[디지털데일리 최민지기자] 15일 카스퍼스키랩에 따르면 클라우드 서비스를 이용하는 10개 기업 중 7곳이 보안사고에 대한 확실한 대응을 마련하지 않은 것으로 조사됐다. 또, 47%의 기업이 클라우드 제공업체로 인한 데이터 손실 위험에 직면했다.

최근 많은 기업에서 급격하게 증가하는 서비스와 애플리케이션의 데이터를 관리하는 데 난항을 겪고 있다. 이는 클라우드 기반 서비스가 빠르게 도입되는 데 반해 명확하게 정의된 보안 전략이 미흡하다는 점이 맞물려 발생하는 문제로 보인다.

카스퍼스키랩의 최근 연구에 따르면 35%에 이르는 기업이 어떤 정보가 자사 서버 또는 클라우드 제공업체 등 어디에 보관돼 있는지 잘 모르고 있었다. 이로 인해 데이터 보호 및 책임 관리가 어려워지고 데이터 무결성이 위험에 처하며 보안과 비용에 잠재적으로 심각한 피해를 초래할 수 있다.

클라우드 서비스를 사용하면 기업은 유지보수나 막대한 비용에 대한 부담 없이 핵심 기술을 활용해 일상적인 운영 작업을 수행하고 비즈니스 성장을 위한 계획을 뒷받침할 수 있다.

기업의 78%는 이미 SaaS(서비스형 소프트웨어) 기반 플랫폼을 하나 이상 사용하고 있으며, 75% 기업은 향후 더 많은 애플리케이션을 클라우드로 이전할 계획이다. IaaS(서비스형 인프라)의 경우 49%의 대기업과 45%의 중소기업이 IT 인프라 및 프로세스의 타사 아웃소싱을 고려하고 있다.

그러나 정보 보안에 대한 전략도 마련하지 않고 클라우드 서비스를 이용하는 바람에 도입 과정의 신속성, 매력적인 비용 및 운영비 절감이라는 장점이 상당수의 조직에서 도리어 보안에 악영향을 미치기도 한다.

클라우드에 보관된 데이터는 사실상 보안 책임 소재가 불확실하다. 실제로 카스퍼스키랩의 연구에 따르면 SaaS 및 클라우드 서비스 공급업체를 이용하는 기업 70%는 자사 파트너에게 피해를 줄 수도 있는 보안 사고에 대해 확실한 대응 계획이 마련돼 있지 않았다.

이들 기업의 25%는 서비스 제공업체의 규제 준수 인증을 확인도 하지 않았다. 문제가 발생할 경우 클라우드 서비스 제공업체에서 수습할 것이라고 막연히 믿는 것이다.

기업의 42%는 클라우드 서비스 제공업체가 여러 보안 사고에 대해 적절한 보호 조치가 이뤄지지 않는다고 생각하며, 지난 1년간 외부 업체에서 호스팅되는 IT 인프라에서 보안 사고를 경험한 기업이 약 24%에 달한다. 전반적인 보안을 클라우드 제공업체에만 의존하는 것은 위험한 방식이다.

클라우드를 도입하는 기업에 정보 보안에 대한 계획 및 책임이 결여돼 있으면 기업에 심각한 피해가 발생할 수 있다. 여러 기업이 클라우드 관련 보안 사고로 인해 평균 120만달러의 금전적 피해를 입고 있으며 중소·중견기업(SMB)의 경우에는 그 피해액이 10만달러에 이른다.

외부 클라우드 제공업체의 사고로 인해 데이터 침해가 발생했을 때 가장 많이 피해를 입을 수 있는 데이터 유형 3가지로는 ▲고도로 민감한 고객 정보(SMB 40%, 대기업 49% 경험) ▲직원 관련 기본 정보(SMB 36%, 대기업 35% 경험) ▲이메일 및 내부 커뮤니케이션(SMB 35%, 대기업 31% 경험)이 있다.

카스퍼스키랩 측은 “보안 위협을 방어하기 위해서는 기업이 직접 클라우드 인프라 내에서 발생하는 이상 징후를 찾아내야 하며, 이는 기계 학습 및 행동 분석을 포함한 여러 기술의 조합을 통해 가능하다”며 “알려지지 않은 보안위협을 식별 및 방어하는 이러한 기능은 클라우드 인프라 보안에 반드시 필요한 요소며, 이를 통해 기업이 데이터 보관 장소뿐 아니라 현재 보호 상태가 보안 정책을 충족하는지 여부도 알 수 있다”고 말했다.

<최민지 기자>cmj@ddaily.co.kr