클라우드 서비스를 사용하면 기업은 유지보수나 막대한 비용에 대한 부담 없이 핵심 기술을 활용해 일상적인 운영 작업을 수행하고 비즈니스 성장을 위한 계획을 뒷받침할 수 있다. 따라서 기업의 78%가 이미 SaaS 기반 플랫폼을 하나 이상 사용하고 있는 것도 그리 놀라운 일이 아니다. 또한 비슷한 수의 기업(75%)이 향후 더 많은 애플리케이션을 클라우드로 이전할 계획이다. IaaS의 경우 절반 가량(49%)의 대기업과 45%의 중소 기업이 IT 인프라 및 프로세스의 타사 아웃소싱을 고려하고 있다.
그러나 정보 보안에 대한 전략도 마련하지 않고 클라우드 서비스를 이용하는 바람에 도입 과정의 신속성, 매력적인 비용 및 운영비 절감이라는 장점이 상당 수의 조직에서 도리어 보안에 악영향을 미치기도 한다고 카스퍼스키랩은 밝혔다. 클라우드에 보관된 데이터는 사실상 보안 책임 소재가 불확실하고, 이 부분이 바로 보안 문제의 단초가 되는 것이다.
실제로 카스퍼스키랩의 연구에 따르면 SaaS 및 클라우드 서비스 공급업체를 이용하는 기업 가운데 70%는 자사 파트너에게 피해를 줄 수도 있는 보안 사고에 대해 확실한 대응 계획이 마련돼 있지 않았다. 이들 기업의 1/4은 서비스 제공업체의 규제 준수 인증을 확인도 하지 않는 것으로 밝혀졌다. 문제가 발생할 경우 클라우드 서비스 제공업체에서 수습할 것이라고 막연히 믿는 것이다.
기업의 42%는 클라우드 서비스 제공업체가 여러 보안 사고에 대해 적절한 보호 조치가 이루어지지 않는다고 생각하며, 지난 12개월 동안 외부 업체에서 호스팅되는 IT 인프라에서 보안 사고를 경험한 기업이 약 1/4(24%)에 달한다. 즉, 전반적인 보안을 클라우드 제공업체에만 의존하는 것은 위험한 전략이라고 할 수 있다.
클라우드를 도입하는 기업에 정보 보안에 대한 계획 및 책임이 결여돼 있으면 기업에 심각한 피해가 발생할 수 있다. 여러 기업이 클라우드 관련 보안 사고로 인해 평균 120만 달러의 금전적 피해를 입고 있으며 SMB의 경우에는 그 피해액이 10만 달러에 이르는 것으로 나타났다.
외부 클라우드 제공업체의 사고로 인해 데이터 침해가 발생한 경우 가장 많이 피해를 입을 수 있는 데이터 유형 3가지로는 고도로 민감한 고객 정보(SMB의 40%, 대기업의 49%가 경험), 직원 관련 기본 정보(SMB의 36%, 대기업의 35%가 경험), 이메일 및 내부 커뮤니케이션(SMB의 35%, 대기업의 31%가 경험)이 있다.
따라서 기업은 이렇게 무질서한 클라우드 생태계를 제어할 방법을 찾아야 한다. 모든 데이터는 무슨 일이 생기든 언제나 보호를 받아야 한다고 카스퍼스키랩은 설명했다. 그러기 위해서는 기업이 직접 클라우드 인프라 내에서 발생하는 이상 징후를 찾아내야 하며, 이는 기계 학습 및 행동 분석을 포함한 여러 기술의 조합을 통해서만 가능하다고 덧붙였다.
카스퍼스키랩코리아(www.kaspersky.co.kr)의 이창훈 지사장은 “카스퍼스키랩의 사이버 보안 포트폴리오는 ‘클라우드 환경을 원활하게 지원’하며, 이미 기존 카스퍼스키랩 고객을 대상으로 다양한 솔루션과 애플리케이션을 사용해 온프레미스형 데이터센터를 프라이빗/퍼블릭 클라우드 및 하이브리드 인프라로의 전환을 지원하고 있다”며, “카스퍼스키랩은 클라우드 보안의 단점을 해결하고자 완전히 새로운 차원의 클라우드 인프라 보안을 제공하면서 그 보안 영역을 계속 확장해나갈 예정”이라고 밝혔다. editor@itworld.co.kr