보안 / 클라우드

블로그 | 이제는 SaaS 보안이 우선이다

David Linthicum | InfoWorld 2022.10.24
그동안 IaaS 클라우드의 보안에 온 신경을 집중한 것이 사실이다. IaaS는 너무 복잡하고 너무 많은 구동부가 있기 때문이다. 이제는 20년 이상 사용한 수많은 SaaS 시스템이 클라우드 보안 우선순위 목록에 올랐다.
 
ⓒ Getty Images Bank

기업은 SaaS 보안에 관해 많은 가설을 세우고 있다. 이들 가설의 본질은 SaaS 시스템은 원격에서 실행되는 애플리케이션이고, 백엔드 시스템에 저장된 데이터는 SaaS 서비스 업체가 기업을 위해 암호화한다는 것이다. 기업은 자사의 회계나 CRM, 재고 데이터가 어떤 데이터베이스에 저장되어 있는지도 모른다. 서비스 업체는 그런 건 신경 쓸 필요 없다고 말한다. 결국 서비스 업체가 모든 시스템을 운영하고, 기업의 사용자와 관리자는 웹 브라우저를 통해 이를 이용할 뿐이다. 실제로 SaaS는 다른 클라우드 컴퓨팅 방식보다 훨씬 더 추상화되어 있다.

많은 시장 조사에서 볼 수 있듯이 SaaS는 클라우드 시장에서 가장 큰 부분을 차지한다. 이런 사실은 최근 시장의 관심이 AWS나 애저, 구글 클라우드 같은 IaaS 클라우드에 쏠려 있었던 탓에, 또 SaaS 클라우드의 세계가 파편화되어 있어 주목을 받지 못했던 탓에 잘 알려지지 않았다. 하지만 SaaS 역시 이제는 백업 및 복구 시스템을 비롯한 IaaS 같은 서비스를 SaaS 제공한다. 물론 여전히 SaaS 방식이며, 사용자가 이런저런 세세한 사항을 다루지 않도록 해준다. 사실, 이는 클라우드라면 해야 할 일이기도 하다.

필자는 SaaS 보안은 관련 대형 보안 사고가 언론 지면을 장식하고 나면, 금방 우선순위가 높아질 것으로 본다. 이런 일은 알게 모르게 일어나겠지만, 대중에게 직접 알려지지는 않는다. 아무도 보안 사고를 보도자료로 배포하지는 않기 때문이다.

그렇다면 지금 SaaS 보안과 관련해 주의해야 할 것은 무엇일까?

SaaS 보안 문제의 핵심은 사람의 실수다. 관리자가 사용자 액세스 권한이나 승인을 너무 자주 허용하면 잘못된 설정이 생긴다. 권한을 받아서는 안되는 사람이 데이터에 액세스하면 결국 API나 사용자 인터페이스 같은 SaaS 인터페이스의 설정 오류가 발생한다. 권한이 제한적이라면 큰 문제가 안될 수도 있지만, 재고 정보 같은 단일 데이터 개체에 대한 단순 데이터 액세스만 필요한 사람에게 전체 데이터에 대한 액세스 권한이 허용되는 경우가 너무 흔하다. 이런 작은 허점이 쌓이면 대규모 데이터 유출 사고에 악용될 수 있다.

이 문제는 보통 SaaS 업체가 사용자 인터페이스나 API 액세스를 통해 제공하는 데이터 액세스와 관련되어 있지만, 기업이 설치하는 데이터 통합 계층과도 관련이 있다. 데이터 통합 계층은 SaaS 클라우드의 데이터와 다른 IaaS 클라우드가 호스팅하는 데이터, 심지어 여전히 자체 보유 중인 레거시 시스템의 데이터까지 동기화하는 데 사용한다. 이들 데이터 통합 계층은 앞서 설명한 이유, 즉 잘못된 권한 부여 때문에 쉽게 침해된다. 대부분 SaaS로 제공되는 데이터 통합 계층 자체에 취약점이 있을 수도 있다. 어떤 식으로든 데이터가 유출될 가능성이 커진다.

또 다른 SaaS 보안 문제는 조금 더 단순하다. 회사에 불만을 품은 직원이 SaaS 호스팅 데이터의 대부분을 USB 드라이브에 복사한 다음 삭제해 버리는 것이다. 누군가에게 필요 이상의 권한을 허용할 때 생길 수 있는 문제로, 권한을 제한하고 교육을 강화해 쉽게 해결할 수 있다.

SaaS 서비스 업체 관점에서는 투명성 부족이란 문제가 있다. SaaS 서비스 업체 직원이 고객 데이터를 몰래 악용하는 것이다. 이런 상황이 얼마나 발생하는지는 알기 어렵지만, 보안과 관련한 아무런 보고가 없다면 SaaS 서비스 업체가 정보를 숨기고 있을지 모른다는 신호로 볼 수도 있다.

SaaS 보안은 신구 기술과 접근법의 집합체이다. SaaS 보안은 필자가 처음 궁리한 클라우드 보안이었고, 이후 모든 기업의 과제였다. 하지만 다른 클라우드 보안에 비해 투자도 관심도 교육도 받지 못했다. 이 문제를 바로잡지 않으면 언젠가 대가를 치를지도 모른다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.