국내 기업 32%, 클라우드 시스템 상 ‘데이터 침해’와 ‘감사 실패’ 경험

멀티 클라우드 도입 가속화, 2022년 IaaS 클라우드 다중 사용률 72%
사이버 보안 및 데이터 보안 기업 탈레스, ‘2022 탈레스 클라우드 보안 보고서’ 발표

[보안뉴스 김영명 기자] 전 세계적으로 클라우드 도입이 확산되는 가운데, 멀티 클라우드의 도입은 지속해서 증가하고 있다. 글로벌 기업에서 사용하는 SaaS 기반 애플리케이션 평균 수는 2015년 8개에서 지난해 110개로 늘어나면서 급격한 증가세를 보였다.

▲클라우드 보호 전략에 대한 설문 응답[자료=탈레스]

기업의 서비스로서의 인프라스트럭처(IaaS : Infrastructure as a Service) 사용률은 지난해 1년 동안 57%에서 72%로 성장했다. 멀티 클라우드 사용률도 지난해 2배로 증가했는데, 사용자 5명 중 1명은 3개 이상의 클라우드를 사용하고 있는 것으로 조사됐다.

클라우드 확산과 사용이 증가하는 가운데, 클라우드의 복잡성에 대해 기업은 한 목소리로 우려를 표하고 있다. 한국 IT 전문가 가운데 50%가 클라우드에서 개인정보와 데이터를 보호하는 것이 더 복잡하다고 응답했다. 클라우드 전환이 점차 어려워지는 것도 주요 특징 중 하나다. 가장 간편한 전환 방식인 리호스팅조차 전 세계적으로 작년 55%에서 올해 24%로 감소했다.

이러한 통계는 주요 정보 시스템, 사이버 보안 및 데이터 보안 기업 탈레스가 발표한 ‘2022 탈레스 클라우드 보안 보고서’에서 언급됐다. S&P 글로벌 마켓 인텔리전스 산하 451 리서치(451 Research)가 진행한 이번 보고서는 최근 12개월간 한국 기업의 32%가 클라우드 데이터 침해를 경험하거나 감사에 실패한 적이 있다고 밝히면서 사이버 범죄로부터의 민감정보 보호에 큰 우려를 제기했다.

멀티 클라우드 복잡성, 사용률 감소, 보안 필요성 증대
클라우드의 복잡성이 증가하면서 강력한 사이버 보안에 대한 필요성이 더욱 커지고 있다. 전 세계 응답자 중 66%가 클라우드 내 민감데이터 저장률은 21~60% 정도라고 답했으며, 우리나라 응답자의 55%가 21~60%라고 응답했다.

전 세계 응답자의 32%는 정부기관, 고객, 협업사 또는 직원에게 사이버 보안 위반 사실을 통보해야 한다고 동의했는데, 이는 특히 규제가 심한 산업이나 민감 데이터를 보유한 기업들 사이에서 우려의 원인이 될 수 있다고 밝혔다.

사이버 공격은 클라우드 애플리케이션과 데이터에 위협이 지속되고 있다. 설문 응답자 중 26%는 사이버 공격의 유형으로 멀웨어를 언급했으며, 25%는 랜섬웨어, 19%는 피싱·웨일링이 증가했다고 답했다.

▲민감한 데이터 보호에 가장 효과적인 것으로 간주되는 기술에 관한 설문 응답[자료=탈레스]

민감정보 보호 방법, 암호화 및 키 관리 비율 높아
전 세계 IT 전문가들은 멀티 클라우드 환경에서의 데이터 보호와 관련해 암호화를 주요 보안 통제요소로 간주했다. 국내 응답자의 대다수도 현재 클라우드 내 민감정보 보호용 보안기술로 암호화(63%)와 키 관리(54%)를 사용한다고 답했다.

클라우드에 위치한 데이터가 얼마나 암호화됐는지에 관한 설문에서 한국인은 13%만이 81~100%라고 답했다.

키 관리 플랫폼의 무분별한 확산도 기업에는 오히려 독이 될 수 있다. 한국 응답자의 10%만이 1~2개의 플랫폼을 사용하며, 90%는 3개 이상, 응답자 중 17%는 8개 이상의 플랫폼을 사용한다고 응답했다.

‘암호화’는 클라우드에서 데이터를 보호할 때 기업이 가장 중요하게 생각해야 할 부분이다. 실제로 전체 응답자 중 40%는 데이터 암호화 혹은 토큰화로 해킹이나 유출 시 침해 사실을 피할 수 있었다고 답하면서 암호화 플랫폼의 유형적 가치를 입증시켰다.

게다가 기업들이 제로 트러스트 및 이와 관련된 투자를 하고 있는 현상은 고무적이다. 한국 응답자의 24%는 이미 제로 트러스트를 시행 중이라고 답했고, 35%는 제로 트러스트 도입에 대해 평가 및 계획 중이며, 25%는 현재 고려 중이라고 응답했다. 이는 긍정적인 조사결과로 아직까지 제로 트러스트가 국내에서 좀 더 반영될 여지가 있음을 나타냈다.

세바스찬 카노(Sebastien Cano) 탈레스 클라우드 보호 및 라이선스 부문 수석 부사장은 “멀티 클라우드 환경 관리의 복잡성은 매우 중요하다”며 “커져가는 데이터 주권의 중요성은 정보보호최고책임자(CISO)와 데이터 보호 관리자들의 클라우드 전략, 거버넌스, 위기관리 고려사항에 중대 시사점을 제기하고 있다”고 말했다.

이어 “민감정보는 지리적 위치와 기업 내 접근 권한 모두가 중요하다”며 “암호화, 키 관리 등 다양한 클라우드 솔루션과 제로 트러스트 전략을 활용해 복잡한 클라우드 환경을 보호함으로써 기업은 데이터를 보호하고 미래 위험요인을 관리할 수 있다”고 덧붙였다.
[김영명 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)