사용자들, 점점 더 중요한 데이터와 앱을 클라우드로 옮겨
보안 사고 가능성 높아지는 가운데, 책임 소재 아직 불분명해

[보안뉴스 문가용 기자] 클라우드의 데이터가 침해됐다면, 누가 책임을 져야 할까? 클라우드 보안 얼라이언스(Cloud Security Alliance, CSA)가 최근 발표한 보고서가 던지는 질문이 바로 이것이다. 많은 기업들이 자원을 클라우드로 이동시키고, 클라우드를 겨냥한 사이버 공격이 늘어날 것으로 보이는 분위기에서 다시 한 번 나온 중요한 질문이다.


이 보고서의 이름은 “전사적 자원 관리(ERP) 애플리케이션과 클라우드 적용(Enterprise Resource Planning Applications and Cloud Adoption)”으로, 미국(49%), 아태지역(26^), EMEA 지역(25%)에서 근무하는 199명의 C레벨 임원들과 관리자들과의 면담을 통해 작성된 것이다.

연구 결과 조직들의 약 69%가 ERP 애플리케이션을 클라우드로 옮길 계획이 있다고 밝혔다. 또한 90%에 가까운 응답자가 그냥 사소한 애플리케이션이 아니라 사업에 필수적인 것들을 옮길 것이라고 답하기도 했다. 미국의 응답자 중 73%, 아태지역의 응답자 중 73%는 이러한 이주 계획을 실천할 때 클라우드 업체에 보고할 가능성이 높다고 했다. EMEA 지역은 GDPR과 같은 규정들이 있기 때문에 정부 기관 등과의 협의를 해야 하는 것으로 나타났다.

클라우드로 이전했을 때의 가장 큰 장점은 무엇일까? 응답자에 따르면 새로운 기술들의 확장성(65%)이라고 한다. 그 다음으로 응답자들이 꼽은 건 차례대로 낮은 총 소유비용(61%)과 클라우드 업체에게 넘어가는 보안 패치와 업데이트 책임(49%)이었다. 장애가 없지 않았다. 클라우드로 이전하는 걸 어렵게 만드는 요인들로는 데이터의 민감성(65%), 보안(59%), 컴플라이언스 문제(54%)가 꼽혔다.

한편 기업들은 클라우드 기반의 ERP 애플리케이션들을 여러 가지 방법으로 보호하고 있는 것으로 나타났다. 아이덴티티 및 접근 통제를 활용한 보호가 68%, 방화벽을 사용하는 사례가 63%, 취약점 평가를 하는 기업이 62%였다. 하지만 공격자들의 클라우드 공격 능력도 올라가고 있는 것으로 대부분 보고 있었다. 응답자의 절반 이상이 클라우드 공격이 내년에 증가할 것이라고 점친 것이다.

그렇다면 그러한 상황에서 책임은 누구에게 있는 것일까? 응답자의 60%는 “침해 사고의 책임은 클라우드 보안 업체에게 있다”고 답했다. 하지만 77%는 ERP 애플리케이션의 보호 책임은 사용자 기업에 있다고 답하기도 했다. 가장 책임이 없는 곳은 서드파티였다.

“클라우드 컴퓨팅 생태계는 빠르게 성장하고 있습니다. 또한 기업들도 ERP처럼 사업 운영에 필요한 애플리케이션들을 이전과 다르게 클라우드 환경으로 적극 옮기고 있습니다.” 이번 연구를 지휘한 존 여(John Yeoh)의 설명이다. “현재 사용자 기업들은 클라우드 환경으로 사업 필수 애플리케이션들을 옮김으로써, 그 동안 전통적인 네트워크 환경에서 겪었던 어려움이 해소되는지 탐색하고 있습니다.”

어떤 클라우드 업체와 계약을 맺든, 클라우드로의 이전을 진행할 때 처음부터 보안을 고려하는 것이 가장 중요하다. CSA의 후안 파블로 페레즈-에체고옌(Juan Pablo Perez-Etchegoyen)은 “연구 결과 이주의 모든 단계에서 보안을 적용하는 비용이, 나중에 사고 발생 후 후속조치를 취하는 것보다 5배까지 저렴할 수 있다는 걸 발견했다”고 강조했다.

3줄 요약
1. 클라우드로의 이전, 이제 ERP 애플리케이션까지 대상이 되고 있다.
2. 클라우드로 옮기면 기존에 있었던 문제점 없어질까, 실험 중.
3. 클라우드 보안 사고 발생 시, 책임은 누구에게 있을까? 아직 결정 못함.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>