해야 합니다. 시스템을 이동해야 합니다. 문서를 추출해야 합니다. 각 단계가 발각될 기회입니다.
SaaS 침해는 다르게 작동합니다. 공격자가 클라우드 플랫폼을 공격할 때 그 플랫폼을 통해 내용을 보낸 모든 클라이언트의 기록에 접근합니다. 하나의 침해로 수십 또는 수백 개 클라이언트의 문서를 한꺼번에 얻습니다.
9분 침해 창 — Obsidian Security 사고 기록에 따른 SaaS 시스템에서 최초 접근부터 기록 도난까지의 시간 — 이 얼마나 빠른지 보여줍니다. 공유 플랫폼 내에서 공격자는 많은 클라이언트의 내용을 한 번에 찾습니다. 그 가치 집중이 각 공격을 매우 효율적으로 만듭니다.
계약이 이 격차를 닫지 않습니다. GDPR 제82조는 프로세서가 야기한 침해에 대해 공동 책임을 할당합니다. 하지만 과실을 증명하는 데 수개월이 걸립니다. 그때쯤이면 기록이 이미 사라집니다. 제로 지식 도구가 이 결과를 어떻게 바꾸는지는 보안 및 컴플라이언스 페이지를 참고하세요.
DPA는 귀하의 기록을 보호하지 않습니다
GDPR 제28조는 조직이 "충분한 보장"을 제공하는 프로세서만 사용해야 한다고 말합니다. 데이터 처리 계약(DPA)이 그 보장의 서면 증거입니다.
HIPAA 사업 파트너 계약처럼 DPA는 법적 측면을 다룹니다. 제공업체 서버의 문서에 무슨 일이 일어나는지는 다루지 않습니다.
완전히 GDPR을 준수하는 DPA를 가진 클라우드 도구도 여전히:
- 제공업체가 보유한 키로 서버측 암호화를 사용해 고객 기록을 저장할 수 있습니다
- 다른 많은 클라이언트가 사용하는 공유 시스템을 통해 직원 정보를 처리할 수 있습니다
- 합의된 용도를 넘어 로그와 캐시된 내용을 보관할 수 있습니다
- 위의 모든 것을 노출시키는 침해를 당할 수 있습니다
DPA가 법적 의무를 설정합니다. 노출에 대한 기술적 장벽을 만들지 않습니다. 공격자가 9분 안에 플랫폼을 침해할 때 DPA가 그들을 늦추지 않습니다.
제28조 의무에 대한 평이한 언어 도움은 GDPR 용어집을 참고하세요.
300% 급증이 구조적인 이유
300% 급증은 동시에 작동하는 두 가지 힘을 반영합니다.
첫째, 2024년 SaaS 플랫폼의 민감한 정보 양이 크게 증가했습니다. 더 많은 조직이 더 많은 업무를 클라우드 도구로 이동했습니다. 더 많은 문서가 제3자 서버에 도달했습니다. 더 많은 내용은 그 서버를 공격할 더 많은 이유를 의미합니다.
둘째, 공격자들이 적응했습니다. 조직들은 이제 고객 기록, 재무 로그, HR 정보, 법적 내용, 건강 기록을 SaaS 도구를 통해 보냅니다. 하나의 플랫폼을 공격하면 많은 클라이언트의 기록을 얻습니다. 계산식은 단일 조직보다 플랫폼을 공격하는 것을 선호합니다.
300% 수치는 범죄 급증이 아닙니다. 공격이 어디로 가는지의 구조적 변화를 나타냅니다.
해결책으로서의 제로 지식 익명화
해결책은 하나의 사고 전환에서 시작됩니다. 어떤 플랫폼도 피해를 입을 수 있다면 — 2024년 기록이 증명하듯 — 어떤 플랫폼도 고객의 개인 정보를 읽을 수 있는 형태로 받아서는 안 됩니다.
업로드 전 제로 지식 익명화는 침해 위험을 완전히 바꿉니다. 제로 지식 처리된 내용을 보유한 플랫폼이 공격당할 때:
- 공격자가 읽을 수 있는 고객 식별자가 없는 익명화된 기록에 접근합니다
- 개인 정보가 노출되지 않았으므로 정보주체 통보가 필요 없습니다
- GDPR 제82조 공동 책임 사례가 필요 없습니다
- 침해로 인한 규제 후속 조치가 없습니다
공격이 플랫폼에 피해를 입힙니다. 고객에게 도달하지 않습니다. 그들의 개인 정보가 읽을 수 있는 형태로 플랫폼 서버에 도달한 적이 없습니다.
이것은 이론이 아닙니다. 단순한 사실입니다: 읽을 수 있는 형태로 전송된 기록이 없기 때문에 훔칠 기록이 없습니다. 제로 지식 익명화에 대한 일반적인 질문은 FAQ를 참고하세요. 이 보호가 대규모로 얼마나 드는지는 요금 페이지를 참고하세요.
300% 급증이 위험 계산을 바꿉니다. 공급업체의 보안 태세와 계약 조건을 확인하는 것은 공급업체가 다음 헤드라인이 되지 않을 것이라는 데 걸기입니다. 제로 지식 익명화는 그 도박을 제거합니다.