기업들이 클라우드 컴퓨팅 리소스가 중요한 위치를 차지함에도 불구하고 클라우드 내 민감한 데이터를 보호하기 위해 적절한 거버넌스와 보안 대책을 도입하지 않고 있는 것으로 나타났다.
이는 포네몬 인스티튜가 젬알토의 의뢰를 받아 실시한 ‘2016 글로벌 클라우드 데이터 보안 연구’에 따른 것으로, 조사 대상의 54%가 클라우드 데이터를 보호할 수 있는 방법이 없다고 답했다.
이 조사는 전 세계 IT 및 IT 보안 실무자 3400여 명을 대상으로 실시했으며, 클라우드 기반 서비스용 데이터 거버넌스, 보안 관련 실무의 핵심 트랜드에 대한 이해 증진을 목적으로 수행됐다.
응답자 81% “향후 2년간 클라우드 중요성 증대”
조사 대상자 중 73%는 소속 기업 내에서 클라우드 기반 서비스와 플랫폼을 중요하게 여기고 있었으며, 81%는 향후 2년 간 그 중요성이 증대될 것이라고 답했다. 36%의 응답자는 소속 기업의 IT 및 데이터 처리 관련 니즈가 현재 쓰이고 있는 클라우드 리소스의 활용으로 해결되고 있다는 입장이었으며, 45%는 이러한 추세가 향후 2년 간 더욱 늘어날 것으로 내다봤다.
이처럼 기업 내 IT 운영 및 사업 전략에 있어 클라우드 기반 리소스가 차지하는 중요성은 갈수록 증대되고 있지만, 보안 정책은 여전히 미흡한 것으로 나타났다.
65%의 응답자는 소속 기업이 클라우드 내 기밀 정보나 민감한 정보를 적극 보호하고 있다고 답했으나, 54%는 소속 기업이 클라우드 환경 내 개인정보 및 데이터 보호 규정 준수, 그리고 보안 관리에 있어 선제적 접근 방법을 가지고 있지 않다고 밝혔다. 또한 응답자의 56%는 소속 기업이 클라우드 내 민감한 정보를 사업 파트너, 컨트렉터, 벤더사 등 제3자에 공유하는 데 신중하지 못하다는 입장이었다.
섀도우 IT로 인한 어려움 높아져
클라우드 서비스의 49%는 IT 부서가 아닌 다른 부서에 의해 도입됐으며, 클라우드 환경 내에 저장된 기업 데이터의 47%는 IT 부서가 관리 혹은 통제하지 않고 있었다. 현재 사용되고 있는 모든 클라우드 컴퓨팅 서비스에 대한 인지 자신감은 향상된 모습을 보였다.
54%의 응답자들은 소속 기업 IT 부서가 현재 사용되고 있는 모든 클라우드 컴퓨팅 애플리케이션, 플랫폼 혹은 인프라 서비스를 파악하고 있다고 대답했는데, 이는 2014년(9%)에 비해 크게 늘어난 수치이다.
2014년에는 60%의 응답자가 클라우드 서비스 이용 시 기밀 혹은 민감한 정보를 보호하는 데 더 어려움을 느낀다고 밝혔는데, 올해의 경우 이 비율이 54%로 감소했다. 반면 최종 사용자 액세스 제어 및 제한이 어렵다는 응답자는 2014년 48%에서 올해 53%로 늘어났다.
응답자들은 보안성 확보를 가로막는 기타 요소로 클라우드 환경 내에서 전통적인 정보 보안 방식 도입 불가(70%), 보안 컴플라이언스를 위한 클라우드 공급자 직접 점검 불가(69%)를 꼽았다.
클라우드 저장 고객 정보 급증
조사에 따르면 클라우드 상에 저장되는 데이터 종류로는 고객 정보, 이메일, 소비자 데이터, 직원 기록 및 결제 정보인 것으로 나타났다. 이 가운데 소속 기업이 클라우드에 저장하고 있는 정보가 고객 정보라는 응답자는 2014년 53%에서 올해 62%로 가장 큰 증가폭을 보였다. 또한 조사자 가운데 53%는 클라우드 상에서 가장 리스크를 많이 갖고 있는 것 또한 고객 정보라고 답했다.
클라우드 애플리케이션이나 플랫폼 선정을 위한 의사결정 과정에 소속 기업의 보안팀이 참여하고 있다는 응답자는 전체의 21%에 불과했다. 또한 64%는 소속 기업이 클라우드 컴퓨팅 애플리케이션 사용에 암호화 등 보안 세이프가드 적용을 의무화하는 정책을 갖고 있지 않았다.
클라우드 암호화 확산 안돼
조사자 가운데 72%는 기밀이거나 민감한 데이터에 대한 암호화 혹은 토큰화 능력이 중요하다고 답했다. 또한 86%는 향후 2년 동안 그 중요성이 더욱 증대될 것이라고 밝혔는데 이는 2014년(79%)보다 늘어난 수치이다.
다만 암호화가 갖는 중요성은 갈수록 증가하는 반면, 클라우드 전반에 걸쳐 광범위하게 도입되지는 않고 있다. 일례로 가장 선호되는 클라우드 기반 서비스 중 하나인 SaaS의 경우 소속 기업이 기밀이거나 민감한 데이터에 대한 암호화 혹은 토큰화 작업을 클라우드 기반 애플리케이션 내에서 직접 실시했다고 응답한 사람은 34%에 불과했다.
더불어 응답자의 67%는 클라우드 상에서의 사용자 정보 관리가 온프레미스보다 더 어렵다는 입장을 보였다. 그러나 기업들은 클라우드 보안성을 확대하고 적용도 쉬운 보안 대책들을 도입하지 않고 있었다.
45%의 응답자는 소속 기업이 클라우드 상에서 직원 및 제3자의 애플리케이션, 데이터 액세스 보안을 확보할 수 있는 다중요소 인증을 사용하지 않았다. 이는 곧 상당수 기업들이 여전히 이름과 비밀번호만으로 사용자 정보를 확인하고 있음을 의미한다. 응답자의 58%는 소속 기업이 클라우드 상에서 제3자 사용자들의 회사 정보 및 데이터 액세스를 허용하고 있다고 답했다.
클라우드 데이터거버넌스 필수
클라우드 IT가 몰고 올 새로운 현실을 고려했을 때, 기업별 IT 부서들은 앞으로 데이터 거버넌스와 컴플라이언스를 위한 포괄적 형태의 정책을 확립, 클라우드 서비스 소싱 가이드라인을 구축하고 데이터의 클라우드 저장 가능 여부를 판단하는 규정을 마련해야 한다.
IT 부서들은 암호화 등 데이터 보안 대책을 도입해 섀도우 IT를 구현하는 한편 기업 데이터 보호하는 임무를 달성할 수 있다. 특히 암호화의 경우 IT 부서 내부 조직들이 클라우드 기반의 서비스를 필요한 만큼 확보할 수 있기 때문에 중앙화된 형태로 클라우드 내의 데이터 보호가 가능하다.
기업별로 클라우드 내 데이터 저장과 클라우드 기반 서비스 활용이 늘고 있다. 따라서 IT 부서들은 다중요소 인증을 활용해 더욱 강력하게 사용자 액세스를 제어하는 데 역점을 두어야 한다. 특히 클라우드 내 데이터에 대한 제3자와 벤더사 액세스를 허용하는 기업들에게는 더욱 중요한 문제이다.
