[디지털투데이 황치규 기자] 많은 기업들이 IT인프라 운영에서 퍼블릭 클라우드 서비스 사용 비중을 늘리면서 데이터 보안 접근 환경복잡성, 시스템 구성 오류 및 새로운 보안 모델을 둘러싼 혼란도 커지고 있다는 조사 결과가 나왔다.

18일 오라클과 기업 컨설팅 업체 KPMG가 발표한 2020년 클라우드 보안 위협 보고서(Oracle and KPMG Cloud Threat Report 2020)에 따르면 사이버 보안 및 IT전문가들 중 75%가 퍼블릭 클라우드가 자체 데이터센터보다 안전하다고 답했지만, 이들 중 92%는 자신들이 속한 기업이 퍼블릭 클라우드 서비스를 보호하기에 충분한 준비를 갖추지 않았다고 보고 있는 것으로 조사됐다. 조사에 참여한 IT전문가들 중 80%가 현재 쓰고 있는 클라우드 서비스 제공업체가 핵심 시장에서 자신들이 속한 기업과 경쟁할 것으로 보고 있다는 점도 눈에 띈다.

이번 보고서는 북미 및 서유럽, 아태 지역 민간 및 공공 부문 조직에서 근무하는 750 명의 사이버 보안 및 IT 전문가를 대상으로 2019년 12월 16일부터 2020년 1월 16일까지 엔터프라이즈 스트래터지 그룹이 진행한 온라인 설문 조사에 기반하고 있다.

보고서를 보면 조사에 참여한 IT 전문가들은 데이터 보안 문제를 해결하기 위해 다양한 사이버 보안 제품을 결합하고 있지만, 이러한 시스템이 올바르게 구성되지 않아 많은 어려움을 겪고 있다고 답했다.

78%의 조직이 보안 문제를 해결하기 위해 50종 이상의 개별 사이버 보안 제품을 사용하고 있으며, 37%는 100 종류 이상의 보안 제품을 활용하고 있다. 클라우드 서비스 내에서 시스템 구성 오류를 발견한 기업 조직의 경우, 작년 한 해 10회 이상데이터 손실 사고를 경험했고 59% 조직이 클라우드 계정에 권한을 가진 직원의 자격 증명이 스피어 피싱 공격으로 인해 손상됐다. 과잉 권한이 부여된 계정 (37%), 웹 서버 및 기타 유형 서버 워크로드 노출 (35%), 핵심 서비스 접근을 위한 다중 인증 절차 부족 (33%) 등이 시스템 구성 오류에서 많은 비중을 차지했다.

보고서에 따르면 요즘 기업들은 그 어느 때보다 활발하게 업무에 핵심적인 워크로드를 클라우드로 이전하고 있지만, IT 부서와 클라우드 서비스 공급업체가 데이터 보안 책임을 분담하는 과정에서 보안 사각 지대가 늘어나는 상황에 직면했다. 90%에 육박하는 기업이 서비스형 소프트웨어(SaaS)를 사용하고 76%가 서비스형 인프라 IaaS (서비스형 인프라스트럭처)를 사용하고 있다. 50%는 향후 2년 안에 모든 데이터를 클라우드로 이전할 계획이어서 IT 보안 부서는 보안 위협이 증가하는 환경에 효과적으로 대응해야 하는 상황에 직면했다. 현실은 만만치 않다.

보안 책임 공유 모델은 기업 내에서 혼란을 초래하고 있는 경우가 많으며, IT 보안 임원 8%만이 이러한 모델을 완전히 이해하고 있다는게 보고서 설명. IT 전문가 70%는 퍼블릭 클라우드 공간 확보를 위해 지나치게 많은 전문 툴이 필요하다고 답했고,  75%가 클라우드 서비스에서 2번 이상의 데이터 손실을 경험했다. 또 기업 조직의 69%가 정보보호최고책임자(CISO)가 사이버 보안 사고가 발생한 이후에야 퍼블릭 클라우드 프로젝트에 관여한다고 답했다.

보고서에 따르면 증가하는 데이터 보안에 대한 우려와 신뢰 문제를 해결하기 위해 클라우드 서비스 제공 업체와 IT 부서는 협력을 기반으로 보안 최우선 문화를 구축해야 한다. 숙련된 IT 보안 전문가를 채용 및 교육하고, 관련 인재를 유지할 뿐만 아니라 프로세스 및 기술을 지속적으로 개선함으로써 디지털 환경 하에서 계속 증가하고 있는 보안 위협을 완화할 수 있다.

이를 위해 조직 73%가 클라우드 보안 역량을 갖춘 CISO를 이미 고용했거나 그럴 계획이 있으며, 과반수 이상 조직(53%)은 비즈니스정보보안책임자(BISO, Business Information Security Officer)’라는 새로운 역할을 만들고 CISO와 협력해 기업 내 보안 문화를 조성하도록 지원하고 있다.

IT 전문가 88%는 향후 3년 내에 대부분의 클라우드에 지능화되고 자동화된 패치 및 업데이트가 적용됨으로써 보안이 향상될 것이라고 예측했다. IT 전문가 87%는 사기나 멀웨어, 구성 오류 등으로부터 시스템을 보호하기 위해 AI와 머신 러닝이 새로운 보안 투자에 있어 필수요소라 응답했다.

스티브 다헵 오라클 수석 부사장은 “지난 몇 년간 기업은 주요 워크로드를 클라우드로 이전하며 새로운 가능성의 지평을 열었지만, 지나치게 복잡한 보안 솔루션들과 절차 조합으로 시스템 구성 오류와 데이터 유출 등 관련 비용소모가 꾸준히 발생해왔다”며 “지능형 자동화 기반 도구를 활용함으로써 기업은 이러한 기술 격차를 해소하고, 미래 지향적인 IT 로드맵을 실현할 수 있을 것이다. 실제로 많은 C레벨 임원들이 보안 최우선 문화를 염두에 두고 다양한 비즈니스 조직을 체계적으로 통합해 나가고 있다”고 말했다.