CSA, “금융기관, 클라우드 사업자 신뢰 문제 우려”
상태바
CSA, “금융기관, 클라우드 사업자 신뢰 문제 우려”
  • 김선애 기자
  • 승인 2020.03.04 11:33
  • 댓글 0
이 기사를 공유합니다

금융기관 설문조사…91% 응답자 “클라우드 사용 중이거나 사용 계획 있어”
“클라우드 공급자 확신 못해…기술적 사이버·보안 통제에 대한 인식 차”

[데이터넷] 금융기관 대부분이 클라우드를 사용하거나 사용할 계획을 갖고 있지만, 클라우드 서비스 사업자의 신뢰 문제, 공급자와의 계약 문제에 대한 우려를 갖고 있는 것으로 나타났다.

클라우드보안연합(CSA)이 맥아피 후원으로 진행한 ‘금융 서비스 분야의 클라우드 사용 현황’ 보고서에 따르면 전 세계 금융기관 91%가 현재 클라우드 서비스를 사용하고 있거나 6~9개월 내에 사용할 계획으로 나타났다. 또한 퍼블릭 클라우드 워크로드의 20% 가까이가 민감하고 제한적인 데이터를 취급하고 있었으며, 비즈니스 크리티컬 워크로드가 클라우드 사업자에 의해 운영되는 비율이 1~10%에 이른다는 답이 46%, 11~50%에 이른다는 답이 19%에 달했다.

클라우드 도입에 장애가 되는 요소를 묻는 질문에 ‘클라우드 공급자에 대해 확신할 수 없다, 기술적인 사이버·보안 인식차가 없다’는 답이 가장 높은 응답을 받았다. 뒤를 이어 규제준수 요구, 데이터 프라이버시 규제, 내부 컴플라이언스 요구, 그기로 보안·리스크·책임 소재와 관련된 클라우드 공급자와의 계약 문제를 들었다.

데이터 통제 권한 확보 ‘소홀’

클라우드 도입에 가장 큰 걸림돌이 되는 것 중 하나가 보안 오너십을 누가 갖는지에 대한 부분이다. 특히 데이터를 관리할 때 클라우드에 데이터를 암호화 한 후 키 관리를 클라우드 사업자에게 맡길 것인지, 기업 내부 관리 정책을 마련할 것인지 여전히 혼란한 상황이다.

이번 조사 응답자의 90%는 규제준수·중요 데이터 보호에 대한 관리 정책을 갖고 있다고 답했지만, 정책 통제 권한에 대해서는 상당수가 잘못된 선택을 하는 것으로 보인다. 클라우드 데이터에 대한 마스터키를 조직에서 직접 관리한다는 답이 48%로 가장 많았지만, 28%의 응답자는 클라우드 HSM에 보관하며 클라우드 서비스 사업자가 여기에 접근할 수 있다고 답했다. 이 경우 클라우드 서비스 사업자에 대한 ‘신뢰’ 문제가 불거질 수 있으며 기업이 데이터에 대한 완전한 통제권을 갖지 못해 여러 리스크에 직면할 수 있다.

규제지관이나 고객, 공급업체 등 합의를 이룬 써드파티에서 담당하고 있다는 답과 내부 정책을 규정하지 않았다는 답이 각각 11%에 이르러 여전히 데이터 통제 권한 확보의 중요성에 대해 정확하게 인식하지 못하는 것으로 나타났다.

전사 위험 평가에 클라우드 위험 평가 통합

클라우드 운영 정책과 리스크 평가, 인재 관리 등의 항목에서는 다소 진전을 보이는 것으로 나타났다. 응답자의 52%가 전사 리스크 관리 일부로 클라우드 보안 정책과 표준을 갖고 있다고 답했다. 1/3은 개발과정에 있으며, 14%는 마련돼 있지 않다고 답했다.

위험 평가와 관련한 질문에 대해 52%가 클라우드 서비스 위험 평가를 기업 위험평가 방법론에 완전히 통합했다고 답했으며, 40%는 부분적으로 통합됐다고 밝혔다.

인재관리 관련 질문에서 클라우드 보안 기술 격자를 해소하기 위해 직원교육을 진행한다고 답한 사람이 75%로 압도적으로 많았으며, 외부 클라우드 보안 전문가 채용 40%, 제 3자를 통한 보호 58%로 나타났다.

클라우드 서비스 위협 모니터링 항목에 대한 질문에서 IaaS 가시성을 완전하게 확보했다는 답이 21%, 우수한 수준으로 확보했다는 답이 47%, 합리적인 수준에서 확보했다는 답이 21%를 기록했다. 36%는 SaaS 가시성이 합리적이지만 개선이 필요하다고 평가했고, 가시성이 없거나 최소화됐다는 답이 12%에 달했다.

보고서는 “클라우드를 도입할 때 사내 서비스 수준과 동일한 컴플라이언스와 보안 정책을 준수해야 하며, 클라우드 사업자 역시 엄격한 수준의 보안과 컴플라이언스를 지원하도록 유도해야 한다”며 “모든 클라우드 사업자가 만족할만한 보안 성숙도를 이룬 것은 아니다. 기업은 가용한 기술을 활용해 서비스 제공업체들이 강화된 보안 태세로 이끌어야 한다”고 조언했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.