• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

포기하면 편하다? 클라우드 리스크 높이는 법 3가지 2014.11.14

3가지 포기의 법칙 : 보안인식, 암호화, 좀비 계정

아마추어 클라우드 서비스 제공 업체가 아직은 대부분


[보안뉴스 문가용] 클라우드와 SaaS가 보안 취약점으로 떠오르고 있다. 동시에 사용자의 업무를 돕는 편리한 도구로도 각광 받고 있다. 사용할 수도 안 할 수도 없는 이 새로운 도구는 보안 담당자의 두통을 가중시키고 있다. 그러나 냉정하게 말해 클라우드의 사용 자체를 막는 단계는 한참 전에 지나왔다. 사용자가 늘어나면 늘었지 줄지는 않을 것이란 게 전문가들의 의견이다. 그래서 이런 클라우드를 어떻게 사용해야 리스크가 늘어나는지 - 오타가 아니다! - 알아보았다.

 

 ▲ 아, 몰라 몰라 몰라. 편한 게 최고야.


보안에 대한 생각을 포기한다

최근 포네몬(Ponemon)에서 발간한 “클라우드 정보 거버넌스의 문제점”을 보면 클라우드 서비스의 본질적인 약점에 대해 적나라하게 나와 있는 걸 알 수 있다. 그건 바로 클라우드 관련 자산을 관리하고 평가하는 데에 있어 보안성을 고려하는 습관이 사용자 측에서 거의 항상 부족하다는 것이다. 이 보고서에 따르면 현대 조직의 47%가 클라우드 서비스를 결정하고 사용하는 데에 있어 보안팀과 상담하는 일이 없다고 한다. 클라우드 애플리케이션을 사용할 때 암호화를 필수로 한다는 정책을 가진 기업은 1/3도 되지 않았다.


또한 어떤 클라우드를 사용할 지 회사 측에서 결정할 때 보안과 관련된 능력치나 위험의 잠재성을 평가하고 나서 한다는 조직은 53%였다고 보고서는 밝히고 있다. 하지만 53% 중 보안팀을 운영해 그런 점검 및 평가를 실시하는 곳은 16%에 불과했다.


이렇게 클라우드와 보안이 잘 연결되지 않는 이유에 대해서는 의견이 분분하다. 귀찮으니까 그냥 ‘패스’한다는 의견도 있고, 오히려 보안팀에서 잔소리 하기 싫고 아쉬운 소리 하기 싫어서 자신들의 권한과 책임을 포기한다는 의견도 있다. 하지만 누구의 책임이든 현재 클라우드에 대한 보안 인식은 형편이 없다는 것과, 그나마 있는 조직에서조차 보안 담당자가 관여하는 비율은 현저히 낮다는 건 사실이다. 계속 이런 식이면 리스크를 분명히 늘릴 수 있을 것이다.


정보의 암호화를 너무 쉽게 포기한다

위에서 언급한 포네몬 보고서에 따르면 조직의 64%가 클라우드에 정보를 저장할 때 암호화를 하지 않는다고 한다. 사실 클라우드 업체라고 해서 자료를 저장할 때 보안에 딱히 신경 쓰는 게 아니라는 걸 감안한다면 이는 놀라울 정도의 무관심이고, 어떻게 보면 무식해 보일 정도의 무심함이다.


지난 주 발간된 “넷스콥 클라우드 리포트”에 따르면 클라우드 저장 공간에 업로드 된 데이터의 70%가 제대로 분리조차 되지 않은 채 저장되어 있다고 한다. 더 무서운 건 클라우드 서비스 업체에서 제공하는 이용약관 내용이다. 21%나 되는 업체에서 자신들의 클라우드에 저장된 데이터는 자기들이 소유라고 명시하고 있기 때문이다.


이런 형편없는 인식이 유지되고 있는 가운데 클라우드 애플리케이션의 사용자는 급격하게 늘고 있다. 넷스콥의 보고서에 따르면 보안 외 부서 직원들이 사용하는 앱의 총 가짓수가 기업 당 397(지난 1월)에서 579로 늘어났다. 수요가 넘치는 시장인 것이다. 그러다보니 이 분야에 뛰어드는 사람들은 많은데 정식 기업으로서 역할을 제대로 수행하고 있는 곳은 11%에 불과했다. 우린 ‘아마추어’에게 우리의 귀중한 정보를 맡기고 있는 것이나 다름없다.


좀비 계정 관리 및 차단을 포기한다

클라우드의 보안성을 높이려면 무엇보다 ID 및 접근 관리를 충실하게 해내야 한다. 하지만 암호를 다르게 사용하는 것도, 자주 바꾸는 것도 귀찮아하는 기업들이 아직도 상당수인 게 작금의 현실이다. 아달롬(Adallom)의 보고서에 따르면 현재 이런 식의 ID 및 접근 관리를 아예 생각지도 않는 기업이 20%에 달한다.


그리고 전체 기업용 SaaS 계정 중 11%가 좀비라는 사실도 이 보고서를 통해 드러났다. 최초 설치 이후 3개월이 넘도록 아무런 활동이 없는 계정을 말한다. 이는 유료 클라우드 서비스의 경우 아무런 의미 없는 돈 낭비이기도 하고, 더 나쁘게는 취약한 부분을 굳이 하나 더 늘리는 행동이기도 하다.


좀비 계정보다 더 나쁜 건 ‘고아 계정’이다. 직원이 퇴사한 후, 그 직원이 업무에 사용했던 클라우드 서비스 계정을 지우는 작업은 퇴시한 직원도, 회사도 잘 하지 않는데, 이렇게 주인 없이 덩그러니 남아있는 계정을 고아 계정이라고 부른다. 아달롬에 의하면 이런 종류의 계정을 가지고 있는 회사가 적어도 80%나 된다고 한다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>