인식과 통계 사이에 차이가 보이기도 해

클라우드 자체가 취약하기보다 사용 습관에 더 문제 보여

[보안뉴스 문가용] 2014년 보안업계를 되돌아보면 어떤 느낌이 드는가? 특별히 현재는 클라우드가 업무 환경 내로 들어오고 있는 과도기라고 볼 수 있는데, 이에 대한 보안문제는 실제 어느 정도이며, 우리는 어떻게 대처해왔을까? 아직 갈 길이 먼 느낌이기도 한데, 이 막연한 느낌을 세세히 나눠 통계자료를 참고해보았다.

1. 보안 문제, 걱정거리들 중 가장 커(인포메이션위크)

인포메이션위크지에서 최근 실시한 보고에 따르면 클라우드 도입에 대한 IT 업계의 가장 큰 걱정거리가 다름 아닌 보안 및 데이터 유출사고 문제인 것으로 나타났다. 10개의 항목 중 네 개나 차지했다. 그중 1위는 클라우드 기술 자체에 나타나는 보안 결함으로 나왔다.

2. 클라우드 유출사고 확률은 반반(넷스코프)

클라우드 서비스를 도입하는 게 큰 보안 사고를 일으킬 것이다 혹은 아니다라는 IT 계통의 전문가들의 의견이 거의 정확히 반반으로 나뉘는 것으로 나타났다. 대략 51%가 클라우드를 통해 데이터를 주고 받는 것, 혹은 저장하는 것은 위험도를 크게 혹은 어느 정도 높인다고 응답했다.

3. 클라우드 보안성 신뢰해(버라이즌)

클라우드 서비스가 제공하는 보안성을 의심하지 않는 기업 리더들이 생각보다 많다는 통계도 있었다. 그 중 1/3은 심지어 클라우드가 보안에 도움을 주는 것 같다고 답하기도 했다. 응답 대상은 하버드 비즈니스 리뷰지의 독자 600명이었다.

4. 클라우드, 피해규모 확산시키는 효과(넷스코프)

클라우드를 사용하면 유출사고 발생 시 충격이 더 커진다는 보고도 있었다. 즉 같은 유출사고라도 클라우드를 사용했을 때의 피해규모가 더 크다는 것이다. 최근 포네몬의 보고서에는 SaaS의 활용도가 높아지면 SaaS와 관련이 없는 보통의 유출사고 때보다 1.5배 정도 높은 것으로 나타났다.

5. 클라우드 암호화는 느리다(세이프넷)

클라우드에서 유출사고가 발생했을 시 추가 피해가 발생하는 이유 중 가장 큰 것은 클라우드 서비스에 암호화 기능이 없거나 있어도 매우 조잡해서 사람들이 거의 사용하지 않는다는 것이다. 클라우드 서비스와 암호화를 병행해서 사용하는 기업은 세계적으로 1/3에 그치고 있다.

6. 클라우드는 보안 관련 정책의 걸림돌이다(알고섹)

보안 관련 조직 및 업체들은 현재 기업들에서 적용하고 있는 데이터 관리 정책을 공공 클라우드에도 적용할 방법을 연구 중에 있다. 그러나 하이브리드 클라우드 인프라 환경 내에서는 보안 관련 정책이 두루뭉술해지는 경향이 있어 애를 먹고 있다고 한다.

7. 클라우드 업계는 착각이 심하다(스카이하이 네트웍스)

클라우드 업체들은 실제보다 자신들의 업적에 훨씬 너그럽고 관대한 모습을 보인다. 이는 개인들에게서도 자주 보인다. 실제 차단률보다 자신들이 더 잘 하고 있다고 믿는 것이다. 그렇기 때문에 클라우드 관련 정책 마련에 그렇게 시간이 드는 것인지도 모르겠다.

8. 은둔의 IT는 실제로 심각한 문제인가?(클라우드 시큐리티 얼라이언스)

클라우드 시큐리티 얼라이언스에서 실시한 조사에 의하면 IT 전문가들 사이에서 클라우드 앱에 대한 과소평가가 심각하다. 특히 클라우드 서비스의 종류가 늘어가고 있음에도 그에 대한 별다른 조사나 움직임을 보이지 않고 있다. 보안담당자들 혹은 IT 전문가들은 기업에서 사용하고 있는 은둔의 IT가 10개 미만인 것으로 보고 있다. 하지만 실제는 800에 가깝다.

9. 클라우드 서비스 도입 때 보안부서 의견은?(세이프넷)

사실 IT 및 보안담당자들이 클라우드 서비스와 전쟁을 벌여야 하는 이유 대부분은 바로 여기서부터 시작한다. 세이프넷의 보고에 따르면 IT 보안 조직들 중 단 9%만이 클라우드 도입 문제 및 회의에 참여한다는 것이다. 47%는 한 번도 이런 의사결정에 참여한 적이 없다고 한다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>