클라우드에 대한 환상이 조금씩 깨지고 있다. 다행이다. 클라우드의 좋은 점들만 바라보다가 놓친 리스크들이 한 가득인데, 드디어 여기로 시선이 가기 시작했기 때문이다. 클라우드를 하나의 사업 구성 요소로 바라봐야 할 때가 됐다.

[보안뉴스 = 메리 셰클릿 회장, Transworld Data] 2022년, 기업들의 80%가 “최소 한 번 이상의 클라우드 보안 사고를 경험했다”고 한 설문에 답했었다. 같은 조사가 2023년 여름에 진행됐는데, 기업의 94%가 “클라우드 서비스를 한 개 이상 사용하고 있다”고 답했다. 클라우드 환경에서의 위협이 건재하지만, 그에 아랑곳하지 않고 사용자 기업은 꾸준히 늘어났던 것이다.


IT의 여러 가지 요소들과 기능들을 클라우드로 옮겨가려는 듯한 기업들의 시도는 가공할 속도로 이뤄지는 중이다. 클라우드에 발을 걸친 기업들이 하룻밤 만에 셀 수 없을 정도로 늘어나고 있다. 하지만 모두가 행복한 건 아니다. 클라우드 활용도가 높아지면 질수록 끝없는 질문이 생겨나는 것도 사실이다. ‘정말 우리 회사는 클라우드로 옮겨간 만큼 이득을 보고 있는가?’ 또한 클라우드로 이전했기 때문에 생겨나는 새로운 리스크들도 있는데, ‘이 리스크들을 우리는 잘 감당하고 있는가?’ 역시 적잖은 혼란을 가져다준다.

KPMG는 한 기고문을 통해 “클라우드 리스크 때문에 2023년 한 해 동안 리스크를 경험했던 기업들이 절반 이상이다”라고 썼으며, 그 리스크들을 “IT 서비스 지연, 데이터 손실, 생산성 하락, 애플리케이션 마비, 규정 위반, 서비스 제공 능력의 전반적인 축소”라고 나열한 바 있다. 이 중 그 어떤 것도 기업 입장에서 웃어 넘길 수 없다. 직접적인 손실이 발생하는 것은 물론 시장에서의 신뢰도와 명성 하락도 감수해야 하기 때문이다. 그럼에도 아직 많은 기업들은 클라우드로 이전해서 멋진 기업으로 탈바꿈할 생각만 하지 클라우드 리스크를 처음부터 고려하지는 않는다. 클라우드로 인한 리스크는 다음과 같이 요약할 수 있다.

1) 사이버 보안과 사이버 보험 : 사이버 보험은 아직 미완성인 분야이고, 한동안 안정적인 단계에 이르기 힘들 것으로 보이는 게 사실이다. 이것 자체가 클라우드로 체제를 전환하고 있는 모든 기업들에 리스크가 된다. 보험에 가입을 해놓고도 필요한 때에 보험금을 받지 못할 가능성이 늘 존재하기 때문이다. 특히 클라우드라는 기술 역시 아직 성숙하다고 말할 수 없는 상태라 사이버 보험과 클라우드의 만남은 안정감을 주는 게 불가능하다.

그렇다고 기업들이 단단한 보안의 기초를 이뤄낸 것도 아니다. 여전히 많은 기업들이 보안을 총체적으로 기획해 도입하는 게 아니라 강력하다고 하는 네트워크 장비 사서 연결하고, 솔루션 몇 개 사서 설치하는 식으로 접근한다. 그러고서는 최대한의 효과를 바란다. 사실은 일부 구멍만 조금 손봤을 뿐이면서도 할 만큼 했다고 여기는 건데, 이 역시 커다란 리스크가 된다. 또한 가입 고객의 리스크를 평가하려는 보험사와 충돌이 빚어지는 지점이 되기도 한다.

보험에 가입하는 이유는 커다란 사고가 발생했을 때 보험사로부터 금전적 지원을 받기 위해서다. 하지만 클라우드라는 인프라에서 발생하는 사이버 사고들은 아직 보장의 범위나 조건이 명확하지 않고, 보험사마다 제각각이다. 그러므로 클라우드 관련 리스크를 관리한다고 했을 때 보험사에 너무 의존하지 않는 것이 좋다. 오히려 보험사와 지속적으로 대화하여 정확히 어떤 상황에서 어떤 보상이 발생하는지를 합의하고, 양측이 이와 관련하여 똑같이 이해하는 게 중요하다.

2) 지적재산과 IT 소유권 : ERP나 CRM, 혹은 인공지능 기반 데이터 분석 플랫폼 등과 같은 SaaS 서비스를 구독하고 있다면 해당 플랫폼들에서 실행하는 작업으로 인해 생성되는 고유 모듈과 보고서들은 누구의 소유가 되는지 알고 있는가? 클라우드 업체에 따라 다르다. 어떤 업체는 당연히 사용자의 것이라고 하는 반면, 어떤 업체는 협상을 통해야지만 고객이 가져가도록 해 준다. 다른 클라우드 회사의 플랫폼으로 옮겨갈 경우 더 까다롭게 구는 경우들도 존재한다.

아직도 메인프레임을 위주로 디지털 아키텍처를 구성하고 있는 대기업들이 상당수다. 메인프레임을 자신들만의 방식으로 활용하기 위해 여러 ‘비밀 소스’들을 개발해 탑재시키면서 경쟁력을 조금이라도 높이려고 애를 쓴다. 그런 상태에서 클라우드를 도입하면 비슷한 접근법을 유지하면서 클라우드 내에 자신들만의 애플리케이션이나 기능들을 개발해 탑재시키는데, 이 때 클라우드 플랫폼과 사전에 조율이 되지 않는다면 뜻하지 않게 자신들의 지적재산을 잃을 수 있다.

클라우드 생태계는 온프레미스와 사뭇 다르며, 따라서 소유권과 같은 문제도 상상 외로 복잡해질 수 있다. 소유권이라는 것의 기본 개념 자체가 바뀌는 건 아니지만(그건 나라가 법으로 정해두고 있다), 소유권을 해석하여 적용하는 방식이 크게 달라질 수 있으니 이 점에 유의해야 한다.

3) 규정 준수 문제 : 다목적 클라우드 서비스들도 존재하지만 의료, 금융 등 특정 산업에서 쓰기 좋게 특화된 기능을 자랑하는 클라우드 서비스들도 있다. 이런 서비스들은 해당 산업의 규정과 표준을 환경 내에 적용하여 고객들이 보다 편하게 규정을 준수할 수 있도록 해 준다. 하지만 이런 클라우드 서비스라고 해서 완벽히 모든 규정을 준수하게 해 주는 건 아니다. 이 점을 사용자 기업들이 너무나 많이 간과한다.

클라우드 리스크를 관리하려면 먼저 클라우드 서비스 제공 업체에 최근 IT 및 보안 감사 보고서를 요청해야 한다. 규정 준수와 관련된 내용들도 포함된 감사 보고서여야 한다. 사용자 기업이 외부 감사를 받을 때도 마찬가지다. 감사의 범위에 클라우드 인프라도 포함되어야 한다. 이런 식으로 클라우드를 둘러싼 IT 공급망 참여자 모두가 동일하게 보안을 강화해야 하며, 동일하게 규정을 준수해야 한다. 그렇지 않으면 언제 어느 부분에서 규정 위반 문제가 발생할 지 모른다.

클라우드 리스크는 더 이상 IT 담당자나 부서에서 관리하고 제어해야 하는, IT만의 문제가 아니다. 각종 자연 재해라는 리스크가 그렇듯, 금융 사고나 경제 상황에 따른 리스크가 그렇듯, 기업 전체가 사업 운영의 관점에서 바라봐야 하는 리스크다. 이제 사업의 사활을 걸고 클라우드 리스크를 관리해야 할 때가 되었다.

글 : 메리 셰클릿(Mary E. Shacklett), 회장, Transworld Data
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>