2020.05.18

오라클-KPMG, 클라우드 사이버보안 위협 보고서 발표

편집부 | ITWorld
오라클은 최근 기업 컨설팅 전문업체 KPMG와 함께 ‘2020 오라클-KPMG 연간 클라우드 보안 위협 보고서(Oracle and KPMG Cloud Threat Report 2020)’를 공동 발표했다. 이번 보고서는 전 세계 750여 명의 글로벌 사이버보안 및 IT 전문가를 대상으로 조사됐다. 

이번 연구 결과에 따르면, IT 전문가에게 데이터 보안은 두려움과 신뢰 문제를 야기하는 주제로, 데이터 보안 접근의 복합성, 시스템 구성 오류(misconfiguration) 및 새로운 클라우드 보안 모델을 둘러싼 혼란 등이 보안에 대한 우려를 불러온 것으로 나타났다. 또한 IT 전문가들은 보안이 비즈니스 조직 문화의 일부로 자리잡아야만 이러한 문제가 해결될 것으로 전망했다.

데이터 보안에 대한 IT 전문가의 우려
IT 전문가가 경험하고 있는 데이터 보안과 관련한 두려움과 신뢰 문제에 대한 설문 결과, IT 전문가들은 자택 보안보다 회사의 재무 및 지적 재산의 보안에 대해 3배 이상 더 많은 관심을 가지고 있다.

또한 이들은 클라우드 서비스 제공업체에 대해 우려하고 있는 것으로 나타났다. 이들 가운데 80%는 거래 중인 클라우드 서비스 제공업체가 핵심 시장에서 자사의 경쟁자가 될 것이라 생각했다.

IT 전문가 75%가 퍼블릭 클라우드가 자체 데이터센터보다 더욱 안전하다고 응답했다. 그러나, IT 전문가 중 92%는 자신의 기업 조직이 퍼블릭 클라우드 서비스를 보호하기에 충분한 준비를 갖추고 있지 않다 판단했다. 80%에 달하는 IT 전문가가 타사의 데이터 유출 사고 이후 데이터 보안에 대한 조직 내부 관심도가 더욱 높아졌다고 밝혔다.
 
기존 데이터 보안 접근 방식으로 인한 IT 전문가의 혼란
IT 전문가는 데이터 보안 문제를 해결하기 위해 다양한 사이버보안 제품을 결합하고 있지만, 이러한 시스템이 올바르게 구성되지 않음으로 인한 많은 어려움을 겪고 있다고 밝혔다.

78%의 조직이 보안 문제를 해결하기 위해 50종류 이상의 개별 사이버 보안 제품을 사용하고 있으며, 37%는 100 종류 이상의 사이버 보안 제품을 활용하고 있다.

클라우드 서비스 내에서 시스템 구성 오류를 발견한 기업 조직의 경우, 작년 한 해 10회 이상의 데이터 손실 사고를 경험했다. 59%의 조직이 클라우드 계정에 권한을 가진 직원의 자격 증명이 스피어 피싱 공격으로 인해 손상되었다고 밝혔다.

시스템 구성 오류의 대표적 유형은 ▲과잉 권한이 부여된 계정(37%) ▲웹 서버 및 기타 유형의 서버 워크로드 노출(35%) ▲핵심 서비스 접근을 위한 다중 인증 절차 부족(33%)으로 나타났다. 
 
책임 분담으로 인해 발생하는 혼란과 보안 침해
오늘날 기업은 그 어느 때보다 활발하게 미션 크리티컬한 워크로드를 클라우드로 이전하고 있지만, 클라우드 활용이 증가함에 따라 IT 부서와 클라우드 서비스 공급업체가 데이터 보안 책임을 분담하는 과정에서 보안 사각 지대 또한 경험하고 있다. 이러한 혼란이 가중되며, IT 보안 부서는 보안 위협이 증가하는 환경을 효과적으로 대응해야 한다는 과제에 당면했다.

오늘날 90%에 육박하는 기업이 SaaS를 사용하고 76%가 IaaS를 사용하고 있다. 또한, 50%는 향후 2년 안에 모든 데이터를 클라우드로 이전할 계획이라고 밝혔다. 

응답자들에 따르면, 보안 책임 공유 모델은 혼란을 초래하고 있는 경우가 많으며, IT 보안 임원의 8%만이 이러한 모델을 완전히 이해한다고 밝혔다.

IT 전문가 70%는 퍼블릭 클라우드 공간 확보를 위해서 지나치게 많은 전문 툴이 필요하다고 답했다. IT 전문가의 75%가 클라우드 서비스에서 2번 이상의 데이터 손실을 경험했다.
 
보안 최우선 모델 구축의 필요성
증가하는 데이터 보안에 대한 우려와 신뢰 문제를 해결하기 위해 클라우드 서비스 제공 업체와 IT 부서는 협력을 기반으로 보안 최우선 문화를 구축해야 한다. 숙련된 IT 보안 전문가를 채용 및 교육하고, 관련 인재를 유지할 뿐만 아니라 프로세스 및 기술을 지속적으로 개선함으로써 디지털 환경 하에서 계속 증가하고 있는 보안 위협을 완화할 수 있다.

기업 조직의 69%가 CISO(정보보호최고책임자)는 사이버보안 사고가 발생한 이후에야 퍼블릭 클라우드 프로젝트에 관여한다고 응답했다.

조직의 73%가 풍부한 클라우드 보안 역량을 갖춘 CISO를 이미 고용했거나 그럴 계획이 있으며, 과반수 이상의 조직(53%)은 ‘BISO(Business Information Security Officer, 비즈니스정보보안책임자)’라는 새로운 역할을 추가해 CISO와 협력해 기업 내 보안 문화를 조성하도록 지원하고 있다.

IT 전문가 88%는 향후 3년 이내에 대부분의 클라우드에 지능화되고 자동화된 패치 및 업데이트가 적용됨으로써 보안이 향상될 것이라고 예측했다. IT 전문가 87%는 사기나 악성코드, 구성 오류 등으로부터 시스템을 보호하기 위해 AI와 머신러닝이 새로운 보안 투자에 있어 필수요소라 응답했다.

오라클 스티브 다헵 수석 부사장은 “지능형 자동화 기반의 도구를 활용함으로써 기업은 기술 격차를 해소하고, 미래 지향적인 IT 로드맵을 실현할 수 있을 것”이라며, “실제로 많은 C레벨 임원들이 보안 최우선 문화를 염두에 두고 다양한 비즈니스 조직을 체계적으로 통합해 나가고 있다”고 말했다.

KPMG 토니 버포만테 사이버 보안 서비스 분야 글로벌 및 미주 지역 총괄은 “새롭게 증가한 위협 수준을 적절하게 관리하기 위해, CISO는 클라우드 이전과 구현 전략을 수립하는 과정에서 보안을 최우선 순위로 고려하며, 비즈니스와 관련한 정기적인 의사 소통을 이어 나가야 한다”고 밝혔다.

한편, 이번에 발표된 보고서는 총 5부로 구성된 시리즈 중 첫 번째에 해당한다. 오라클과 KPMG는 주요 클라우드 보안 주제에 대해 유용한 리서치 결과를 제공하기 위해 후속 보고서를 추가적으로 발표할 계획이다. editor@itworld.co.kr


2020.05.18

오라클-KPMG, 클라우드 사이버보안 위협 보고서 발표

편집부 | ITWorld
오라클은 최근 기업 컨설팅 전문업체 KPMG와 함께 ‘2020 오라클-KPMG 연간 클라우드 보안 위협 보고서(Oracle and KPMG Cloud Threat Report 2020)’를 공동 발표했다. 이번 보고서는 전 세계 750여 명의 글로벌 사이버보안 및 IT 전문가를 대상으로 조사됐다. 

이번 연구 결과에 따르면, IT 전문가에게 데이터 보안은 두려움과 신뢰 문제를 야기하는 주제로, 데이터 보안 접근의 복합성, 시스템 구성 오류(misconfiguration) 및 새로운 클라우드 보안 모델을 둘러싼 혼란 등이 보안에 대한 우려를 불러온 것으로 나타났다. 또한 IT 전문가들은 보안이 비즈니스 조직 문화의 일부로 자리잡아야만 이러한 문제가 해결될 것으로 전망했다.

데이터 보안에 대한 IT 전문가의 우려
IT 전문가가 경험하고 있는 데이터 보안과 관련한 두려움과 신뢰 문제에 대한 설문 결과, IT 전문가들은 자택 보안보다 회사의 재무 및 지적 재산의 보안에 대해 3배 이상 더 많은 관심을 가지고 있다.

또한 이들은 클라우드 서비스 제공업체에 대해 우려하고 있는 것으로 나타났다. 이들 가운데 80%는 거래 중인 클라우드 서비스 제공업체가 핵심 시장에서 자사의 경쟁자가 될 것이라 생각했다.

IT 전문가 75%가 퍼블릭 클라우드가 자체 데이터센터보다 더욱 안전하다고 응답했다. 그러나, IT 전문가 중 92%는 자신의 기업 조직이 퍼블릭 클라우드 서비스를 보호하기에 충분한 준비를 갖추고 있지 않다 판단했다. 80%에 달하는 IT 전문가가 타사의 데이터 유출 사고 이후 데이터 보안에 대한 조직 내부 관심도가 더욱 높아졌다고 밝혔다.
 
기존 데이터 보안 접근 방식으로 인한 IT 전문가의 혼란
IT 전문가는 데이터 보안 문제를 해결하기 위해 다양한 사이버보안 제품을 결합하고 있지만, 이러한 시스템이 올바르게 구성되지 않음으로 인한 많은 어려움을 겪고 있다고 밝혔다.

78%의 조직이 보안 문제를 해결하기 위해 50종류 이상의 개별 사이버 보안 제품을 사용하고 있으며, 37%는 100 종류 이상의 사이버 보안 제품을 활용하고 있다.

클라우드 서비스 내에서 시스템 구성 오류를 발견한 기업 조직의 경우, 작년 한 해 10회 이상의 데이터 손실 사고를 경험했다. 59%의 조직이 클라우드 계정에 권한을 가진 직원의 자격 증명이 스피어 피싱 공격으로 인해 손상되었다고 밝혔다.

시스템 구성 오류의 대표적 유형은 ▲과잉 권한이 부여된 계정(37%) ▲웹 서버 및 기타 유형의 서버 워크로드 노출(35%) ▲핵심 서비스 접근을 위한 다중 인증 절차 부족(33%)으로 나타났다. 
 
책임 분담으로 인해 발생하는 혼란과 보안 침해
오늘날 기업은 그 어느 때보다 활발하게 미션 크리티컬한 워크로드를 클라우드로 이전하고 있지만, 클라우드 활용이 증가함에 따라 IT 부서와 클라우드 서비스 공급업체가 데이터 보안 책임을 분담하는 과정에서 보안 사각 지대 또한 경험하고 있다. 이러한 혼란이 가중되며, IT 보안 부서는 보안 위협이 증가하는 환경을 효과적으로 대응해야 한다는 과제에 당면했다.

오늘날 90%에 육박하는 기업이 SaaS를 사용하고 76%가 IaaS를 사용하고 있다. 또한, 50%는 향후 2년 안에 모든 데이터를 클라우드로 이전할 계획이라고 밝혔다. 

응답자들에 따르면, 보안 책임 공유 모델은 혼란을 초래하고 있는 경우가 많으며, IT 보안 임원의 8%만이 이러한 모델을 완전히 이해한다고 밝혔다.

IT 전문가 70%는 퍼블릭 클라우드 공간 확보를 위해서 지나치게 많은 전문 툴이 필요하다고 답했다. IT 전문가의 75%가 클라우드 서비스에서 2번 이상의 데이터 손실을 경험했다.
 
보안 최우선 모델 구축의 필요성
증가하는 데이터 보안에 대한 우려와 신뢰 문제를 해결하기 위해 클라우드 서비스 제공 업체와 IT 부서는 협력을 기반으로 보안 최우선 문화를 구축해야 한다. 숙련된 IT 보안 전문가를 채용 및 교육하고, 관련 인재를 유지할 뿐만 아니라 프로세스 및 기술을 지속적으로 개선함으로써 디지털 환경 하에서 계속 증가하고 있는 보안 위협을 완화할 수 있다.

기업 조직의 69%가 CISO(정보보호최고책임자)는 사이버보안 사고가 발생한 이후에야 퍼블릭 클라우드 프로젝트에 관여한다고 응답했다.

조직의 73%가 풍부한 클라우드 보안 역량을 갖춘 CISO를 이미 고용했거나 그럴 계획이 있으며, 과반수 이상의 조직(53%)은 ‘BISO(Business Information Security Officer, 비즈니스정보보안책임자)’라는 새로운 역할을 추가해 CISO와 협력해 기업 내 보안 문화를 조성하도록 지원하고 있다.

IT 전문가 88%는 향후 3년 이내에 대부분의 클라우드에 지능화되고 자동화된 패치 및 업데이트가 적용됨으로써 보안이 향상될 것이라고 예측했다. IT 전문가 87%는 사기나 악성코드, 구성 오류 등으로부터 시스템을 보호하기 위해 AI와 머신러닝이 새로운 보안 투자에 있어 필수요소라 응답했다.

오라클 스티브 다헵 수석 부사장은 “지능형 자동화 기반의 도구를 활용함으로써 기업은 기술 격차를 해소하고, 미래 지향적인 IT 로드맵을 실현할 수 있을 것”이라며, “실제로 많은 C레벨 임원들이 보안 최우선 문화를 염두에 두고 다양한 비즈니스 조직을 체계적으로 통합해 나가고 있다”고 말했다.

KPMG 토니 버포만테 사이버 보안 서비스 분야 글로벌 및 미주 지역 총괄은 “새롭게 증가한 위협 수준을 적절하게 관리하기 위해, CISO는 클라우드 이전과 구현 전략을 수립하는 과정에서 보안을 최우선 순위로 고려하며, 비즈니스와 관련한 정기적인 의사 소통을 이어 나가야 한다”고 밝혔다.

한편, 이번에 발표된 보고서는 총 5부로 구성된 시리즈 중 첫 번째에 해당한다. 오라클과 KPMG는 주요 클라우드 보안 주제에 대해 유용한 리서치 결과를 제공하기 위해 후속 보고서를 추가적으로 발표할 계획이다. editor@itworld.co.kr


X