governance

피그마, 현지 데이터 호 (새 탭에서 열림)

피그마(Figma)는 호주 시장의 급격한 성장에 발맞춰 2025년 4분기부터 호주 현지 데이터 호스팅 서비스를 시작하고, 기업용 보안 기능을 대폭 강화한 'Governance+'를 출시했습니다. 이번 조치는 금융, 의료, 공공 부문과 같이 데이터 규제가 엄격한 산업군에서 피그마를 안심하고 사용할 수 있도록 현지 인프라와 강력한 제어 기능을 제공하는 데 목적이 있습니다. 이를 통해 기업 고객은 데이터의 위치를 직접 선택하고 더욱 정교한 거버넌스 정책을 수립할 수 있게 되었습니다. **호주 현지 데이터 레지던시 도입 및 인프라 확장** - 2025년 4분기부터 호주 내에 피그마 파일 데이터(FigJam, Make, Sites, Buzz, Slides 포함)를 저장할 수 있는 옵션이 제공됩니다. - 이는 미국과 유럽에 이은 아시아 태평양 지역 최초의 데이터 레지던시 확장 사례로, 현지 고객들의 보안 및 데이터 보호 요구를 반영한 결과입니다. - National Australia Bank(NAB)와 같은 대형 금융사를 포함하여 규제가 엄격한 산업군의 기업들이 현지 법규를 준수하면서 피그마의 협업 기능을 안전하게 활용할 수 있도록 지원합니다. **Governance+를 통한 기업용 보안 및 제어 기능 강화** - **중앙 집중식 제어:** IP 허용 목록(IP Allowlist) 및 네트워크 접속 제한(NAR) 기능을 제공하여, 승인되지 않은 개인 공간이나 외부 네트워크로 기업 데이터가 유출되는 것을 방지합니다. - **계정 보안 고도화:** 2단계 인증(2FA) 강제 적용과 유휴 세션 타임아웃(Idle Session Timeout) 연장 기능을 통해 계정 탈취 위험을 낮추며, 조만간 다중 SSO 설정 기능도 추가될 예정입니다. - **데이터 거버넌스 및 컴플라이언스:** 'Discovery Pipeline' 도구를 통해 조직 내 모든 피그마 활동을 모니터링할 수 있으며, 이를 통해 기업의 전자 통신 보존 정책을 준수하고 법적 증거 개시(Legal Discovery) 절차를 지원합니다. 현재 피그마 엔터프라이즈 플랜을 이용 중인 고객은 Governance+ 기능을 즉시 도입하여 조직의 보안 수준을 높일 수 있습니다. 특히 데이터 주권과 보안 규제 대응이 중요한 글로벌 기업이라면, 이번 현지 호스팅 일정과 강화된 거버넌스 도구를 검토하여 내부 보안 로드맵에 반영할 것을 추천합니다.

AI는 취약점을 감지할 수 있지만, 누가 위험을 관리하는가? (새 탭에서 열림)

AI의 발전으로 취약점 탐지 및 수정 제안의 자동화가 가속화되고 있으나, 실제 기업 보안의 핵심은 탐지 그 이상인 거버넌스와 위험 관리에 있습니다. 소프트웨어가 AI에 의해 조립되고 의존성이 복잡해지는 현대적 환경에서 단순한 코드 분석만으로는 보안 책임을 다할 수 없으며, 정책 집행과 가시성을 제공하는 통합 플랫폼의 역할이 더욱 중요해지고 있습니다. 결국 AI를 통한 생산성 향상의 성패는 기술 자체보다 이를 안전하게 통제하고 신뢰할 수 있는 거버넌스 체계를 구축하느냐에 달려 있습니다. **AI 신뢰를 뒷받침하는 거버넌스 체계** * AI 시스템(예: Claude Code Security)은 취약점을 식별하고 수정을 제안하는 데 뛰어나지만, 이는 분석일 뿐 책임(Accountability)의 영역은 아닙니다. * 기업의 보안 정책이나 허용 가능한 위험 수준을 정의하는 것은 인간의 영역이며, AI 에이전트가 작동할 경계와 가드레일을 직접 설정해야 합니다. * AI에게 더 많은 자율성을 부여할수록 직무 분리, 감사 추적, 일관된 통제와 같은 강력한 거버넌스가 AI 개발 환경의 신뢰를 지탱하는 기초가 됩니다. **코드 이상의 맥락(Context) 파악의 중요성** * 거대언어모델(LLM)은 개별 코드를 격리된 상태에서 평가하지만, 보안 플랫폼은 해당 코드가 비즈니스에 미치는 영향도와 인프라 간의 상호작용 등 전체 맥락을 이해합니다. * 취약점이 실제 운영 환경에서 실행 가능한 경로에 있는지(Reachable), 혹은 외부 API 및 환경 설정에 의해 실제로 악용될 수 있는지 판단하여 보안 소음을 줄입니다. * 누가 변경을 수행했는지와 애플리케이션의 중요도를 결합한 맥락 정보가 있어야만 개발 속도를 늦추지 않고 효과적인 위험 우선순위 선정이 가능합니다. **동적 위험에 대응하는 지속적 보증** * 소프트웨어 위험은 의존성 변화와 환경 진화에 따라 끊임없이 변하므로, 배포 시점의 일회성 스캔만으로는 안전을 보장할 수 없습니다. * 개발 워크플로에 보안 제어를 직접 삽입하여 빌드, 테스트, 배포 전 과정에서 실시간으로 위험을 평가하는 지속적인 보증(Continuous Assurance) 체계가 필요합니다. * AI 생성 코드와 오픈 소스 라이브러리가 혼재된 복잡한 공급망을 관리하기 위해서는 전체 소프트웨어 수명 주기를 통합적으로 관리하는 오케스트레이션이 필수적입니다. AI 보조 도구는 개발 속도를 획기적으로 높여주지만, 기업은 이를 안전하게 확장하기 위해 거버넌스 중심의 접근 방식을 택해야 합니다. 단순히 똑똑한 AI 어시스턴트를 도입하는 것에 그치지 않고, GitLab과 같은 통합 플랫폼을 통해 정책 집행과 보안 스캔, 감사 기능을 개발 워크플로에 내재화함으로써 AI 시대에 걸맞은 보안 신뢰를 구축할 것을 권장합니다.