시만텍, 전세계 기업의 클라우드 데이터 보안에 관한 CISO 설문조사 결과 발표
글로벌 사이버 보안 선도기업 시만텍이 전세계 기업의 클라우드 데이터 보안 현황에 대한 조사 결과를 발표했다. 이번 조사는 한국을 포함한 전세계 11개 시장에서 1,100명의 최고정보보안책임자(Chief Information Security Officer, 이하 CISO)를 대상으로 실시됐으며, 클라우드 애플리케이션과 관련한 보안 위협 증가에 대해 우려하고 있는 것으로 드러났다.
클라우드 컴퓨팅은 뛰어난 확장성, 비용 대비 높은 생산성 등이 장점으로 꼽히며, 대다수의 산업군에서 시장이 확대되고 있다. 다만, 이처럼 국경 없는 새로운 인프라가 사이버 범죄자들에게도 잠재적인 먹거리가 되고 있다는 점에 주목할 필요가 있다. ‘클라우드 보안’이 CISO의 최고 관심사이자 동시에 당면 과제가 되고 있는 이유다.
증가하고 있는 클라우드 공격 위협
시만텍의 이번 조사 결과는 전세계 CISO가 ‘클라우드 보안’에 대해 얼마나 우려의 목소리를 높이고 있는지를 보여준다. 한국을 포함한 전세계 CISO 대다수는 ‘클라우드 애플리케이션의 컴플라이언스 준수’를 업무에서 가장 스트레스 받는 부분으로 꼽았다.
전세계 CISO가 가장 우려하고 있는 업계 컴플라이언스 이슈는 ‘승인된 클라우드 애플리케이션의 활동 추적(22%)’과 ‘직원의 비인가 클라우드 애플리케이션 사용(22%)’인 것으로 나타났다. 이어서 ‘클라우드 애플리케이션에서 컴플라이언스 통제 데이터의 폭넓은 공유(21%)’, 지역별 데이터 레지던시(data residency) 및 규제 사항의 준수 여부(18%)’, ‘기업이 소유한 모바일 기기의 거버넌스(17%)’ 순이었다. 국내 CISO의 경우에는 ‘클라우드 애플리케이션에서의 활동 추적’에 대한 우려가 15%로 조사 국가 중, 가장 낮은 수치를 보였다.
클라우드 애플리케이션의 도입 확산은 기업이 인지조차 하지 못할 수 있는 사용자의 위험한 행동과 맞물려 클라우드 공격의 위협을 더욱 확대시키고 있다. 국내 CISO는 평균적으로 기업에서 사용되는 클라우드 애플리케이션의 34%가 비인가 ‘쉐도우 앱(shadow app)’으로 추정하고 있다. 또한 국내 CISO 5명 중 4명(80%)은 기업의 CEO가 의도적이든 그렇지 않든 간에 어떤 순간에 내부 보안 프로토콜을 위반했을 것이라 답변했다.
한국은 ‘시스템 침입’과 ‘데이터 손실’ 가장 우려
2017년 클라우드 보안 관련 가장 커다란 외부 위협을 예측하는 질문에 대해 국내 CISO들은 시스템 칩임(23%), 계정 도용(23%), 데이터 유출(22%), 인증 및 자격 증명의 손상(20%), 해킹 당한 응용 프로그램의 인터페이스(APIs)(12%) 순으로 전망했다. 내부 위협에 대한 예측은 데이터 손실(31%), 부적절한 직원 교육(21%), 안전하지 않은 비즈니스 애플리케이션(18%), 쉐도우 IT(16 %), 보안 조치 미준수(14 %) 등이 우려된다고 답변했다.
또한, 거의 모든 국내 CISO가 2017년 악성코드 방지를 위해서는 ‘정기적인 데이터 백업’만으로는 불충분하다고 답변(99%)했다. 94%의 CISO는 오픈 소스 소프트웨어로 클라우드 보안에 대한 우려가 전년도에 비해 올해 더욱 증가할 것으로 내다봤다.
엔드투엔드(end-to-end) 솔루션의 필요성
기업이 협업과 유연성 개선을 목적으로 클라우드에 더욱 의존하면서 CISO에게 컴플라이언스 준수는 둘째치고 민감한 기업 데이터를 지속적으로 파악하고 안전하게 보호하는 것조차 점점 더 어려운 일이 되고 있다. 기업의 데이터가 온프레미스 시스템, 모바일 애플리케이션, 클라우드 서비스 간에 오가고 있는 가운데, 국내 기업들이 정보 보안을 강화하기 위해 신입 IT 직원들을 대상으로 실시하는 보안 교육은 평균 17시간인 것으로 조사되었다. 5시간 미만이라고 응답한 기업은 7%에 불과했다.
기업의 CISO는 데이터 보안, 컴플라이언스, 데이터 레지던시에 대한 필요성 때문에 SaaS(Software as a Service) 이니셔티브를 지원하는 암호화나 토큰화(tokenization) 솔루션을 찾고 있다. 이번 조사에 따르면, 국내 CISO의 대다수인 91%가 클라우드 데이터의 토큰화는 데이터 위치 및 제어 규정을 충족하는 최상의 방법이라고 생각하고 있으며, 66%는 토큰화 방법을 사용하고 있다고 응답했다. 암호화와 토큰화를 동시에 사용한다고 응답한 기업은 46%였다. 또한, 클라우드 데이터 보안을 위해 암호화나 토큰화를 사용하지 않는 기업 중 39%는 향후 1년 이내에 토큰화를 사용할 것이라고 밝혔다.
또한, 전세계 CISO의 62%는 자사의 클라우드 데이터를 클라우드 공급 업체가 암호화하고 있다고 답변했다. 반면에 국내 CISO는 절반 이상인 55%가 기업이 사용하는 클라우드 데이터를 암호화하는 주체가 ‘해당 기업’이라고 응답했고, 나머지 45%만이 클라우드 공급 업체가 암호화한다고 답변해 클라우드 보안 신뢰도가 다른 국가에 비해 다소 낮음을 증명했다.
기업이 여러 정책을 사용하고 있지만, 여전히 해결해야 할 보안 과제는 남아있다. 사이버범죄 집단들은 운영방식에 있어서 기회주의자이다. 적법한 운영체제, 툴 및 클라우드 서비스의 결함을 이용해 네트워크를 침해하기 때문이다. 이러한 행동을 효과적으로 저지하기 위해 CISO는 사용자가 클라우드를 통해 업로드, 저장 및 공유하는 민감한 콘텐츠에 대한 최상의 가시성과 통제를 요구한다. 탁월한 CISO는 기밀 정보를 보호하기 위해 일회성 해결책과 수동적 패치에 의존하기보다는, 능동적인 엔드투엔드 솔루션을 구축함으로써 악용될 수 있는 취약점을 제거할 것이다.
전방위적인 접근 방식으로 클라우드 보안 해결
클라우드 서비스 이용 시, 적절한 보안을 확립하지 못하면 비용 증가와 비즈니스 손실 가능성을 초래하고, 이에 따라 클라우드 컴퓨팅의 잠재적인 혜택을 누리지 못하게 된다. 기업은 클라우드 컴퓨팅이 성공하려면 핵심자산, 사용자 및 데이터에 대한 보다 강력한 보안, 향상된 제어와 가시성을 제공하는 새로운 통합 보안 모델을 필요로 한다.
전방위적인 시각에서 클라우드 보안에 접근하는 것은 운영 효율성을 제공하고 CISO가 클라우드의 이점을 최대한 이용할 수 있게 해준다. 이러한 방식은 중요한 정보가 안전하게 보호되고 있음을 보증하고, CISO가 데이터 중심 시대에 기업을 안정적으로 이끌어갈 수 있도록 지원해준다.
이석호 시만텍코리아 대표는 “전세계적으로 클라우드 보안 수준이 점차 향상되면서 기업의 IT 환경이 클라우드 기반으로 빠르게 확대되고 있다”며 “시만텍코리아는 국내 기업들이 안전하게 클라우드 환경을 이용해 비즈니스 경쟁력과 생산성 향상에 집중할 수 있도록 지원할 것”이라고 말했다.
오윤경 기자 news@icnweb.co.kr