이 글은 IDG의 아티클을 전재하여 제공합니다.
[원문보기] : https://www.itworld.co.kr/news/297049
2022 탈레스 글로벌 클라우드 시큐리티 스터디(Thales Global Cloud Security Study for 2022)에 따르면, 지난 1년간 기업의 45%가 클라우드 데이터 유출을 직접 경험하거나 감사 과정에서 적발됐다. 그런데 이 수치가 지난해보다 5% 줄어든 것이 눈에 띈다. 정말 클라우드 보안 상황이 개선된 것일까?
ⓒ Getty Image Bank
사실 전체적으로 보면 오히려 '최악의 상황'이라고 해도 과언이 아니다. 먼저 클라우드 보안에 대한 투자가 줄었는데도, 클라우드 기반 플랫폼에 대한 의존은 절대적인 것이 됐다. 클라우드 보안 인력 부족으로 많은 기업이 경력이 부족한 인력을 채용할 수밖에 없는 상황이다. 특히 생성형 AI를 악용한 새로운 해킹 툴의 등장으로 많은 기업이 새로운 위협에 대응하는 데 어려움을 겪고 있다.
통제를 벗어난 데이터
하나씩 살펴보자. 일단 가장 우려스러운 것은 '쉐도우 데이터(shadow data)'의 등장이다. 쉐도우 데이터란 기업 내에서 IT의 인지 혹은 통제 없이 생성, 저장, 유통되는 데이터를 의미한다. 보통 이런 데이터는 인가 혹은 모니터링 시스템 밖 존재하고, 직원의 기기, 클라우드 서비스 혹은 다른 승인되지 않거나 알려지지 않은 애플리케이션에 저장된다.
예를 들어, 재택근무를 위한 민감한 기업 데이터가 포함된 문서를 기업 클라우드 데이터베이스에서 다운로드한 후 USB 드라이브에 저장한다거나, 출장을 앞두고 SaaS 애플리케이션에서 고객 리스트를 빼내 자신에게 이메일로 보내는 것이 모두 쉐도우 데이터 사용 사례다. 쉐도우 데이터에는 민감하거나 기밀인 정보가 포함될 수 있고, 이런 외부 노출은 곧 데이터 보안과 컴플라이언스, 거버넌스에 대한 위협을 의미한다. 사실 이것은 클라우드 보안의 문제라기보다는 교육 훈련 차원의 이슈다. 이런 데이터의 이용을 제한하고 사용 여부를 모니터링할 수도 있지만, 결국 이 데이터를 화면에 띄울 수 있다면, 기본적으로 안전하지 않은 쉐도우 데이터가 된다.
이것이 훈련과 사람의 문제라는 점은 오히려 해결을 더 어렵게 만드는 측면이 있다. IT 보안 전문가는 문제를 해결할 때 보통 툴과 기술을 사용하는 데 익숙하기 때문에 보안에 대한 잘못된 인식을 전달할 가능성이 있다. 즉, 데이터를 어떻게 다뤄야 하는지에 대한 교육이 필요한데, IT 실무자는 그냥 다른 사람의 일이라고 생각할 수 있다. 결과적으로 HR 부서로 떠넘겨져 대체로 간과돼 버린다.
잘못된 설정의 문제
클라우드 데이터의 가장 큰 위협이면서도 종종 놓치는 것이 바로 설정의 문제다. 실제로 어떤 데이터 유출 사고를 봐도 이런 사고가 일어난 어이없는 잘못된 설정을 찾을 수 있다. 가장 최근 사례가 한 대형 자동차 업체의 경우다. 클라우드 스토리지 시스템을 잘못 설정해 200만 명 이상의 사용자 정보가 외부에 그대로 노출됐다.
이런 사고를 보면 제대로 구성된 보안 시스템을 우회해 데이터에 접근한 경우는 거의 없다. 오히려 스토리지 시스템이 그대로 외부에 노출돼 있거나 데이터베이스를 필요한 만큼 암호화해야 하는 경우가 더 흔하다. 실무자가 클라우드 기반 시스템과 데이터 스토어의 보안을 어떻게 설정해야 하는지 알지 못하는 경우도 많다. 이는 앞서 언급한 인력 부족 문제의 결과이기도 한데, 결국 데이터 유출로 큰 피해가 발생한다면 대개 이런 식으로 사고가 일어난다.
다른 위협들
이외에 새로운 위협도 있다. 보안이 취약한 API가 대표적이다. 클라우드 기반 플랫폼에서 개발, 배포하는 작업을 한다면 아마도 API가 가장 중요한 역할을 할 것이다. 이런 API는 클라우드 업체가 제공하기도 하지만 기업용 앱에도 내장돼 있다. 이런 API는 기업 인프라라는 왕국의 열쇠인데, 종종 기업 데이터에 대한 제한 없는 접근 경로로 방치되곤 한다.
이밖에 최근 확산하는 위협에는 생성형 AI 시스템을 이용한 해킹의 자동화가 있다. 이런 AI 기반 공격은 이미 현실에서 벌어지고 있다. 해커가 AI 시스템을 더 잘 활용할수록 가장 정교한 보안 시스템에 대해서도 자동화된 공격이 벌어질 것이다. 이런 새롭고 혁신적인 공격에 대응하는 것은 매우 힘든 일이다. 실제로 생성형 AI를 이용해 얻은 애플리케이션 코드를 이용하면 공격 시스템을 만들어 실행할 수 있고, 이런 공격이 결국 성공하는 것은 시간문제일 뿐이다. 현업 IT 실무자는 이런 공격에 맞서 빠르게 방어체계를 확장하는 것은 사실상 불가능하다.
해야 할 일들
이는 클라우드 보안 측면에서 매우 어두운 소식이다. 더 안전한 클라우드 플랫폼을 만드는 최선의 방법은 역시 기본을 지키는 것이다. 즉, 제로 트러스트 보안을 구현하고 최적의 클라우드 보안 툴을 확보하는 것이다. 이를 통해 최소한 다른 기업보다 우리 기업이 해커가 노리기에 더 까다로운 목표로 만들 수 있다. 잠금장치가 있는 자전거가 덜 도난 당하는 것과 같은 이치다. 도둑은 이런 잠금장치를 몇초면 끊을 수 있지만 잠금장치가 아예 없는 옆에 있는 자전거에 먼저 손을 뻗게 된다.
이런 취약성에 보완하려면 전사적으로 클라우드 보안에 대해 가진 지식을 업그레이드할 필요가 있다. 여기서 핵심은 2가지다. 하나는 세일즈 임원부터 말단 직원까지 일반적인 클라우드 사용자는 보안 관행을 개선해야 한다. 교육과 거버넌스를 제공하고, 규정을 벗어난 데이터 사용에 대해 책임지도록 해야 한다.
두 번째는 보안 전문성을 높여야 한다. 훈련을 더 많이 지원하고 이에 대한 시간도 보장해야 한다. 때로는 더 많은 연봉을 줘야 할 수도 있다. 필자는 보안 실무자들이 여기저기 불난 곳을 처리하느라 정작 중요한 학습은 부족하다는 이야기를 종종 듣는다. 하지만 처음부터 이런 난리가 왜 시작된 것인지를 봐야 한다. 지금 학습이 부족하다고 느낀다면, 전사적으로 변화를 시작할 때다.
▶ 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 기고자에게 저작권이 있습니다.
▶ 해당 콘텐츠는 사전 동의 없이 2차 가공 및 영리적인 이용을 금하고 있습니다.
Deloitte Consulting의 Chief Cloud Strategy Officer