이미 불어 닥친 현실, 하지만 리스크 분명 존재해

[보안뉴스 문가용] 기업에서의 클라우드 활용이 늘고 있다. IT 분야 전체 비용 중 23%가 클라우드에 투자된다고 하는 보고가 있을 정도다. 이처럼 클라우드 사용이 급격하게 늘어나는 건 편리함 때문이다. 클라우드를 사용하면 일을 더 빠르고 쉽고 편하게 할 수 있다. 그 중에서도 SaaS가 단연 빠른 성장곡선을 그리고 있으며 2017년까지 클라우드 서비스의 60%를 차지할 전망이다. 다만 아직 기업 차원에서 클라우드를 적극 받아들이고 있지는 않은 모양새다.

보안담당자들에 따라서 기업 내 이렇게 저렇게 사용되고 있는 클라우드 서비스가 10개 정도 된다고 보는 사람도 있고 40~50개는 되지 않겠냐고 넉넉히 예상하는 사람도 있다. 하지만 소프트웨어 개발사인 네스콥(Netskope)에서 개발한 클라우드 애플리케이션 분석 툴인 넷스콥 액티브 플랫폼의 자료에 의하면 기업당 사용하고 있는 평균 클라우드 서비스의 개수는 461개에 달한다.

이는 그저 직원들이 각자 나름대로 드롭박스나 트위터를 활용하는 수준을 넘어서는 수치다. 회사 자체적으로 사업을 진행하면서 여러 가지 클라우드 서비스를 활용하지 않으면 이런 숫자가 나올 수 없다. 게다가 워크데이(Workday), 석세스팩터즈(SuccessFactors), 넷스윗(Netsuite), 젠데스크(Zendesk), 마케토(Marketo), 깃헙(Github) 등 기업에서 써봄직한 서비스만 해도 수두룩하다. 모든 사업, 모든 부서, 모든 팀에서 이제 클라우드 서비스를 다량으로 사용하고 있다고 봐도 무방한 수준이다. 넷스콥만 하더라도 단 4명으로 구성된 마케팅 팀에서도 50개가 넘는 클라우드 애플리케이션을 사용하고 있다.

상황이 이런데 왜 보안담당자들은 고작 10개, 많아야 40~50개라는 턱도 없는 숫자를 예상 수치랍시고 내놓는 것일까? 수요와 공급의 부조화 때문이다. 직원들은 회사에서 제공해주는 소프트웨어만 가지고는 필요한 일을 다 마칠 수 없게 되었다. 그래서 점점 바깥에서 프로그램을 공수해오기 시작했다. 즉, 회사 내의 지침이나 방침과 상관 없이 자기 사비를 털어 외부 프로그램 및 서비스를 구매해 관리하고 사용하게 된 것이다. 사람들이 이유 없는 반항을 하는 게 아니다. 오히려 회사에서 맡은 일을 더 잘하기 위해 더 기능이 좋은 것들을 찾아나서는 것뿐이다. 그래야 이런 빠듯한 경쟁사회에서 살아남을 수 있으니까.

재미있는 건 회사 입장에서도 직원들의 이런 필요를 모르지 않는다는 것이다. 최근 한 기업의 CIO는 사석에서 자신의 회사에서 진행하고 있는 IT 프로젝트들을 죄다 끝마치려면 7년이 걸릴 거라고 한 적이 있다. 7년은 꽤나 긴 기간이다. 회사로서는 이 기간을 단축하면 할수록 이득이고, 실제 그 회사는 그 기간을 단축시킬 수 있을만한 자본과 직원수를 보유하고 있었다.

그러나 문제는 직원들의 작업속도였다. 그건 어떻게 해도 단축할 수가 없기에 7년을 바라볼 수밖에 없다고 그는 말했다. 단, 클라우드 사용을 적극 용인한다면 이 기간을 줄일 수 있을 것이라는 언급도 덧붙였다. 많은 기업들이 클라우드를 적극 용인하느냐 안 하느냐의 기로에 서있다. 현실은 이미 461개나 사용 중에 있는데도 말이다.

클라우드를 받아들인다는 게 사실 현실을 따르는 지혜로운 움직임 같지만, 이게 말처럼 쉽지만은 않다. 기업은 클라우드와 함께 새로운 리스크도 떠안아야 하기 때문이다. 이 리스크는 크게 두 가지로 분류할 수 있는데, 바로 컴플라이언스와 정보 유출이다.

최근 발표된 보고서인 ‘정보 유출 : 클라우드 증식’을 보면 응답자의 51%가 클라우드 애플리케이션이나 클라우드가 아닌 애플리케이션이나 보안수준은 비슷하거나 오히려 클라우드 애플리케이션이 더 높은 것 같다고 답했다. 그런데 같은 보고서의 다른 페이지를 보면 12개월 동안 클라우드 서비스 사용률이 1% 높아질 때마다 정보유출의 가능성이 3% 올라간 것을 볼 수 있다. 즉 100개의 클라우드를 사용하고 있던 회사에서 클라우드를 25개 늘리면 정보 유출 가능성이 75%나 올라간다는 뜻이다. 클라우드의 사용은 분명 정보 유출과 연관이 있으며, 그렇기 때문에 IT 생태계의 지표를 바꿀 것으로 보인다.

일단 이미 일어나고 있는 변화는 IT와도 별로 상관이 없는 직원들이 회사 내 보안 담당자의 검토나 조언 없이 스스로 IT 소프트웨어를 찾아 나섰다는 것이다. 그렇기 때문에 보안담당자는 회사 내의 IT 현상을 정확히 파악할 수가 없어졌다. 그러므로 회사 전체의 리스크도 높아지고 정보 유출도 더 가능성도 높아졌다.

또한 클라우드의 발전은 곧 모바일의 발전을 뜻한다. 클라우드 애플리케이션의 장점은 언제 어디서나 접속이 가능하다는 것이고, 이는 모바일의 기본 존재 이유와 겹치기 때문이다. 그래서 클라우드는 굉장히 많은 기기 환경과 호환된다. 사용자 한 사람이 사용하는 기기 및 OS와 같은 사용환경도 다양해지고 있다. 시스코는 직원 한 사람당 평균 3.3대의 기기를 사용한다는 통계를 낸 적도 있다. 리스크, 위협, 정책 위반 등의 확률은 분명히 이전보다 훨씬 높다.

또 클라우드 애플리케이션을 활용하면 정보 공유가 원활해진다. 이는 기업의 민감한 정보도 예외 없이 ‘쉽게’ 유출될 가능성이 높아진다는 것이다. 정보 공유는 드롭박스 같이 널리 알려진 클라우드 저장공간을 통해서만 이루어지는 게 아니다. 클라우드 서비스의 약 20%가 정보 공유 기능을 가지고 있다. 분명 클라우드는 기업에서 사용을 정식으로 용인하지 않은 ‘은둔의 IT’인데 정보 공유를 담당하고 있는 현실이 이율배반적이기도 하고 촌극 같기도 하다.

당신의 기업 내에 지금 사용되고 있는 클라우드는 전부 몇 개일까? 무엇을 예상하든 상상 그 이상일 것이다.

ⓒDARKReading

[문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>