“민감 데이터 암호화 키도 서비스 공급업체에 맡겨 ‘위험’”
[데이터넷] 퍼블릭 클라우드는 ‘책임 공유 모델’에 따라 서비스 공급업체와 사용 기업이 보안이나 장애에 대한 책임을 나눠지게 되어 있다. 그러나 많은 기업들이 클라우드 책임 공유 모델을 제대로 이해하지 못하고 있으며, 클라우드 공급업체가 민감 데이터까지 책임진다고 여기는 것으로 나타났다.
탈레스가 포네몬 연구소와 공동으로 진행한 ‘2019 클라우드 보안 연구’에 따르면 클라우드상의 민감 데이터에 대한 가장 큰 책임은 클라우드 서비스 공급업체(35%)에 있다고 생각하고 있었다. 이는 공동 책임(33%)과 기업의 책임(31%)이라고 답한 비율보다 높았다. 이 처럼 기업들은 클라우드 공급업체에 더 큰 책임이 있다고 여기고 있음에도 불구하고, 클라우드 공급업체를 선정할 때 보안에 비중을 두는 기업은 23%에 불과했다.
이 조사는 호주, 브라질, 프랑스, 독일, 인도, 일본, 영국, 미국의 IT 및 IT 보안 실무자 3667명을 대상으로 실시한 것으로, 응답 기업의 48%가 데이터 전체를 클라우드에 저장한다고 답했으며, 클라우드의 데이터 스토리지 보안을 우선 고려했다고 답한 기업은 32%에 불과했다.
클라우드 데이터 보안 우려하지만 대책 마련 부족
기업들은 클라우드 민첩성을 극대화하기 위해 여러 퍼블릭 클라우드를 사용하고 있다. 이 조사 응답자의 48%가 AWS, MS 애저, IBM을 통해 멀티 클라우드 전략을 실행다고 답했으며, 이들은 평균 3개의 서로 다른 클라우드 서비스를 사용하고 있으며, 28%는 4개 이상의 서비스를 사용하고 있다고 답했다.
클라우드에 민감 데이터를 저장함에도 불구하고, 응답자의 46%가 클라우드에 소비자 데이터를 저장하는 것이 보안 위협을 증가시킨다고 답했으며, 56%는 클라우드가 컴플라이언스 준수에 어려움을 야기한다고 답했다.
클라우드의 민감 데이터 관리 문제가 심각한 위협으로 다가오고 있음에도 대응 조치는 매우 미흡한 상황이다. 응답기업의 51%가 클라우드 상의 민감 데이터를 보호하기 위한 방법으로 암호화 또는 토큰화를 사용하고 있지 않았다. 국가 간 격차도 심하게 나타났는데, 암호화를 가장 많이 사용하는 국가는 독일(66%)로 조사됐다.
“데이터 보호 규제 복잡한 점 문제”
암호화된 데이터의 키를 클라우드 공급업체가 관리하도록 하는 것도 문제로 지적된다. 관리자 계정을 탈취한 공격자가 암호화 키와 데이터를 함께 가져갔을 때 피해를 피할 수 없기 때문이다. 따라서 암호화 키 혹은 그 키에 대한 마스터키를 기업이 관리해야 한다.
그러나 응답 기업의 44%가 클라우드 제공업체가 암호화 키를 관리한다고 답했으며, 사내 담당 부서(36%), 써드파티 업체(19%)가 뒤를 이었다. 가장 주목할 만한 사실은 기업의 78%가 암호키 관리가 중요하다고 답한 것에 비해, 직접 암호키를 관리하고 있는 기업은 53%에 지나지 않았다.
클라우드 스토리지로 인해 민감 데이터를 보호하는 데 어려움을 겪고 있다고 응답한 기업은 54%로, 지난해 49%보다 증가했다. 응답자의 70% 이상은 개인정보보호 및 데이터 보호 규제의 복잡성으로 인해 클라우드 환경의 데이터를 보호하는 것이 더 어렵다고 답했으며, 67%는 기존의 보안 방식을 클라우드에 적용하기가 어렵다고 응답했다.
티나 스튜어트(Tina Stewart) 탈레스 CPL 사업부 시장 전략 부문 부사장은 “탈레스의 이번 연구는 오늘날 기업들이 새로운 클라우드 옵션이 제공하는 기회를 활용하고 있지만, 데이터 보안 문제를 적절하게 해결하지는 못하고 있다는 점을 여실히 보여준다. 특히 클라우드 공급업체가 클라우드상의 데이터 보안에 책임을 지고 있다고 생각하면서도, 실질적인 업체 선정 과정에서 보안을 주요 요소로 생각치 않고 있는 것은 매우 걱정되는 점”이라며 “클라우드의 종류나 서비스 공급업체에 상관없이 클라우드의 데이터 보안은 데이터 소유 기업에 귀결된다. 데이터 유출이 발생할 경우 기업의 평판이 위태로워질 수 있으므로, 사내 보안 부서에서 보안 상태를 예의주시하고 암호키 관리를 제어하는 것이 매우 중요하다”고 말했다.
