[2021 보안 담당자 설문조사②] “클라우드 사용 파악 못해”
상태바
[2021 보안 담당자 설문조사②] “클라우드 사용 파악 못해”
  • 김선애 기자
  • 승인 2021.02.02 09:00
  • 댓글 0
이 기사를 공유합니다

응답자 절반 “클라우드 사용 중”…보안 사고 일어났는지 확인 소홀
클라우드 보안 솔루션 도입보다 매니지드 보안 서비스에 관심 높아

[데이터넷] 재택·원격근무로 인해 클라우드 사용이 급증한 것은 누구도 부인할 수 없는 사실이다. 마이크로소프트365와 팀즈 사용자가 증가했으며, 클라우드 기반 화상회의 솔루션 매출은 폭발적으로 늘었다. 그러나 이것이 본격적인 클라우드 전환으로 이어졌다고 볼 수 있는지 여러 의견이 나온다다. 특정한 몇 가지 SaaS를 새롭게 사용했다고 해서 클라우드 전환이라고 보는 것은 지나친 과대해석이라는 지적이 있다.

예를 들어, 마이크로소프트의 경우 영구 라이선스 판매를 중단하고, 서브스크립션 방식으로 바꾸었다. 이처럼 벤더의 판매 방식 변경에 따라 클라우드를 이용하게 된 것을 클라우드 전환이라고 볼 수 있을지 이견이 제기되고 있다. 실제로 파이어아이 조사에서 마이크로소프트365, 팀즈 등의 오피스·협업 솔루션이 클라우드 서비스라는 사실을 인지하지 못하는 사용자가 많은 것으로 나타났다.

이는 클라우드 보안 전략을 수립할 때 영향을 줄 수 있다. 기업·기관에서 사용하는 클라우드 현황을 정확하게 파악하지 못하면 보안 정책을 수립하고 운영할 때 보호되지 못한 중대한 홀이 생길 수 있기 때문이다.

47.9% “업무에 클라우드 사용 중”

<네트워크타임즈>와 <데이터넷>이 진행한 <2021 보안 담당자 설문조사>에서 ‘귀사는 클라우드 서비스를 이용하고 있거나 이용할 계획이 있습니까?’라는 질문에 ‘중요 업무에 클라우드 서비스를 적용했다’는 답이 27%, ‘중요하지 않은 업무에 클라우드 서비스를 적용했다’는 답이 20.9%로 47.9%의 응답 자가 클라우드를 사용 중인 것으로 나타났다.

41.1%는 ‘클라우드 서비스 적용 가능한 업무를 검토하고 있다’고 답했으며, 8.6%는 ‘클라우드 서비스 적용 가능한 업무가 없다’, 6.7%는 ‘검토해 본 적 없다’고 답했다. 그러나 클라우드를 사용하지 않는다고 답한 기업 중에는 사실 클라우드 기반 서비스를 사용하고 있는데 파악하지 못하거나 인지 하지 못하는 경우도 있을 수 있다는 사실을 감안해야 할 것으로 보인다.

13.5% “클라우드 사고 있었는지 확인한 적 없다” 클라우드에 대한 정확한 이해가 없으면, 클라우드 보안 체계를 정확하게 수립하지 못한다. 클라우드 상에서 상당한 침해사고가 발생하고 있는데, 이를 파악하지 못하고, 중요 데이터가 유통되는 클라우드를 방치하고 있을 수도 있기 때문이다.

예를 들어 현재 많은 사무업무가 온라인 협업을 통해 진행 되는데, 협업 시 이용되는 데이터를 제대로 보호하지 못하는 경우가 많다. 협업 플랫폼에서 유통되는 데이터는 암호화하 지 않는다. 데이터에 접근할 수 없는 사용자가 계정을 탈취 하거나 데이터 공유 계정을 잘못 관리해 중요 데이터에 접근 하는 경우가 많이 발생하며, 협업 플랫폼에서 사용 중인 암 호화되지 않은 데이터를 무단으로 탈취할 수 있다. 코로나19 초기 화상회의 플랫폼의 취약점과 사용자의 실수로 화상회의 중 공유되는 데이터가 유출되는 사고가 잇달아 발생한 바 있다.

“클라우드 보안 사고 있었는지 확인 못해”

이번 설문조사에서 ‘클라우드 보안 사고가 발생한 적 있나’는 질문에 65.6%의 응답자가 ‘클라우드 보안 사고를 경험하지 않았다’고 답했는데, 이 답은 ‘밝혀진 클라우드 보안 사고는 없었다’고 해석하는 것이 타당하다. 많은 기업들이 클라우드를 운영하면서 보안사고가 발생하는지 여부를 확인하지 않 고 있기 때문이다. 응답자의 13.5%는 ‘보안 사고가 있었는지 확인해 본 적 없다’고 답했다.

전체 응답자 중 클라우드 보안사고를 겪었다는 응답은 적 편이지만, 클라우드 도입이 이제 막 시작됐다는 점, 클라우드 보안 점검을 자주 하지 않는다는 점, 침해 사실을 인지 하기까지 상당한 시간이 걸린다는 점을 감안하면, 실제로는 훨씬 더 높은 수준의 보안 위협이 있을 것으로 판단된다.

‘클라우드 사업자의 잘못으로 서비스가 중단됐다’고 답한 사람도 5.5%에 이르러 클라우드 도입 시 사업자의 신뢰성, 그리고 SLA에서 보장하는 내용도 잘 살펴봐야 할 것으로 보인다. 클라우드 운영 시 가장 취약한 지점으로 지목된 계정탈취(3.7%), 암호화되지 않은 데이터 업로드(1.2%), 취약점 있는 클라우드 사용(1.8%), 암호화폐 채굴 공격(0.6%) 등 도 실제로 발견된 것으로 나타났다.

클라우드 매니지드 보안 서비스 관심 증가

클라우드를 보호하기 위해 보안 정책을 정비하는 한편, 보안 솔루션을 도입하는 것도 필요한데, 포인트 보안 솔루션을 도입하는 것보다는 매니지드 클라우드 보안 서비스를 이용하 는데 좀 더 관심을 갖는 것으로 나타났다. 클라우드 보안을 위해 사용 중이거나 사용을 검토하는 솔루션이 있는지 묻는 질문에 가장 많은 응답자인 20.2%가 매니지드 클라우드 보 안 서비스를 꼽았다.

클라우드 운영의 가장 큰 위협인 ‘데이터’를 보호하기 위한 솔루션을 도입한다는 답이 14.7%로 그 뒤를 이었고, 클 라우드 계정·접근 관리를 위한 IAM을 도입한다는 응답자가 12.9%였다.

클라우드 보안 전용 솔루션에 대한 관심은 시장의 기대보다 낮은 편이라고 볼 수 있다. 컨테이너·서버리스 컴퓨팅 보안 취약점 점검 솔루션 11%, 클라우드 접근 보안 중개(CASB) 10.4%였다. 클라우드 보안의 가장 기본이라고 지목되는 클 라우드 워크로드 보호 플랫폼(CWPP)은 5.5%, 클라우드 보안 형상관리(CSPM)는 6.1%였다. 소프트웨어 정의 경계 (SDP)와 제로 트러스트 보안 솔루션을 지목한 사람도 6.1% 였는데, 이 솔루션에 대한 시장의 이해도가 아주 높지 않다는 점을 감안하면 의미있는 응답이라고 할 수 있다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.