너무 편리해, 너무 취약한 클라우드 발전의 그늘

사용자의 의식문제도 개선해야 하지만 기업의 코칭이 더 중요

[보안뉴스 문가용] 클라우드의 편리함은 널리, 빠르게 퍼지고 있는 데 반해 그 사용법에 대한 정책을 제대로 세운 곳이 없어 ‘은둔의 IT’라고 불리는 불법도 아닌 것이 그렇다고 정식 허가된 것도 아닌 솔루션들의 서식 공간만 급속도로 늘고 있다. 사용자에겐 업무 효율이 높아진 것일 수도 있지만 보안 담당자에겐 그저 공격의 루트만 늘어난 꼴.

그 중에서도 단연 보안 담당자의 심장을 쪼그라트리는 종류의 애플리케이션들이 있으니 바로 협업 혹은 파일 공유와 관련된 것들이다. 보통 이런 종류의 애플리케이션들은 철저히 상업성만을 바탕으로 만들어지기 마련이다. 즉 사용의 편이성만이 개발 단계에서 고려되는 최상위 항목이고, 그래서 설치부터 파일을 공유하는 것까지 굉장히 쉽게 할 수 있다. 하지만 그렇기 때문에 민감한 데이터를 공유하기에는 부적절한 경우가 많다. 이런 종류의 애플리케이션을 마음껏 사용하기에 아직은 시기상조인 이유는 다음과 같다.

1. 클라우드의 존재의의 자체가 ‘공유’와 ‘협업’이 되고 있다

기업 내 사용되고 있는 공유 및 협업 애플리케이션은 이미 그 수만 하더라도 어마어마한 규모다. 엘라스티카(Elastica)에 의하면 평균 한 기업 당 사용하고 있는 클라우드 애플리케이션의 수가 774개에 달한다고 한다. 또한 지난 6개월 동안 클라우드 내 공유되고 있는 문서의 양도 60%나 증가했다고 한다. 이 많은 문서들이 어디서 어떻게 클라우드 안으로 유입되었을까? 공유 및 협업 툴이 범인이다. 결국 대다수 공유 및 협업 툴이 클라우드를 거치도록 되어 있기 때문이다. 스카이하이 네트웍스(Skyhigh Networks)가 조사한 바에 의하면 클라우드에 업로드 되는 데이터 중 63%가 협업과 공유 툴을 통해서였다.

2. 아직 사업용으로 쓰기에는 부족하다

넷스코프(Netskope)에 의하면 기업 내 마케팅 관련 애플리케이션을 제외하고는 협업 및 공유 애플리케이션만큼 많이 사용되는 툴은 존재하지 않는다. 정말 그렇게나 많을까 하는 의심이 들 수도 있지만 구글 드라이브, 드롭박스, 박스, 슬랙(Slack) 등을 생각해보면 수긍이 가기도 한다. 사실 이런 유명 애플리케이션은 전체 앱 사용도 순위에서 20위 안에 거뜬히 들어가기도 한다. 하지만 기업이 사용해도 될 만큼 보안성을 갖추고 인증까지 받은 건 84%에 불과하다. 그렇게 많은 숫자 중 20%에 육박하는 것들이 사용에 적합하지 않다는 거다.

3. 사용자들에게 전혀 제한이 없다

현대의 사용자들은 자신들이 보유하고 있는 데이터의 약 25%를 클라우드와 연계된 공유 및 협업 툴을 통해 공유한다고 한다. 그렇게 공유되는 데이터 중 12%는 민감한 데이터 혹은 공유 규정에 위반하는 데이터가 들어있다. 이에는 PCI 데이터, 개인의 건강관련 기록, 개인식별 정보 등을 포함한다. 즉 인식도 못한 사용자들이 거리낌 없이 사용하도록 권장하지만 않았지, 묵인해주는 것과 별반 다를 게 없다는 것이다.

기업이 여기에 개입해 기업 내 업무 중 사용이 가능한 솔루션과 불가능한 솔루션을 구분해주기만 해도 문제는 상당히 많이 해결될 수 있다. 즉 해결이 그렇게까지 어렵지 않다는 게 희망이라면 희망인 것이다. 또한 이를 알아채고 벌써부터 이런 정책을 도입하려는 시도가 여기저기서 눈에 띄고 있다. 그 증거가 사업용 공유 앱인 오피스 365 아웃룩(Office 365 Outlook)과 원드라이브 포 비즈니스(OneDrive for Business)가 가장 많이 사용되는 앱의 순위권에 진입했다는 것이다.

넷스코프 측의 의견의 이 문제로 인해 나아가야 할 방향을 간결하게 정리해준다. “결국 이 문제는 사용자와 기업이 함께 해결해야 하는 문제이기도 하지만 기업 쪽에서 이끌고 코칭을 해주어야 한다는 점에서 기업의 할 일이 더 많아 보입니다.”

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>