[데이터넷] 정부가 추진하는 클라우드 보안인증(CSAP) 등급제에 대해 IT 관리와 보안 실무 담당자들은 대체로 긍정적인 의견을 갖고 있는 것으로 나타났다. <네트워크타임즈>·<데이터넷>이 매년 실시하는 ‘보안 담당자 설문조사’에서 CSAP 등급제에 대한 의견을 묻는 질문에 32.8%가 ‘클라우드 시장 활성화를 위해 필요하다’, 26.8%가 ‘공공기관이 선택할 수 있는 클라우드 서비스가 다양해져 행정 효율성이 높아질 것이다’라고 답해 60%의 응답자가 긍정적인 입장을 보였다.

CSAP 등급제에 대해 국내 클라우드 사업자들은 토종 클라우드 사업자가 역차별당한다고 주장하고 있지만, 실무자들은 9.6%만이 이 의견에 동의했다. 다만 ‘클라우드 사고 시 글로벌 사업자의 책임을 묻기 어려울 것’이라는 답이 22.4%로 적지 않은 비중을 차지하고 있어 클라우드 보안사고와 장애에 대해 클라우드 서비스 사업자(CSP)들이 고객의 신뢰를 쌓는 것이 선행돼야 할 것으로 보인다. 또 세계 각국이 데이터 주권을 강화하기 위해 클라우드의 데이터와 위협 정보를 해외로 전송하지 못하게 하는 규제를 신설하고 있는데, 이와 관련된 우려의 목소리도 5.6%를 차지했다.

클라우드 데이터 보호 가장 우려

클라우드 경쟁이 촉진되고 시장이 활성화되면 보안 우려도 높아진다. 응답자의 22.4%가 클라우드 사고에 대한 책임 소재를 밝히기가 어려울 것이라고 답했는데, 클라우드 서비스 사업자(CSP)에 의한 사고가 자주 발생하고 있음에도 불구하고 CSP는 서비스 수준 협약(SLA)을 들어 피해를 제대로 보상해주지 않기 때문이다.

그래서 클라우드 사용 시 반드시 계약서를 꼼꼼히 살펴보고 독소조항이 있는지 확인해야 한다. 이와 함께 처음부터 클라우드 보안을 고려해야 하며, 클라우드 워크로드부터 보안형상관리, 클라우드 네이티브 애플리케이션 보안, 데브옵스 보안 등의 계획을 세워야 한다.

이번 설문조사에서 클라우드 보안을 위해 가장 필요한 보안 기술을 묻는 질문에 26.5%가 데이터 보호를 들었는데, 클라우드는 복잡성이 높고 가시성이 떨어지기 때문에 데이터 보호가 매우 어렵다.

다음으로 필요한 기술은 API 보안(16.9%)이다. 클라우드 사용량이 많아지면 API가 늘어나고, API 취약점이나 설계오류, 잘못된 설정을 이용한 공격이 실행될 수 있다. 클라우드 서비스는 수명이 짧기 때문에 API 생성, 구축, 삭제도 빈번하게 이뤄져 관리하기가 매우 어렵다. API는 웹방화벽이나 API 게이트웨이(APIG)에서 제공하는 보안 기능만으로는 보호하지 못하며, API 보안 솔루션이 필요하다.

클라우드 보안을 위해 가장 기본적으로 필요한 CWPP 12.4%, CSPM 10%, CNAPP 8.4%의 응답을 받았으며, CASB 12.4%, 데브섹옵스 11.2%의 응답을 보였다.

제로 트러스트, 진화하는 위협 대응 필수

보안 분야에서 가장 화두가 되는 이슈가 제로 트러스트이다. 다단계 방어, 선제방어, 위협 탐지와 모니터링으로 이어온 사이버 보안 전략이 실패하면서 모든 접속을 검증하고, 지속적으로 모니터링하는 제로 트러스트가 현실적인 보안 전략으로 꼽히고 있다.

보안 담당자들도 제로 트러스트에 대해 ‘진화하는 위협에 대응하기 위해 필요한 보안 전략’ 44.4%이라고 답하며 제로 트러스트에 대한 높은 관심을 드러냈다. 이어 ‘장기적으로 추구해야 할 보안 로드맵’ 26.8%, ‘재택근무·하이브리드 업무를 위해 필수적인 보안 기술’ 17.2%라는 긍정적인 답이 나왔으며, ‘기존 보안과 다를 것 없는 마케팅 용어’ 8.4%, ‘보안 강화를 위해 업무 편의성을 낮춰야 하는 현실성 없는 보안 전략’ 2.4%라는 부정적인 의견은 많은 동의를 얻지 못했다.

제로 트러스트를 위해서는 여러 보안 기술이 필요한데, 가장 핵심적인 ‘검증’을 위한 ‘사용자·기기 인증’ 26.4%과 지속적인 모니터링을 위한 ‘지능적인 위협 탐지와 대응’ 19.6%이 필수 기술로 꼽혔다. 사용자와 애플리케이션이 어디 있든 상관없이 접속 가능해야 한다는 점을 고려, ‘엔드포인트 보호’ 19.6%, ‘VPN, ZTNA’ 12.4%의 응답을 받았다.

하이브리드 업무 ‘대세’

제로 트러스트가 관심을 받게 된 것은 코로나19로 급히 재택·원격근무를 하면서부터다. 이전에도 모바일 오피스, 재택근무를 시행하려는 시도는 있었지만 보안관리가 어렵고 원격접속 인프라가 충분히 갖춰지지 않았으며, 원격지에서 업무에 접속하는 것이 불편하거나 불가능해 확산되지 못했다. 그런데 글로벌 팬데믹으로 인해 강제 재택근무를 하게 되면서 불편한 원격접속 인프라를 개선하고, 사용자 경험을 제고하며, 보안성을 강화할 수 있는 방법을 찾게 됐으며, 지속적인 검증과 모니터링을 하는 제로 트러스트가 부상하게 됐다.

위드코로나 시대로 접어들면서 대부분의 회사들이 사무실 업무를 개시했으며 일부 재택근무를 병행하고 있다. VM웨어 조사에서는 재택근무가 업무를 혁신시키지는 못했지만 직원 만족도는 높일 수 있었던 것으로 분석됐다. 이에 인재확보에 어려움을 겪는 기업들은 재택근무라는 매리트로 인재를 확보, 유지해야 한다.

이번 설문조사에서 재택근무와 관련된 의미 있는 결과가 나와서 주목된다. ‘코로나19 이후에도 재택근무를 실시하는가’라는 질문에 전체 직원 혹은 근무일 중 일부를 재택근무 하게 한다는 답이 30%를 넘었다. 지난해 ‘코로나19 기간 동안 재택근무를 실시했나’는 질문에 재택근무를 전면 허용했거나 직원이 선택하도록 했다는 답은 25%였다. 2021년보다 2022년 재택근무를 선택할 수 있게 한 기업이 다소 늘어 하이브리드 업무 환경이 대세로 자리 잡았다는 것을 알 수 있다.

이번 설문조사에서 재택근무 시행 질문에 52%는 ‘출근이 어려운 경우를 제외하고 사무실 근무를 원칙으로 한다’고 답했으며, 14.8%는 재택근무를 할 수 있는 환경이 아니라고 답했다.

재택근무를 선택할 수 있었다는 응답자는 ‘재택근무가 가능한 업무에 한해, 직원이 재택근무를 선택할 수 있게 한다’ 12.8%, ‘전체 직원의 일정 비율 이상 재택근무를 실시하고 있다’ 11.2%, ‘일주일 혹은 한달 동안 일정 일수 이상 재택근무 할 수 있게 한다’ 6.8%의 비율이었다.

재택근무 시 보안을 위해 가장 필요한 솔루션이나 서비스로 ‘VPN, ZTNA(37.2%)’를 들었다. 안전한 원격접속 솔루션이 재택근무에서 가장 중요하다는 방증이라고 할 수 있다. 다음으로 ‘사용자·기기 인증’ 16%, ‘엔드포인트 보호’ 14.8%, ‘재택근무 시 필요한 보안 규칙과 직원 교육’ 12%의 순이었다.

데이터 보호가 7.6%의 다소 낮은 응답을 보였다는 것도 특이한 점이라고 할 수 있다. 기업이 재택근무 환경에서 가장 우려하는 것이 데이터 유출인데, 보안 담당자들은 안전한 원격 접속과 인증, 교육 등을 더 중요시하고 있다는 점이 주목된다.

개인정보 유출·랜섬웨어 가장 위험

한편 올해 가장 우려되는 사이버 리스크로 32%가 개인정보·중요정보 유출, 31.6%가 랜섬웨어를 들었다. 랜섬웨어는 수년간 가장 위험한 보안위협으로 꼽혀왔으며, 올해도 변함없이 가장 많은 피해를 입힐 것으로 예상되는 공격행위다.

랜섬웨어는 데이터 유출과 파괴를 동시에 진행하는 다중갈취 공격을 벌이고 있는데, 러시아-우크라이나 전쟁으로 하이브리드 전쟁의 실체를 알게 되면서 랜섬웨어를 이용한 물리적 파괴 공격에 대한 경각심도 생기고 있다. 랜섬웨어 공격자들은 데이터를 암호화하고 몸값을 요구하는 단계를 넘어 데이터를 삭제하거나 시스템을 파괴해 서비스를 중단시킨다. 더 큰 공격을 예고하면서 돈을 요구하기도 하지만, 정치적 목적으로 상대국에 피해를 주기 위해 공격하기도 한다.

우리나라는 남북관계가 극도로 악화되고 있으며, 일본, 중국, 미국 등 주변국과의 갈등도 심화되고 있어서 언제 물리적 충돌이 일어날지 모르는 위험한 상황이다. 특히 사이버전 능력을 고도화하는 북한에 대응하는 우리나라 사이버 역량에 대한 우려가 매우 높아지고 있는 상황이다.

북한 해커들은 가상자산 탈취, 거래소 해킹 등으로 수익을 얻는 방법을 주로 사용해왔으며, 우리나라를 대상으로 사이버 스파이 활동을 벌여왔다. 그런데 긴장관계가 높아지면 스파이 활동에 그치지 않고 더 심각한 피해를 일으킬 수 있다는 경고도 나오는 상황이다.

이번 조사에서도 응답자의 10%가 사회주요시설 해킹을 가장 우려되는 사이버 리스크로 꼽았으며, 보안 담당자로서 보안강화를 위해 필요한 것을 자유롭게 밝혀달라는 마지막 질문에서도 OT/ICS, 사회주요시설 보안이 시급하다고 밝힌 응답자가 상당수에 달했다.

현실화된 딥페이크 위협

우려되는 사이버 리스크로 딥페이크 등 적대적 AI를 이용한 사기사고를 꼽은 응답자가 12.8%를 차지하면서 딥페이크 위협도 일상생활에 다가왔다는 것을 알 수 있게 했다.

트렌드마이크로는 SNS, 유튜브, 웹 세미나 등에 고해상도 동영상과 이미지를 게시하고 있어 생체정보를 위조한 딥페이크 공격이 발생할 것이라고 경고했다. 다각도에서 찍은 피해자의 얼굴이나 선명하게 찍힌 지문, 음성 등이 딥페이크를 통해 조작되면서 국가나 기업에 심각한 피해를 입힐 말을 하는 영상이 공개되거나, 피해자 자신의 명성을 떨어뜨리는 언행을 했다고 조작된 영상이 공개되는 일도 발생할 수 있다.

지능적인 사이버 리스크에 대응하기 위해 가장 필요한 전략으로 응답자의 28.4%는 보안인력 충원과 보안조직 강화, 23.6%는 보안의식 고취를 이한 교육과 훈련, 보안 솔루션 도입과 업그레이드 14.8% 등을 들었다.

올해 예정된 보안 사업 중 가장 중요한 것으로 클라우드 보안이 26.8%의 응답으로 1위에 올랐다. 클라우드 전환이 본격화되면서 보안을 고려해야 할 시기가 된 것이다. 이어 엔드포인트 보안이 24%를 차지했으며, 컴플라이언스를 위한 보안 인증과 이행이 16.8%로 그 뒤를 이었다.

보안 담당자로서 하고 싶은 말을 자유롭게 개진해달라는 마지막 질문에는 중소기업을 위한 정부 지원사업을 늘려달라는 의견과 정보보호 컨트롤타워 마련, 실효성 있는 규제개선을 진행해달라는 의견이 많았다. 특히 클라우드·망분리 규제개선 방향에 대해 지적하면서 현실에 맞는 규제와 보안정책을 마련할 것을 요구했다. 또 수시로 바뀌는 규제준수에 대응하기 어렵다는 점을 지적하면서 보안 정책에 대한 중장기 로드맵을 밝히고, 표준 보안 모델이나 활용 가능한 가이드라인을 마련할 것을 요구했다.

기업의 보안 정책과 관련해서는 경영진의 보안인식 개선과 보안조직 권한 확대, 보안인력 보강이 필요하다고 목소리를 높였다. 정보보호 전문인력이나 예산의 하한선을 법으로 정해 보안투자를 강제하는 방안이 필요하다는 주장도 있었다.

실시간으로 변하는 위협 환경을 위한 고급 보안 기술과 솔루션 도입 목소리도 높았다. 특히 클라우드 보안에 대한 많은 고민을 토로했으며, 클라우드 보안에 대한 베스트 프랙티스를 참고할 수 있게 하거나, 클라우드 사업자의 서비스 수준과 보안 태세를 객관적으로 평가하고 그 정보를 공개할 수 있기를 바란다는 의견도 나왔다. IT-OT 보안 및 ICS, IoT 보안 투자와 최신 위협 대응을 위한 진보된 보안 기술을 찾는 의견도 다수 개진됐다.

한편 이번 설문조사는 12월 1일부터 1월 13일까지 이메일을 통해 진행됐으며, 267명이 응답했다. 응답자는 공공, 금융, 엔터프라이즈, IT 서비스 등 다양한 산업군에 종사하는 IT 및 보안 담당자였다.