기업의 클라우드 서비스 사용이 늘면서 데이터 보안 처리에도 문제를 겪고 있다는 조사 결과가 나왔다. 각 기업의 부주의한 서비스 사용이 원인이다. 클라우드 서비스 업체와 사용 기업 간 보안 처리를 분담하면서 생긴 사각지대와 모호성도 한몫했다.

오라클
오라클
오라클은 기업 컨설팅 업체 KPMG와 ‘2020 오라클-KPMG 연간 클라우드 보안 위협 보고서'를 18일 발표했다. 북미와 서유럽, 아시아·태평양 지역 사이버 보안 및 IT 전문가를 대상으로 연구한 결과다.

보고서에 따르면 각 기업 클라우드 활용도는 높았다. 조사에 참여한 기업의 90%는 서비스형 소프트웨어(SaaS)를 사용했다. 76%는 서비스형 인프라스트럭처(IaaS)를 이용했다. 향후 2년 안에 모든 데이터를 클라우드로 이전하겠다는 기업도 50%를 차지했다.

IT 전문가 다수는 클라우드 사용 비중이 높아지면서 데이터 보안 우려도 함께 증가한다고 밝혔다. 이는 클라우드 서비스 보안성보다는 해당 서비스를 이용하는 자사 역량이 부족하다는 이유에서다.

실제 IT 전문가의 75%는 자체 데이터센터보다 퍼블릭 클라우드가 더 안전하다고 응답했다. 하지만 자신이 속한 기업 조직이 퍼블릭 클라우드 서비스를 보호하기에 충분한 준비를 하지 않다고 판단한 IT 전문가는 전체의 92%에 달했다.

이렇다 보니 각 조직의 데이터 보안 업무 처리에서 어려움이 발생한 걸로 나타났다. 전체 조직의 78%는 보안 문제를 해결하고자 50개가 넘는 사이버 보안 제품을 사용했다. 37%는 100개 이상을 적용했다.

여기에 다양한 유형의 보안 문제가 발생했다. 조직 차원의 부주의나 담당자 실수에서 벌어진 사고다.

클라우드 서비스에서 시스템 구성 오류를 발견한 기업 조직을 살핀 결과 2019년에만 10회 이상의 데이터 손실 사고가 발생했다. 절반이 넘는(59%) 기업은 클라우드 계정 권한을 보유한 직원의 자격 증명이 스피어피싱 공격으로 손상돼 보안 사고를 겪었다. 스피어 피싱은 악성코드나 링크가 담긴 파일을 이메일에 첨부해 표적 대상에 발송하는 사이버 공격이다.

그밖에 특정 계정에 과잉 권한이 부여되거나(37%) 웹 서버 혹은 서버 워크로드 노출(35%), 다중 인증 절차 부족(33%) 등도 여러 문제를 낳았다.

각 기업 조직과 클라우드 서비스 제공 업체 간 데이터 보안 책임을 분담하며 생긴 공유 모델이 혼란을 초래하기도 했다. 이로 인해 보안 사각지대도 발생했다. 실제 IT 보안 임원의 8%만이 보안 책임 공유 모델을 모두 이해한다고 밝혔다. 또 기업 조직의 69%는 자사 정보보호 최고책임자(CISO)가 사이버 보안 사고 발생 후에서야 퍼블릭 클라우드 프로젝트에 관여한다고 답했다.

기업은 데이터 보안 우려를 낮추기 위한 대안으로 숙련된 IT 보안 전문가를 채용하거나 교육하고 관련 인재를 유지하는 정책을 택했다. 조직의 73%는 클라우드 보안 역량을 갖춘 CISO를 이미 고용했거나 향후 고용 계획이 있음을 밝혔다. 과반수의 조직(53%)은 비즈니스 정보보안책임자(BISO)라는 새로운 역할을 추가해 CISO와의 협력으로 기업 보안 문화를 조성하고 있었다.

2020 오라클-KPMG 연간 클라우드 보안 위협 보고서 / 오라클
2020 오라클-KPMG 연간 클라우드 보안 위협 보고서 / 오라클
IT 전문가들은 향후 클라우드 자동화가 이같은 데이터 보안 문제를 해결할 것이라는 기대를 내보였다. 인공지능(AI)과 머신러닝이 보안 투자에 있어서 필수요소라는 응답도 함께다.


토니 버포만테 KPMG 사이버 보안 서비스 분야 글로벌·미주 지역 총괄은 "새롭게 증가한 위협 수준을 적절하게 관리하기 위해서는 CISO가 클라우드 이전과 구현 전략을 수립하는 과정에서 보안을 최우선 순위로 고려해야 한다"고 조언했다.

김평화 기자 peaceit@chosunbiz.com