Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

세상의 모든 IT 리서치 자료 - 넘버스 Numbers

클라우드 보안을 위협하는 주요 요인
11
가지
넘버스
자료 제목 :
2022 주요 클라우드 컴퓨팅 보안 위협
Top Threats to Cloud Computing
자료 출처 :
The Cloud Security Alliance
원본자료 다운로드
발행 날짜 :
2022년 06월 06일
보안 / 클라우드

글로벌 칼럼 | 클라우드 보안의 최대 리스크는 지금 당신 옆에 있다

David Linthicum | InfoWorld 2022.06.30
클라우드 보안 위협을 생각하면, 보통 클라우드 솔루션 업체의 치명적인 취약점이나 지하세계의 해커가 연상된다. 하지만 진짜 적은 더 가까운 곳에 있다. 
 
ⓒ Adobe Stock Image

클라우드 보안에 대한 이야기의 주제는 클라우드 솔루션 업체나 지하 세계의 해커에게 쏠려 있는 경우가 흔하다. 기업들은 특히 솔루션 업체의 보안, 감사 및 계획이 부족하다며 불만을 토로한다. 

그러나 등잔 밑이 어둡다는 말처럼 사실 가장 큰 위협은 바로 옆에 있는 회사 동료일 수 있다. 실제로 클라우드 보안 연합(The Cloud Security Alliance)의 ‘2022 주요 클라우드 컴퓨팅 보안 위협’ 보고서에 따르면, 정작 대부분의 위협은 기업 사용자에서 비롯되는 것으로 분석됐다. 
 
보고서에 기재된 상위 11개의 클라우드 보안 위협 요인. ⓒ Cloud Security Alliance

700명 이상의 사이버보안 전문가를 대상으로 한 이 보고서에는 상위 11개의 클라우드 보안 위협 요인이 기술됐다. 대표적으로 안전하지 않은 인터페이스와 API, 잘못된 구성 설정, 클라우드 보안 아키텍처 및 전략의 부재, 우발적인 클라우드 노출 등이 있었다. 즉, 실제 위협의 주체는 지하 세계에서 몸을 사리고 있는 악덕 해커가 아니다. 지금 같은 공간에서 일하고 있는 경리 부서의 마리, 재고 IT 부서의 로버트, 그리고 심지어 IT 보안 부서의 수잔일 수 있다는 말이다.  

이 보고서는 클라우드 보안을 책임지는 주체에 대한 관점이 솔루션 업체에서 사용자로 바뀌고 있다는 점에 주목했다. "공동 책임"을 외쳐온 업체에 물어보면 이들은 항상 기업 사용자에게 보안에 대해 사용자로서의 소임을 다할 것을 당부한다. 하지만 IT 회사와 일반 직원에게 물어보자, 클라우드 보안의 핵심 역할은 역시 솔루션 업체의 몫이라고 응답한다. 

공개된 기술의 취약점(예컨대 디도스 공격, 통신 서비스 제공업체 데이터 손실, 기타 기존 클라우드 보안 문제 등)이 이전 연구보다 낮은 순위를 기록한 점도 흥미롭다. 물론 여전히 위협적이지만, 공유된 기술의 침해 사례를 사후 분석한 결과 심각한 보안 위협 목록에서 낮은 순위를 차지했다. 

결국 보고서의 요지는 실제 취약점이 생각보다 멀리 있지 않다는 점이다. 

실제로 사내 보안 전략과 보안 아키텍처의 부재가 클라우드 보안 금기사항에서 1위를 차지한 것으로 보고서에 나타났다. 그다음은 구성 오류를 방지하기 위한 교육 및 검토 절차의 부재였다. (필자의 생각에도 구성 오류가 대부분 데이터 침해 사건의 원인이다) 한눈에 봐도 이 두 가지 문제는 이어져 있다. 사내에 보안 계획과 아키텍처가 없으니 애초에 구성 오류가 발생할 가능성이 높다. 

이런 필수 보안 조치가 갖춰지지 않은 이유는 자원 부족일 것이다. 클라우드 보안 문제는 기업이 적절한 보안 계획에 비용을 지출할 의사가 없거나 그만한 재정이 없을 때 발생한다. 여기에 더해 보안 수칙 준수가 업무 방식에 완전히 녹아들려면 끊임없이 직원을 교육해야 한다. 이러한 노력을 꾸준히 이어가며 ‘적당한 보안’에 안주하는 문화에서 ‘철통 보안’ 문화로 모든 직원의 마음가짐을 바꿔야한다.  

하지만 IT 부서가 감당해야 하는 현실은 이상에 한참 뒤떨어져 있다. 여전히 회사 곳곳에는 사용자 ID와 암호가 적힌 스티커 메모가 널브러져 있으며, 클라우드 리소스가 종종 무단으로 사용되기도 한다. 황당하게 들리겠지만, 심지어 필자는 한 IT 관리자가 자녀의 숙제를 돕고자 퍼블릭 클라우드 스토리지와 컴퓨팅 시스템을 사용했다는 말을 들은 적도 있다. 게다가 이런 일이 한두 번이 아니었다. 농담처럼 들리겠지만, 이게 현실이다.  

해법은 이미 나와 있다. 클라우드 리소스에 더 많은 리소스를 투입하고 더 많이 신경 써야 한다. 물론 오로지 기술로 모든 문제를 해결할 수는 없다. 보안 문제를 제대로 해결하려면 적어도 향후 5년 동안 수행해야 할 절차를 기획하여 철저한 보안 전략을 수립해야 한다.  

또한 보안 시스템 개선이나 전략을 수립하기 전에, 회사의 보안 문화를 어떻게 바꿔야 할지도 큰 고민거리가 될 것이다. 직원들이 보안 문화에 동조하지 않는다면 수많은 보안 교육과 시스템 개선도 무용지물로 전락할 수 있다. 

보안 결함에 대해 다른 사람을 비난하는 것은 쉽다. 하지만 이제 남 탓하기 풍토는 끝났고 용납되지도 않는다. 회사의 보안 문제를 직시하고 발 벗고 나설 때다. 

*David S. Linthicum은 국제적으로 인정받는 컴퓨팅 산업 전문가다.
ciokr@idg.co.kr
 Tags 클라우드 보안

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.