• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

공공 클라우드 보안 현황, “고민만 있고 실천은 없다” 2017.09.18

알고 있고 고민도 하지만, 실제 보안 조치 취해진 곳 20% 수준
하이브리드 클라우드는 비용과 보안 문제 두 배로 발생시켜

[이미지 = iclickart]

[보안뉴스 문가용 기자] 공공 클라우드로의 체제 전환은 현재 보안 책임자들의 가장 큰 염려다. 그러나 고민만 있지 정확한 해결책이 등장한 것이라고 딱 잘라 말하기도 어려운 상태다. 이에 보안 전문업체 비트디펜더(Bitdefender)가 1,051명의 IT 보안 전문가들을 대상으로 클라우드에 대한 보안 책임자들의 중압감을 알아보았다. 조사 대상은 미국, 영국, 프랑스, 이탈리아, 스웨덴, 덴마크, 독일 내 PC 및 데이터센터가 1000대가 넘는 조직에서 활동하는 자들로 선정했다고 한다.

비트디펜더의 수석 위협 분석가인 보그단 보테자투(Bogdan Botezatu)는 “염려한다는 그들의 말이 사실인지 의심스러울 정도”라고 이번 조사 결과에 대해 평가한다. “공공 클라우드로 데이터가 옮겨간다는 게 그렇게 걱정스럽다는데, 왜 데이터에 암호화를 적용한 사람은 22%밖에 되지 않을까요? 그냥 ‘보안’이라는 말만 나오면 자동반사적으로 ‘걱정, 염려’가 나오는 게 아닐까 싶습니다. 22%는 현재의 사이버 공간 상태를 보면 매우 매우 낮은 수치입니다.”

그런데 정말 이상하긴 하다. 클라우드 내 데이터 보안에 가장 효율적인 방법이 암호화라고 답한 CISO는 82%였던 것이다. 다음으로 꼽은 것들은 보안 소프트웨어로, 무려 75%의 CISO들이 이를 꼽았다. 그 다음으로는 백업이 50% 수준을 기록했다. 하지만 실제 상황은 어떨까? 비트디펜더가 조사한 바로 ‘클라우드 내에 안전하게 저장되어 있다’고 꼽을만한 데이터는 31%~60% 수준이었다. 공공 클라우드 솔루션에 모든 걸 맡겨버리고 아무런 보안 조치를 취하지 않은 CISO도 15%나 되었고, 데이터 전송 시 아무런 암호화도 적용하지 않는 CISO는 17%였다.

왜 이런 현상이 나타날까? 보테자투는 “첫 번째로, 자율성에 맡겨서 그렇다”고 주장한다. “암호화 하는 20여 퍼센트의 조직들은 법적으로 강제되어 그런 곳이 많았습니다. 예를 들어 금융 정보를 다룰 때는 암호화가 법적으로 필수 조건인 지역이 많죠. 하지만 이메일이나 채팅 로그 같은 경우, 암호화가 강제되는 곳이 그리 많지 않습니다. 암호화가 적용되는 현황이 이러한 현실과 크게 다르지 않습니다.”

보테자투는 “사실 자율성에 맡긴 보안이 얼마나 허황된 생각인 줄 과거에 우린 보아왔지 않느냐”라고 주장한다. “암호화 기술이 보안에 효과적인 건 맞습니다. 하지만 사용자 측에서 치러야 하는 대가가 있죠. 그건 바로 컴퓨팅 파워의 소모입니다. 더 비싼 컴퓨터를 사야하고, 가끔은 더 느려진 시스템 성능을 감내해야 합니다. 벌금을 내지 않아도 되는 경우, 이런 대가를 치루지 않는 게 대부분 사용자의 습성입니다.”

보안을 담당하는 위치에 있는 사람들은 공공 클라우드 내에 저장된 민감한 정보가 의도치 않게 노출되는 것을 가장 많이 염려한다. 즉, 사이버 공격 유형 중 ‘데이터 유출’에 가장 관심이 많다는 것이고, 상대적으로 멀웨어나 피싱 등 인프라 자체를 타격하는 공격 유형에 대한 집중도는 떨어질 수밖에 없다는 것이다.

물론 데이터가 유출된다는 건 기업 입장에서 커다란 손해임이 분명하다. 보테자투는 “애슐리 매디슨(Ashley Madison) 사건”을 예로 들며 “보통 중소기업들은 데이터 유출 사고를 방지하거나 수습할 자금력이 부족하다”고 설명한다. “고객 정보가 직접 새나가는 것이 사업에 가장 직격탄이 되기 때문에 돈이 부족한 기업들은 정보 유출을 우려할 수밖에 없습니다. 하지만 염려가 되는 만큼 돈을 쓸 여력이 되지 않기 때문에, 고객을 마땅히 보호할 수도 없습니다. 즉 걱정만 하지 조치를 취하지 못하는 상태가 되는 겁니다.” 이것이 보테자투가 생각하는 두 번째 이유다.

이러한 염려 때문인지 아직 클라우드로 완전히 체제를 바꾼 기업보다는 이른바 하이브리드 클라우드 체제로 넘어간 기업들이 더 많은 것이 사실이다. 글로벌한 기업들의 경우 약 70%가 하이브리드 클라우드 체제를 유지하고 있다. 하지만 하이브리드 시스템에는 제로데이, APT 공격 등의 위협이 그대로 남아있다. 완전 클라우드 환경에서 첫손에 꼽히는 공격들은 아니다.

“하이브리드 클라우드의 보안에 있어서 가장 큰 문제는 공공 클라우드와 사설 클라우드 및 온프레미스 네트워크의 싱크를 맞추는 것, 정전 발생 시 대처, 데이터센터 간 정보 전송 시 필요한 모든 정책 및 규정 지키기 등입니다. 백업만으로 클라우드 보안이 해결되지 않는다는 것 역시 점차 드러나고 있습니다. 오히려 백업을 유지하는 비용, 관리 비용이 추가로 들고, 관리 소홀로 인해 예상치 않은 정보 노출이 일어나는 경우도 심심치 않게 발생하고요. 백업 개념으로 하이브리드 클라우드를 사용하는 것이 그다지 현명하지 않다는 게 조금씩 드러나고 있는 시점입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>