클라우드 서비스 제공 방식도 세분화되어가고... CASB 주목
가시성 높이면 보안 효율 좋아지나 기술적인 연구 더 필요해

[보안뉴스 문가용] 클라우드와 관련된 기업들의 혼동이 여전하다는 사실이 보고되었다. 클라우드 전문 업체인 클라우드 시큐리티 얼라이언스(Cloud Security Alliance)와 보안 전문업체인 비트글래스(Bitglass)가 함께 176명의 보안 전문가를 대상으로 개별 조사를 실시한 것. 약 59%가 외부인의 클라우드 데이터 접속을 경험한 바 있으며 47%가 외부 기기를 통한 클라우드 데이터 접속을 경험한 바 있다고 답했다.


또한 잃어버리거나 도난당한 기기, 직원들의 로그인 정보 도난, 악성 내부자를 통해서도 클라우드의 싱크가 이루어졌다고 말한 응답자도 있었다. 그러나 이는 각각 32%, 28%, 22%를 기록해 각각 1/3도 채 되지 않는 것으로 나타났다.

이번 연구는 클라우드 중에서도 SaaS(Software as a service, 서비스형 소프트웨어)로서 제공되는 클라우드에 집중했다. SaaS 클라우드가 기존 기업 내 네트워크보다 안전하다는 인식이 서서히 퍼지고 있기 때문이다. 일부 전문가는 SaaS 형태의 클라우드 서비스의 성장률을 2020년까지 19.7%로 보고 있기도 하다.

SaaS 앱을 도입하는 기업들의 경우 데이터를 공유할 때의 생산성과 안전성 사이의 균형을 맞추는 것이 관건이다. “특히 여러 파트너들 및 재택 근무자들과 협업을 해야 하는 경우 클라우드의 사용은 불가피한데, 이럴 때 공유를 마음껏 허용해주는 건 쉬워도 그런 와중에 보안을 지키기란 쉽지 않은 문제입니다.” 비트글래스의 제품 관리자인 살림 하피드(Salim Hafid)의 설명이다.

“예를 들면 업무 특성상 사회 보장 번호가 포함되어 있는 스프레드시트나 의료 관련 기록이 적힌 워드문서가 공유될 수도 있죠. 이런 경우 회사에 일정 형태의 경보가 발령되어야 합니다. 민감한 정보가 밖으로 나갔는데, 필요한 사람이 가져간 거다, 혹은 아니다... 이걸 알려주는 시스템이 있어야 하죠.”

이와 비슷한 종류의 보안 위협거리로 꼽히는 것이 은둔의 IT(Shadow IT)다. 은둔의 IT란 기업의 허가 없이 사용되는 여러 애플리케이션들을 말한다. 예를 들면 회사에게 알리지 않고 드롭박스를 설치해 사용하는 경우가 있겠다. 위 연구 조사에서 응답자의 62%가 회사에 은둔의 IT 사용을 저하시키는 정책이 마련되어 있다고 답했다. 하지만 이 중에서 기술적인 조치까지 취한 기업은 얼마 없었던 것으로 나타났다. 약 38%의 기업은 “전면 차단”을 하고 있고, 29%는 프록시나 방화벽을 통해 사용자를 우회시킨다고 답했다.

하지만 기업 차원에서 직원 한 사람 한 사람의 앱 사용 현황을 관리하는 것에 비해 개인이 자신의 시스템에 앱을 설치해 사용하는 게 지나치게 쉽다는 게 문제다. “62%가 은둔의 IT를 막는 정책을 가지고 있다고는 하지만 대부분 효력이 없습니다. 정책을 교묘히 빠져나가는 법이 개발되고 전파되기 때문입니다. 이게 인식이 부족해서인지, 아니면 SaaS가 위험하다는 걸 몰라서인지는 확실치 않습니다.”

클라우드의 가시성 또한 아직은 많이 부족하다는 게 드러났다. 사용자 로그인에 대한 가시성을 확보하고 있다는 응답자는 28%에 그쳤고, 감사 로그(audit log)를 가지고 있다는 기업은 29%에 불과했다. 민감한 정보가 언제 어디로 다운로드 되고 있는지 파악이 된다는 응답자는 절반이 채 되지 않은 49%로 이는 매우 심각한 현상이다. 유럽, 중동, 아프리카의 기업들의 경우(63%) 미국의 기업(40%)보다 가시성을 더 많이 확보하고 있었다는 것도 흥미롭다.

MS 오피스 365의 경우 가시성을 제공하는 것으로 유명하다. 누가 무슨 파일을 다운로드 받고 있는지, 로그인을 얼마나 자주 하는지 등에 대한 정보를 관리자에게 상시 제공하는 것이다. “그렇다고 해도 사각지대가 없는 건 아니에요. 오피스 365의 경우 오피스 365라는 앱에 대해서만 가시성을 제공할 뿐, 네트워크 전체를 감시하는 건 아니니까요. 어느 클라우드를 사용하든 기업들은 어느 정도 어두움을 더듬거리는 느낌을 가지는 부분이 분명히 존재합니다.”

이런 시점에 CASB에 대한 기대치가 높아지고 있는 것은 어찌 보면 당연한 일. CASB란 클라우드 서비스 제공업체와 실제 사용자 사이에 놓인 보안 정책 관련 기능으로, 사용자 업체와 클라우드 업체 사이의 보안 정책을 조율하는 역할을 수행하낟. 이미 CASB 기술을 도입한 업체는 16%이고, 2016년 안에 CASB를 도입할 예정인 업체 또한 16%인 것으로 나타났다. 2016년 이후에 CASB를 도입할 예정이라고 답한 업체는 28%, 아직 아무런 계획이 없다는 업체는 40%였다.

가트너는 2020년까지 대기업들의 85%가 CASB 솔루션을 도입할 것이라고 보고 있는데, 정확히 1년 전의 전망은 5%도 되지 않았다.

하지만 SaaS 클라우드는 클라우드의 일부일 뿐이다. 아마존 웹 서비스(Amazon Web Services)나 MS 에저(MS Azure)처럼 IaaS(Infrastructure as a service) 형태로 제공되는 클라우드도 각광받고 있다. “그러므로 클라우드로의 이전을 생각할 때 SaaS나 IaaS 등 클라우드가 제공되는 형태부터 검토해봐야 합니다. 아마존이나 MS가 유명하다고 해서 반드시 회사와 궁합이 좋은 건 아니거든요.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>