보안 / 클라우드

“기업 96%, 클라우드 내 민감 데이터 보안 취약”: CSA 조사

Apurva Venkat | CSO 2022.10.24
CSA(Cloud Security Alliance)가 IT 및 보안 전문가 1,663명을 대상으로 조사한 결과, 기업 대다수가 클라우드에서 데이터 보안을 자신하지 못하고 있으면서도 가장 민감한 데이터에도 충분한 보안 조치가 부족한 것으로 나타났다. 
ⓒ Getty images

보고서에 따르면, 4%의 기업만이 클라우드 내 자사의 데이터 보안이 100% 실행되고 있다고 밝혔다. 이는 96%의 기업이 최소 일부 민감 데이터에 보안 조치가 부족하다는 것이다.

또한 기업은 클라우드에서 데이터 추적에도 어려움을 겪고 있었다. 기업 1/4 이상이 규제 대상 데이터를 추적하지 않고 있다고 답했으며, 1/3은 기밀 또는 내부 데이터를 추적하지 않고 있다고 했다. 나머지 45%는 미분류 데이터를 추적하지 않고 있는 것으로 나타났다. 

보고서는 “기업의 현 데이터 분류 방식이 충분하지 못하다는 것을 보여준다. 하지만 데이터 추적률이 낮으면 다크 데이터(Dark data) 문제를 일으킬 수 있다”라며 “기업은 데이터 디스커버리와 분류 도구를 활용해 자사가 보유한 데이터를 파악하고 보호할 방법을 알아야 할 것”이라고 강조했다. 

다크 데이터는 기업에서 수집·처리·저장한 정보 자원임에도, 다른 용도로 활용되지 못하고 있는 데이터를 말한다. 이와 관련해 약 79%의 기업이 다크 데이터의 증가에 대해 상당 수준 우려하고 있지만, 이런 문제에 적극적으로 대응하지는 못하고 있었다. 

다크 데이터를 처리하지 못하면 자사의 데이터 위험 수준을 제대로 파악하거나 공격 표면을 평가할 수 없어 보안이 취약해지거나 보안 갭으로 이어질 수 있다.

이에 따라 기업은 다크 데이터를 차단할 필요가 있다. 서로 다른 부서간 우선순위 경쟁을 피하기 위해서다. 단일 데이터 인벤토리 같은 단일 소스를 구축하면 서로 다른 부서에 긴밀하게 협업할 수 있는 기반 지식을 제공할 수 있다.
사스(SaaS) 플랫폼의 경우 기업76%가 데이터 추적에 상당히 어려움을 겪고 있다고 답했다. 사스 플랫폼에 저장한 민감 

데이터양을 고려할 때 데이터 추적이 특히 우려된다. 기업 40%는 클라우드 내 민감 데이터 량의 50% 정도만이 충분한 보안 조치를 취했다고 조사됐다. 

이와 함께 약 62%의 기업이 1년 뒤에 클라우드 데이터 침입을 당할 위험이 높은 수준으로 조사됐다. 이 중 8%만이 1년 내에 데이터 침입을 겪을 가능성이 낮았다. 

반면 지난 1년 동안 데이터 침입을 당하지 않은 기업 중 22%의 기업은 다음해에도 데이터 침입을 당할 가능성이 낮았다. 
데이터 보호 전략의 경우 기업이 대부분이 4~5개 요소를 활용했다. 1/3 이상의 기업이 데이터 백업과 복구, 데이터 보호 프로세스 감사 및 평가, 표준 및 규정 준수, 정책 및 절차 수립을 활용하고 있다고 답했다.
 
반면, 데이터 선별, 제로 트러스트, 데이터 주권 등을 사용한다고 답한 기업은 20%를 밑도는 수준이었다. 기업 대부분이 데이터 보호 전략에 제로 트러스트를 완전히 통합하지 못한 것이다. 

최근 공급망 공격에 대한 우려로 인해 기업은 서드파티 계약 기업과 협력사에서 보낸 민감한 데이터를 보호해야 한다. 하지만, 기업은 조직내 직원, 계약사, 협력사 및 공급사에 거의 동일한 수준의 민감 데이터 접근권을 부여하고 있다. 

콜로라도 주립대학의 연구에 따르면, 데이터 침입의 2/3가 공급업체와 서드파티사로 인한 것이었다. CSA 보고서는 외부 관계자로 인한 데이터 침입의 심각성을 고려해 기업은 서드파티 등 민감 데이터에 접근하고 액세스를 차단하는 주체를 파악해야 한다고 당부했다. 
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.