가트너에 따르면, 2019년 전 세계 퍼블릭 클라우드 서비스 시장 규모가 전년보다 17.5% 성장한 2143억달러(한화 약 243조원)에 이를 것이라고 전망했다. 한국 퍼블릭 클라우드 서비스 시장 규모는 2조3428억원으로 전망했다.

이같은 클라우드 성장 속도와 비례해, 클라우드 보안 체계를 확립해야 한다는 보안업계의 조언이 잇따르고 있다. 클라우드 도입 시 ‘보안’을 우선으로 고려해야 한다는 지적이다. 클라우드 보안 사고는 클라우드서비스사업자(CSP)가 전적으로 책임지지 않기 때문이다. 따라서 클라우드를 사용하면서 발생한 피해와 책임 상당부분은 기업이 떠안을 수도 있다.

실제로 국내 뿐만 아니라 전세계적으로도 클라우드 사고시 적용되는 손해배상 보험 등 구제장치가 상대적으로 크게 부족한 실정이다. 클라우드 장애사고로 인해 이용 기업들 또는 이용자에게 손해가 발생해 배상을 하게 된다고 하더라도, 배상금액이 체감적으로 시장을 만족시킬 수 있을지는 미지수다.

클라우드 사고 사례는 아니지만 과거 전산시스템 장애로 인해 증권사의 HTS시스템이 불통에 빠져 제때 트레이딩을 못한 고객들이 소송을 제기했으나 실제로 손해를 입증하고, 손해액을 산정하는 것은 쉽지않았다. 또한 사회를 떠들썩하게 했던 전산사고도 고객 1인당 손해배상액이 고작 몇 백원, 몇 천원에 불과한 사례도 있었다. 결국 현실적으로 클라우드 사고가 발생하지 않도록 보안을 강화하는 것이 원천적이고 가장 현실적인 대책이다.

클라우드 기업들은 보안을 강점을 내세우고 있다. 하지만 클라우드 보안사고는 이미 우리보다 클라우드 도입에 한 발 앞선, 전 세계 곳곳에서 일어나고 있다. 올해 1월 애플리케이션 개발사 블러의 클라우드 환경설정 오류로 240만명의 사용자 정보가 유출됐다.

또 작년 6월 혼다의 클라우드 보안사고로 무인차량 이용자 5만명의 정보가 유출됐으며, 같은 달 유니버셜 그룹의 FTP·SQL 및 AWS 접속 정보가 유출됐다. 그 해 2월에는 페덱스의 클라우드 보안 사고로 12만명의 개인정보가 유출됐다. 이밖에 미국 국방부, 버라이즌, 미국 공화당, 다우존스 등 클라우드 보안 사고는 끊이질 않고 있다.

이러한 가운데 국내에서는 클라우드 보안사고 시 책임소재에 대해서도 법적으로 불분명한 상태다. 보안업계 관계자는 “올해 초 금융보안원이 발표한 금융 분야 클라우드 컴퓨팅 서비스 이용 가이드라인에 책임소재 관련한 내용이 있으나, 자세히 들여다보면 명시적으로 책임을 나누기 어렵다”며 “정부에서도 CSP 사업자들과 보안사고 책임 소재에 대해 논의하고 있는 것으로 알고 있으나, 쉽지는 않은 것으로 보인다”고 전했다.

이에 CSP들은 사용자와 CSP 간의 책임 범위를 나누는 ‘책임공유모델’을 내세우고 있다. CSP가 제공한 보안 기능을 사용자가 설정하는 구조다.

아마존웹서비스(AWS)는 ‘커스토머 어그리먼트’를 통해 클라우드 이용약관 상 보안설정 미흡에 의한 책임은 사용자에게 귀책하고 있다. 또 특정 사용자의 해킹 의심행위가 발생할 경우, AWS는 해당 고객에게 이를 통지하고 사유가 적절치 않을 경우 사용을 차단한다. 마이크로소프트(MS) 애저와 구글 클라우드 모두 비슷한 방향의 책임공유모델을 가지고 있다.

따라서 지금 당장 클라우드를 도입하려는 기업들은 최소한 CSP가 제공하는 보안 기능을 준수해야 한다. 하지만 CSP가 제공하는 보안 기능을 자사의 환경과 사업특성에 맞게 적용하고, 규제를 준수하는 것은 기업의 몫이다.

보안업계 관계자는 “기업들은 자사의 환경에 맞춰 CSP가 제공하는 보안 네이티브 API를 활용해야 한다”며 “어떻게 적용하면 각종 컴플라이언스(규제)와 국내 보안 기준에 준수할 수 있는지 고민해야 하며, 이 점이 어려울 경우 써드파티 사업자들에게 맡기는 방법이 있다”고 설명했다.

한편 과기부와 정보통신산업진흥원(NIPA)가 발간한 '2018 클라우드산업 실태조사'에 따르면, 클라우드 산업 발전 및 경쟁력 강화를 위해 국내에서 가장 시급하게 개발돼야 하는 기술 1순위로 보안기술(44.6%)이 가장 높게 나타났다.

<홍하나 기자>hhn0626@ddaily.co.kr