11.3% “보안 사고 있었는지 확인해 본 적 없다”
[데이터넷] 클라우드 이용 중 보안 사고가 발생한 경험이 있는지 묻는 질문에 꽤 많은 응답자들이 보안 사고를 경험했다고 답했다. 클라우드 사업자에 의한 사고도 적지 않았는데, 7%의 응답자가 ‘클라우드 사업자의 잘못으로 서비스가 중단됐다’고 답했으며, ‘취약점 있는 클라우드를 사용했다’는 답도 있었다.사용자의 잘못으로 인한 사고도 발생했다.
‘클라우드 계정 탈취로 인한 공격자의 무단 침입’, ‘암호화폐 채굴 공격’을 당했다고 답한 사람이 각각 4.2%였으며, 암호화되지 않은 데이터를 클라우드에 업로드했다, 클라우드에 업로드된 소스 코드 취약점으로 인한 사고를 당했다, 랜섬웨어 공격을 당했다는 응답자도 있었다.
이 질문에는 142명의 응답자가 답했는데, 그 중 69.7%가 사고를 경험하지 않았다고 답했다. 실제로 사고가 없었을 수도 있지만, 가시성이 낮은 클라우드의 특성상 사고가 있었지만 인지하지 못하고 있을 수도 있다는 사실을 배제할 수 없다. 응답자의 11.3%는 ‘보안 사고가 있었는지 확인해 본 적 없다’고 답했다.
클라우드 보안 우려하지만 솔루션 도입 안해
클라우드는 사용이 쉬운 만큼 실수나 설정오류로 인해 사고를 일으킬 가능성도 높다. 이것이 클라우드 보안 취약성을 더하는 요인이 된다. 이번 설문조사 응답자들도 이 같은 점에 주의해야 한다고 생각하는 것으로 나타났다. 그러나 이 문제를 해결할 보안 솔루션을 도입하겠다는 응답은 매우 낮은 비율로 나타났다.
‘클라우드 이용 중 가장 심각한 문제가 될 것이라고 예상하는 것’을 묻는 질문에 30.7%가 ‘클라우드 설정 오류, 담당자 실수로 인한 보안 사고’를 꼽았으며 26.8%의 응답자가 ‘클라우드 계정 탈취로 공격자의 무단 침입’, 26.3%가 ‘데이터 유출’을 지목했다.
그러나 이 문제를 해결할 수 있는 솔루션을 도입하겠다는 답은 극히 낮은 비율을 차지했다. 클라우드 설정 오류 문제를 해결할 수 있는 ‘클라우드 보안 형상관리(CSPM)’를 도입할 계획이라는 답은 4%에 불과했으며, 클라우드 계정관리 취약점을 해결할 수 있는 IAM 도입을 계획하는 사람은 5.8%에 그쳤다. 클라우드 데이터 보호 솔루션을 도입한다는 응답은 11.1%로 상대적으로 높은 비중을 차지했다.
“클라우드 보안 솔루션 도입 계획 없다” 7%
클라우드 설정 오류, 계정관리, 데이터 유출은 클라우드 환경에서 가장 빈번하게 일어나는 보안사고로 꼽힌다. 클라우드는 단 한 번의 클릭 실수만으로 암호화되지 않은 중요 데이터를 클라우드에 공개할 수 있으며, 접근제어 정책을 잘못 설정해 아무나 중요 데이터에 접근하도록 할 수 있다.
대부분의 클라우드는 ID/PW로 접근할 수 있으며, 중요한 시스템은 추가인증으로 보호하도록 돼있다. 중요하지 않은 라우드라고 해서 ID/PW만으로 인증한다면, 이 ID/PW를 취해 접속 가능한 클라우드에 침투한 후 추가 권한을 획득해 수평이동 할 가능성이 있다. 또한 허락되지 않은 섀도우 클라우드에 중요한 정보나 인증정보를 방치해 공격자에게 좋은 공격기지를 제공해 줄 수도 있다.
클라우드 보안, 매니지드 서비스 의존도 높아 클라우드에서 가장 심각한 문제가 될 것으로 예상하는 또 다른 문제로 클라우드를 타깃으로 하는 APT 공격(10.5%), 클라우드 요금 폭탄(7%) 등이 꼽힌다. 기타 의견으로 클라우드 인프라 암호화폐 채굴, 클라우드 사업자의 잘못으로 인한 보안사고, 그리고 특정 클라우드 사업자에 대한 종속성이 강화된다는 점도 우려할만한 사항이었다.
클라우드 운영상의 문제, 클라우드 사업자의 잘못, 클라우드 타깃 APT 공격 우려 등에 대한 경각심은 높은 편이지만, 보안 솔루션을 도입하는 사례는 극히 적다. 현재 클라우드 보안을 위해 사용 중인 전용 솔루션이 있는지 묻는 질문에 67.5%가 ‘클라우드 보안 솔루션을 별도로 사용하고 있지 않다’고 답했다.
향후 도입 계획이 있는지 묻는 질문에 ‘계획 없다’는 답이 7%에 이른다. 이 질문에 가장 많은 응답자인 32%가 ‘매니지드 서비스 업체에서 권고하는 솔루션 도입을 검토하겠다’고 답해 클라우드 보안은 전문기관에 의존하는 경향이 강한 것으로 나타났다. 자체 개발한다는 답도 8%를 차지했다.
