SaaS가 보편화 되고 있다. 아니, 이미 되었다. 사용자들은 많아지고 있고, SaaS 앱을 통해 사업적 이득을 거두고 있는 사례들도 증가하고 있다. 하지만 SaaS가 각종 보안 사고의 통로가 될 수 있다는 사실은 널리 알려지지 않고 있다.
[보안뉴스 문정후 기자] 보안 업체 앱옴니(AppOmni)에서 SaaS 생태계의 보안 현황에 대해 조사하여 보고서 형태로 발표했다. 앱옴니는 “SaaS가 처음 등장했을 때는 사용자가 그리 많지 않았지만 이제는 현대 기업 환경에서 널리 사용되고 있다”며 “SaaS 보안에 대해서 사람들이 좀 더 알아가야 할 때”임을 강조했다. 이번 조사를 위해 앱옴니는 전 세계 644개 조직에서 보안 담당자를 만나 자료를 수집했다고 밝혔다.
[이미지 = gettyimagesbank]
1. SaaS 보안의 책임, 모두에게로
SaaS 서비스의 사용자가 늘어남에 따라 보안 책임이 여러 곳으로 분산되고 있는 현상이 나타나고 있다고 앱옴니는 밝혔다. CISO는 물론 SaaS 애플리케이션을 공식으로 소유하고 있는 담당자, 실제 사용자, 사이버 보안을 담당하는 팀 모두가 어느 정도 이 보안 책임이라는 것에 발을 걸치고 있었다. “그렇다는 건 보안에 필요한 통제나 의사 결정을 누가 확실하게 해야 하느냐가 불명확해졌다는 뜻이 됩니다. 중앙에서 통제되던 컴퓨팅 인프라는 분산되어 호스팅되어 있고, 그에 따라 보안 거버넌스도 다양한 클라우드 서비스와 다양한 장치, 다양한 사용자를 아우르는 방향으로 변했습니다.”
SaaS는 조직 내 거의 모든 부서에서 쉽게 선택해 사용할 수 있는 도구가 되어가고 있고, 그렇기 때문에 IT 기업의 관리 밖에서 각자가 알아서 솔루션을 구매하게 됐다. 그랬을 때 생산성이 높아진다는 장점이 있는데, 반대로 보안의 위험성을 낮춘다는 단점도 있다. “각자가 알아서 구매하고 알아서 사용하다보니 중앙의 거버넌스라는 개념이 상대적으로 흐려질 수밖에 없지요. 이 때문에 CISO의 역할이 재정립되고 있기도 합니다. 결국 책임 소재가 불분명해지기 때문에 나타나는 현상입니다.”
현실이 이러한데 여전히 기업 내 많은 사용자들은 CISO와 보안 팀에게 사고 수습을 전담시키고 있었다고 앱옴니는 설명한다. “역할론과 거버넌스 구조가 시대의 흐름을 따라가지 못하고 있다고 할 수 있습니다. SaaS에서 무슨 일이라도 발생하면 사용자들은 여전히 CISO에게 해결을 요구하고, 사안에 따라 책임을 지라고 하기도 합니다. 이는 보안 실패만이 아니라 조직 내 갈등까지 야기합니다. CISO로서는 온전한 통제권을 가지고 있지도 않은데 책임은 그대로 유지되니 불공정하다고 느끼면서 높은 피로도를 갖게 됩니다.”
2. SaaS에 익숙한 것과 SaaS 보안 인식은 별개
위에서 언급했다시피 SaaS 앱은 이제 누구나 사용할 수 있는, 보편적인 선택지이자 도구이자 기술이 되었다. 하지만 기능성만 확산되고 있지, SaaS의 위험성에 대해서는 알려지지 않은 채 퍼져가고 있어 문제라고 앱옴니는 지적한다. “SaaS를 더 많이 활용함에 따라 워크플로우가 자동화 되고, 기능성이 확장되고, 원격 데이터 활용성도 높아지고, 협업 효과도 향상되는 등 장점들이 상당히 많이 나타나고 있습니다. 그것에 맞춰 SaaS 앱과 플랫폼들도 상호 호환성을 높이고 있어 SaaS는 더욱 편리해지고 있습니다.”
문제는 이 높아지는 호환성이라고 앱옴니는 보고서를 통해 주장한다. “SaaS가 높은 호환성을 바탕으로 오밀조밀하게 연결되기 시작했습니다. 어떤 자원이 어떤 이유로 어떤 부분에서 연결이 되어 있는지, 그 자원들은 또 어떤 것들과 연결되어 있는지를 전부 파악할 수가 없는 상황이 됐습니다. 긴밀한 연결성으로 인한 위험들에 대해 모두가 인지하지 못하고 있게 된 것이죠.”
이런 현상을 보여주는 사례들은 다음과 같다.
1) 응답자의 34%가 현재 회사에서 몇 개의 SaaS 애플리케이션을 승인하고 있는지 알지 못하고 있었다.
2) MS 365를 자주 사용하는 응답자의 49%가 MS 365에 10개 미만의 애플리케이션이 연결되어 있다고 여기고 있었다. 하지만 한 MS 365 플랫폼과 연결된 앱은 평균 1000개인 것으로 조사됐다.
이 현상을 한 마디로 줄이면 ‘가시성이 부족하다’라고 할 수 있다. 가시성이 부족하다는 건 위험성을 느끼지 못한다는 것이고, 이는 보안에 대해 엉뚱한 자신감을 갖게 한다. 엉뚱한 자신감은 보안 추가 조치를 생각지도 못하게 하거나, 회사 차원에서의 추가 조치가 있을 때 귀찮게 느끼게 만든다.
3. SaaS 보안 정책, 실효성이 의문스러워
위 2번의 마지막 부분과 연결되는 건데, 조직들은 자신들의 정책이 얼마나 광범위하고 효과적으로 실행되는지에 대해 과대평가 하려는 경향이 있는 것으로 조사됐다. 이는 정책을 집행하고 실천하는 데에도 적잖이 부정적인 영향을 가져다 주는 것으로 나타났다. “SaaS 환경에 대한 가시성 부족은 보안 정책 집행에도 영향을 미칩니다. 기업은 SaaS 애플리케이션의 사용을 규제한다고 하는데, 실제 현장에서는 마구 사용되는 게 이 때문이죠. 그러면서 위험성은 계산하기 힘들 정도로 높아지고요.”
이번 조사에서 응답자의 90%는 “회사에서 승인한 애플리케이션만 사용 가능하다”고 답했다. 하지만 34%가 “그런 정책이 있어도 사실 누구나 원하는 걸 가져다 쓴다”고 답하기도 했다. 이는 2023년에 비해 12%p 증가한 것으로, 정책을 만들어두고 현장에 적용하는 데에 적잖은 어려움이 있다는 걸 알게 해 준다. “조직에서 정식으로 승인하지 않은 SaaS 앱은 보안 검증을 거치지 않았으므로 어떤 문제를 품고 있는지 알 수 없습니다. 이게 그냥 보안 문제만 야기하는 게 아니라 산업이나 국가에서 정한 규정을 위반하는 경우로 이어질 수도 있습니다. 그러면 회사에서 어마어마한 벌금을 내게 됩니다.”
여기에 더해 승인을 한 SaaS 앱이라고 하더라도 제대로 검수와 관리를 하지 않는다는 것도 이번 조사에서 지적됐다. “기업이나 기관들은 주로 승인되지 않은 SaaS 앱을 제한하는 데 집중했었습니다. 승인만 통과되면 괜찮다는 인식을 스스로 가지고 있었던 것이죠. 그래서 승인된 앱들에 대한 보안 정책도 일관적이지 않았습니다. SaaS 앱들이 실제 현장에서 사용될 때 위험할 수 있는 중대한 이유 중 하나입니다.”
그러면서 앱옴니는 일관적인 정책 실행을 위해 다음을 수행해야 한다고 짚었다.
1) 사용해도 되는 SaaS 앱의 기준을 먼저 정하고, 이를 조직 구성원들이 알게 한다.
2) 어떤 SaaS 앱에 누가 어떤 권한을 가지고 접근할 수 있으며, 그 권한이 어떤 이유로 변경되는지 기록할 체계를 마련한다.
3) SaaS 제공 업체가 업데이트를 꾸준히 제공하는지, 사용자 추가 및 제거에 따라 정책이 변경되거나 하지는 않는지 지속적으로 모니터링 한다.
4. SaaS 앱, 승인되고 나서도 높은 신뢰를 받지 않아
SaaS 생태계에서도 굵직한 사건들이 꾸준히 일어나고 있고, 이 때문에 SaaS 앱에 대한 사용자들의 신뢰도가 하락하고 있는 것으로 나타났다. SaaS 앱에서 사고가 발생하면 거의 대부분 사용자 기업이 피해를 입는다. 시장에서의 평판과 신뢰 역시 사용자 기업이 먼저 잃는다. 보통 해커들이 공격하는 건 SaaS를 제공하는 기업이 아니라, SaaS를 사용하는 기업인 경우가 많기 때문이다. 나중에 SaaS 서비스가 취약했다는 사실이 드러나더라도 이미 시장의 관심은 멀어졌을 시기일 때가 대부분이다.
그렇다고 SaaS 앱을 개발하는 기업이 각종 보안 사고로부터 발생하는 위험에서 면역인 것은 아니다. SaaS 환경에서 사고가 나면 무엇보다 SaaS의 고객들이 그것을 기억한다. 이번 조사에서 “회사가 승인해 준 SaaS 앱의 보안 수준에 대한 신뢰도”를 묻는 항목이 있었는데, 작년 32%에서 올해 27%로 감소했다. 고객 데이터를 저장하는 특성을 가진 SaaS 앱의 경우 고객들의 신뢰도는 43%에서 32%로 낮아졌다.
재미있는 건 응답자의 24%가 “우리 회사에서는 SaaS와 관련한 보안 사고가 발생한 적이 없다”고 답했다는 것이다. 지난 해에도 비슷한 비율이 같은 응답을 했었다. “이는 SaaS 생태계에 대해서는 크게 신뢰하지 못하면서 동시에 자기 회사의 SaaS 보안 정책의 효과에 대해서는 과대평가하는 현상을 설명할 수 있는 이유 중 하나라고 봅니다. 여러 사고가 나니까 SaaS를 신뢰하지는 못하겠어, 하지만 우리 회사와는 관련 없는 일이야, 라는 생각인 겁니다. SaaS 생태계에 대한 가시성이 낮고, 보안 역할과 책임을 명확히 분산시키지 못해 나타나는 결과이기도 합니다.”
SaaS 보안 강화를 위해 앱옴니는 “민감한 데이터를 항상 추적해 위치와 사용 현황을 파악하고, 그런 데이터들을 위주로 강력한 규정을 만들어 적용하는 게 중요하다”고 권하고 있다. 또한 “애플리케이션의 패턴 자체도 지속적으로 모니터링 해야 한다”고 강조했다.
5. SaaS 검사 절차 자체의 약화
또 하나 걱정스러운 흐름이 있다면, SaaS 앱에 대한 보안성을 개발사에 지나치게 미뤄두려는 경향이 나타나고 있다는 것이었다고 앱옴니는 짚는다. “알아서 잘 하겠지, 라고 개발사 쪽에 과도하게 많은 책임을 지웁니다. 사실 개발사도 판매를 위해서 ‘우리가 다 알아서 한다’는 식으로 광고하긴 하죠. 그러면서 사용자 편에서 해야 할 일들을 다 하지 못하고 보안 구멍이 생겨납니다. SaaS 앱을 개발하는 건 개발사의 일이지만, 그것을 사용하는 조직의 입장에서 데이터, 네트워크, 법률 등 다양한 각도로 검사해야 할 필요가 있습니다.”
SaaS 기업에 지나치게 보안을 맡기는 것도 문제지만, 보안 감사 과정 자체가 지나치게 주기적이고 기계적으로 수행된다는 점도 문제라고 이번 보고서는 지적하고 있다. “한 마디로 새로운 SaaS 앱을 승인하는 과정이 너무 허술하다는 거죠. 응답자의 87%가 외부 SaaS 앱을 들여오기 위해 검사할 때, 내부 인원으로만 한다고 했습니다. 외부 감사를 아예 생각지도 않은 조직들도 꽤 많았습니다. 검사라는 게 수동적으로 변하고 있어요.”
일부 조직(8%)은 아예 SaaS 제공 업체의 초기 평판에 모든 것을 믿고 맡기기도 했다. “SaaS 회사를 믿고 있기 때문에 따로 감사를 하지 않는다는 응답자들도 있었어요. 이런 기업은 지속적인 보안 감사나 모니터링을 수행하지도 않지요. 수동 감사를 하고 있다는 응답자도 약 1/3 정도 됐는데, 수동 감사가 언뜻 들으면 꼼꼼하고 정성스러울 것 같지만 지켜야 할 규정들이 한두 가지가 아닌지라 자동 기술을 반드 시 활용해야 합니다. 따라서 지금 시대에 ‘수동으로 SaaS 앱을 감사한다’고 하면 어디선가 구멍이 날 확률이 높다는 뜻이 됩니다. 역시 개선되어야 할 부분입니다.”
6. 용어의 불확실성도 문제
각종 신기술들이 생겨나고 상용화 되고 활성화 되는 과정에서 새로운 보안 용어들도 마구 등장하고 있으며, 이는 사용자들을 깊은 혼란에 빠뜨리곤 한다. 예를 들어 SSPM이라는 용어가 있다. Software-as-a-Service Security Posture Management의 준말이다. ‘SaaS보안상태관리’ 정도로 해석할 수 있는데, 사용자들로서는 이 SSPM 솔루션이 어디서부터 어디까지 보안을 강화하거나 책임져주는지 알 수 없다. 보안 기업들 역시 저마다 정의를 달리한다. 표준이 존재하는 것도 당연히 아니다. 이 때문에 사용자 기업들은 제대로 된 보안 도구를 고를 수가 없게 된다.
이 항목과 관련하여서 다음과 같은 조사 결과가 나왔다.
1) SSPM 솔루션을 보유하고 있다고 답한 경우 : 43%
2) SIEM이 SaaS 보안 주력 도구라고 답한 경우 : 38%
3) 엔드포인트 보호 플랫폼이 SaaS 보안 주력 도구라고 답한 경우 : 38%
4) CASB/SSE가 주력 SaaS 보안 체계라고 답한 경우 : 28%
5) API 보안 관련 도구가 SaaS 보안을 담당한다고 답한 경우 : 26%
“구매자 입장에서는 어떤 솔루션이 SaaS 보안을 어떤 식으로 보장하는 데 필요한지, 아무도 명확히 답해주지 않는 느낌입니다. 실제로 기업의 SaaS 환경에 연결된 타사 앱을 어떻게 탐지하고 모니터링하는지 물었을 때, 다양한 답변이 나왔습니다. 이는 SaaS 앱을 강력하고 포괄적으로 보호하는 솔루션들에 대한 일반 사용자들의 혼란이 존재한다는 걸 시사합니다.”
7. 우선순위 결정이 어렵고 투자 수익률 설득 어려워
SaaS 보안의 인식 제고를 하든, 실제 SaaS 보안 강화를 위한 솔루션을 도입하든, SaaS 감사 절차를 엄격하게 바꾸든, 회사 입장에서는 돈이 들어갈 수밖에 없다. 보안 팀이 ‘이런 투자로 이 정도 성과를 회사가 낼 수 있다’고 입증해야 한다는 뜻이다. 딱히 SaaS가 아니더라도 보안의 고질적인 어려움이기도 하다.
이번 조사에 따르면 응답자의 69%가 향후 12개월 동안 사이버 보안 관련 지출이 증가할 것으로 예상하고 있었다. 하지만 그 이후에도 그렇게 늘어날 것인지에 대해서는 불확실하다는 답변을 했다. 19%는 SSPM을 구매하고 싶긴 한데 비용이 압박이라고 답했다. 49%는 기업이 다른 사업적 필요에 투자해야 하기 때문에 SSPM이 우선순위에서 밀린다고 말했다. 게다가 내년이라고 해서 SSPM을 구매할 만한 여건이 마련될 거라고 장담하기도 힘들다고 덧붙였다.
“사이버 보안 팀은 지출에 대한 수익률을 입증해야 하는 압박을 받고 있습니다. 인터뷰 결과에 따르면, CISO와 보안 팀은 디지털 인프라가 더욱 복잡해지고 SaaS의 범위가 확장됨에 따라 증가하는 사이버 보안 요구에 대비하고 있지만, 예산 증가는 그에 비례하지 않는 것으로 나타났습니다. 내년에도 공격 표면이 확대되겠지만, 그렇더라도 예산이 그 속도를 따라가지 못할 가능성이 큽니다.” 팀은 “더 열심히가 아닌 더 스마트하게” 지출해야 하며, 보안 프로그램에서 비용 효율성을 중시해야 한다고 앱옴니는 강조한다.
예산이나 우선순위에서 밀리고 있다면 다음과 같은 조치를 취해 경영진을 설득하는 게 가능하다고 앱옴니는 권장한다.
1) SaaS 앱에 저장된 민감 데이터의 위치를 식별
2) 그 중 비즈니스에 중요한 앱이 무엇인지 파악
3) 해당 앱이 침해됐을 때 사업 운영에 미칠 수 있는 영향의 평가
4) 이 평가 결과를 금전적으로 나타내 보고서 작성, 제출
8. SaaS 보안 책임에 대한 오해
SaaS와 클라우드는 서비스 제공자와 사용자가 공통으로 책임져야 한다는 게 보안 업계의 중론이다. 그런데 앱옴니의 이번 조사에서 이 ‘책임을 공유한다’는 개념이 크게 오해 받고 있다는 사실이 드러났다. “보통은 그냥 너도 잘하고 나도 잘하자는 맥락에서 이 개념이 적용되고 있습니다. 사실 아무런 실효가 없는 방식이죠. 클라우드 서비스 제공자나 SaaS 플랫폼, 그리고 사용자 간의 책임과 역할이 명확히 분배되고, 그것이 문서화까지 되는 게 중요한데 그 절차를 제대로 밟는 경우가 많이 없습니다.”
이는 다시 1번으로 거슬러 올라가, 조직 내 CISO와 사이버 보안 팀, IT 팀, SaaS 앱 사용자와 소유자의 책임과 역할이 명확히 정의되지 않는 것과도 연결된다. 다른 회사와 역할을 분배하는데, 정작 우리 회사 내부가 명확하지 않다면 아무 소용이 없다는 게 앱옴니의 주장이다. “이 회사와 저 회사가 책임을 나누고 공유한다는 건, 두 조직이 계속해서 접점을 유지한다는 뜻입니다. 각 회사의 담당자가 분명하게 정해져 있어야 하지요. 그 담당자들에게는 명확한 권한과 책임이 설정되어야 하고요. 이 세세한 요소들이 현재의 책임 공유론에는 무시되고 있습니다.”
그러면서 앱옴니는 포괄적 SaaS 보안 개념의 다섯 가지 요소를 다음과 같이 정리하고 있다.
1) SaaS를 통한 공격 경로 확인
2) 사업적 측면의 중요한 의사 결정권자와 보안 협력 체계 구축
3) SaaS의 활용도와 필요에 따른 보안 정책 마련 및 위협 탐지 기술 구축
4) SaaS 앱의 인증 체계와 기술, 정책을 명확히 정의
5) SaaS 환경에서 발생하는 사고에 대응하는 전략 수립
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 보안 업체 앱옴니(AppOmni)에서 SaaS 생태계의 보안 현황에 대해 조사하여 보고서 형태로 발표했다. 앱옴니는 “SaaS가 처음 등장했을 때는 사용자가 그리 많지 않았지만 이제는 현대 기업 환경에서 널리 사용되고 있다”며 “SaaS 보안에 대해서 사람들이 좀 더 알아가야 할 때”임을 강조했다. 이번 조사를 위해 앱옴니는 전 세계 644개 조직에서 보안 담당자를 만나 자료를 수집했다고 밝혔다.
[이미지 = gettyimagesbank]
1. SaaS 보안의 책임, 모두에게로
SaaS 서비스의 사용자가 늘어남에 따라 보안 책임이 여러 곳으로 분산되고 있는 현상이 나타나고 있다고 앱옴니는 밝혔다. CISO는 물론 SaaS 애플리케이션을 공식으로 소유하고 있는 담당자, 실제 사용자, 사이버 보안을 담당하는 팀 모두가 어느 정도 이 보안 책임이라는 것에 발을 걸치고 있었다. “그렇다는 건 보안에 필요한 통제나 의사 결정을 누가 확실하게 해야 하느냐가 불명확해졌다는 뜻이 됩니다. 중앙에서 통제되던 컴퓨팅 인프라는 분산되어 호스팅되어 있고, 그에 따라 보안 거버넌스도 다양한 클라우드 서비스와 다양한 장치, 다양한 사용자를 아우르는 방향으로 변했습니다.”
SaaS는 조직 내 거의 모든 부서에서 쉽게 선택해 사용할 수 있는 도구가 되어가고 있고, 그렇기 때문에 IT 기업의 관리 밖에서 각자가 알아서 솔루션을 구매하게 됐다. 그랬을 때 생산성이 높아진다는 장점이 있는데, 반대로 보안의 위험성을 낮춘다는 단점도 있다. “각자가 알아서 구매하고 알아서 사용하다보니 중앙의 거버넌스라는 개념이 상대적으로 흐려질 수밖에 없지요. 이 때문에 CISO의 역할이 재정립되고 있기도 합니다. 결국 책임 소재가 불분명해지기 때문에 나타나는 현상입니다.”
현실이 이러한데 여전히 기업 내 많은 사용자들은 CISO와 보안 팀에게 사고 수습을 전담시키고 있었다고 앱옴니는 설명한다. “역할론과 거버넌스 구조가 시대의 흐름을 따라가지 못하고 있다고 할 수 있습니다. SaaS에서 무슨 일이라도 발생하면 사용자들은 여전히 CISO에게 해결을 요구하고, 사안에 따라 책임을 지라고 하기도 합니다. 이는 보안 실패만이 아니라 조직 내 갈등까지 야기합니다. CISO로서는 온전한 통제권을 가지고 있지도 않은데 책임은 그대로 유지되니 불공정하다고 느끼면서 높은 피로도를 갖게 됩니다.”
2. SaaS에 익숙한 것과 SaaS 보안 인식은 별개
위에서 언급했다시피 SaaS 앱은 이제 누구나 사용할 수 있는, 보편적인 선택지이자 도구이자 기술이 되었다. 하지만 기능성만 확산되고 있지, SaaS의 위험성에 대해서는 알려지지 않은 채 퍼져가고 있어 문제라고 앱옴니는 지적한다. “SaaS를 더 많이 활용함에 따라 워크플로우가 자동화 되고, 기능성이 확장되고, 원격 데이터 활용성도 높아지고, 협업 효과도 향상되는 등 장점들이 상당히 많이 나타나고 있습니다. 그것에 맞춰 SaaS 앱과 플랫폼들도 상호 호환성을 높이고 있어 SaaS는 더욱 편리해지고 있습니다.”
문제는 이 높아지는 호환성이라고 앱옴니는 보고서를 통해 주장한다. “SaaS가 높은 호환성을 바탕으로 오밀조밀하게 연결되기 시작했습니다. 어떤 자원이 어떤 이유로 어떤 부분에서 연결이 되어 있는지, 그 자원들은 또 어떤 것들과 연결되어 있는지를 전부 파악할 수가 없는 상황이 됐습니다. 긴밀한 연결성으로 인한 위험들에 대해 모두가 인지하지 못하고 있게 된 것이죠.”
이런 현상을 보여주는 사례들은 다음과 같다.
1) 응답자의 34%가 현재 회사에서 몇 개의 SaaS 애플리케이션을 승인하고 있는지 알지 못하고 있었다.
2) MS 365를 자주 사용하는 응답자의 49%가 MS 365에 10개 미만의 애플리케이션이 연결되어 있다고 여기고 있었다. 하지만 한 MS 365 플랫폼과 연결된 앱은 평균 1000개인 것으로 조사됐다.
이 현상을 한 마디로 줄이면 ‘가시성이 부족하다’라고 할 수 있다. 가시성이 부족하다는 건 위험성을 느끼지 못한다는 것이고, 이는 보안에 대해 엉뚱한 자신감을 갖게 한다. 엉뚱한 자신감은 보안 추가 조치를 생각지도 못하게 하거나, 회사 차원에서의 추가 조치가 있을 때 귀찮게 느끼게 만든다.
3. SaaS 보안 정책, 실효성이 의문스러워
위 2번의 마지막 부분과 연결되는 건데, 조직들은 자신들의 정책이 얼마나 광범위하고 효과적으로 실행되는지에 대해 과대평가 하려는 경향이 있는 것으로 조사됐다. 이는 정책을 집행하고 실천하는 데에도 적잖이 부정적인 영향을 가져다 주는 것으로 나타났다. “SaaS 환경에 대한 가시성 부족은 보안 정책 집행에도 영향을 미칩니다. 기업은 SaaS 애플리케이션의 사용을 규제한다고 하는데, 실제 현장에서는 마구 사용되는 게 이 때문이죠. 그러면서 위험성은 계산하기 힘들 정도로 높아지고요.”
이번 조사에서 응답자의 90%는 “회사에서 승인한 애플리케이션만 사용 가능하다”고 답했다. 하지만 34%가 “그런 정책이 있어도 사실 누구나 원하는 걸 가져다 쓴다”고 답하기도 했다. 이는 2023년에 비해 12%p 증가한 것으로, 정책을 만들어두고 현장에 적용하는 데에 적잖은 어려움이 있다는 걸 알게 해 준다. “조직에서 정식으로 승인하지 않은 SaaS 앱은 보안 검증을 거치지 않았으므로 어떤 문제를 품고 있는지 알 수 없습니다. 이게 그냥 보안 문제만 야기하는 게 아니라 산업이나 국가에서 정한 규정을 위반하는 경우로 이어질 수도 있습니다. 그러면 회사에서 어마어마한 벌금을 내게 됩니다.”
여기에 더해 승인을 한 SaaS 앱이라고 하더라도 제대로 검수와 관리를 하지 않는다는 것도 이번 조사에서 지적됐다. “기업이나 기관들은 주로 승인되지 않은 SaaS 앱을 제한하는 데 집중했었습니다. 승인만 통과되면 괜찮다는 인식을 스스로 가지고 있었던 것이죠. 그래서 승인된 앱들에 대한 보안 정책도 일관적이지 않았습니다. SaaS 앱들이 실제 현장에서 사용될 때 위험할 수 있는 중대한 이유 중 하나입니다.”
그러면서 앱옴니는 일관적인 정책 실행을 위해 다음을 수행해야 한다고 짚었다.
1) 사용해도 되는 SaaS 앱의 기준을 먼저 정하고, 이를 조직 구성원들이 알게 한다.
2) 어떤 SaaS 앱에 누가 어떤 권한을 가지고 접근할 수 있으며, 그 권한이 어떤 이유로 변경되는지 기록할 체계를 마련한다.
3) SaaS 제공 업체가 업데이트를 꾸준히 제공하는지, 사용자 추가 및 제거에 따라 정책이 변경되거나 하지는 않는지 지속적으로 모니터링 한다.
4. SaaS 앱, 승인되고 나서도 높은 신뢰를 받지 않아
SaaS 생태계에서도 굵직한 사건들이 꾸준히 일어나고 있고, 이 때문에 SaaS 앱에 대한 사용자들의 신뢰도가 하락하고 있는 것으로 나타났다. SaaS 앱에서 사고가 발생하면 거의 대부분 사용자 기업이 피해를 입는다. 시장에서의 평판과 신뢰 역시 사용자 기업이 먼저 잃는다. 보통 해커들이 공격하는 건 SaaS를 제공하는 기업이 아니라, SaaS를 사용하는 기업인 경우가 많기 때문이다. 나중에 SaaS 서비스가 취약했다는 사실이 드러나더라도 이미 시장의 관심은 멀어졌을 시기일 때가 대부분이다.
그렇다고 SaaS 앱을 개발하는 기업이 각종 보안 사고로부터 발생하는 위험에서 면역인 것은 아니다. SaaS 환경에서 사고가 나면 무엇보다 SaaS의 고객들이 그것을 기억한다. 이번 조사에서 “회사가 승인해 준 SaaS 앱의 보안 수준에 대한 신뢰도”를 묻는 항목이 있었는데, 작년 32%에서 올해 27%로 감소했다. 고객 데이터를 저장하는 특성을 가진 SaaS 앱의 경우 고객들의 신뢰도는 43%에서 32%로 낮아졌다.
재미있는 건 응답자의 24%가 “우리 회사에서는 SaaS와 관련한 보안 사고가 발생한 적이 없다”고 답했다는 것이다. 지난 해에도 비슷한 비율이 같은 응답을 했었다. “이는 SaaS 생태계에 대해서는 크게 신뢰하지 못하면서 동시에 자기 회사의 SaaS 보안 정책의 효과에 대해서는 과대평가하는 현상을 설명할 수 있는 이유 중 하나라고 봅니다. 여러 사고가 나니까 SaaS를 신뢰하지는 못하겠어, 하지만 우리 회사와는 관련 없는 일이야, 라는 생각인 겁니다. SaaS 생태계에 대한 가시성이 낮고, 보안 역할과 책임을 명확히 분산시키지 못해 나타나는 결과이기도 합니다.”
SaaS 보안 강화를 위해 앱옴니는 “민감한 데이터를 항상 추적해 위치와 사용 현황을 파악하고, 그런 데이터들을 위주로 강력한 규정을 만들어 적용하는 게 중요하다”고 권하고 있다. 또한 “애플리케이션의 패턴 자체도 지속적으로 모니터링 해야 한다”고 강조했다.
5. SaaS 검사 절차 자체의 약화
또 하나 걱정스러운 흐름이 있다면, SaaS 앱에 대한 보안성을 개발사에 지나치게 미뤄두려는 경향이 나타나고 있다는 것이었다고 앱옴니는 짚는다. “알아서 잘 하겠지, 라고 개발사 쪽에 과도하게 많은 책임을 지웁니다. 사실 개발사도 판매를 위해서 ‘우리가 다 알아서 한다’는 식으로 광고하긴 하죠. 그러면서 사용자 편에서 해야 할 일들을 다 하지 못하고 보안 구멍이 생겨납니다. SaaS 앱을 개발하는 건 개발사의 일이지만, 그것을 사용하는 조직의 입장에서 데이터, 네트워크, 법률 등 다양한 각도로 검사해야 할 필요가 있습니다.”
SaaS 기업에 지나치게 보안을 맡기는 것도 문제지만, 보안 감사 과정 자체가 지나치게 주기적이고 기계적으로 수행된다는 점도 문제라고 이번 보고서는 지적하고 있다. “한 마디로 새로운 SaaS 앱을 승인하는 과정이 너무 허술하다는 거죠. 응답자의 87%가 외부 SaaS 앱을 들여오기 위해 검사할 때, 내부 인원으로만 한다고 했습니다. 외부 감사를 아예 생각지도 않은 조직들도 꽤 많았습니다. 검사라는 게 수동적으로 변하고 있어요.”
일부 조직(8%)은 아예 SaaS 제공 업체의 초기 평판에 모든 것을 믿고 맡기기도 했다. “SaaS 회사를 믿고 있기 때문에 따로 감사를 하지 않는다는 응답자들도 있었어요. 이런 기업은 지속적인 보안 감사나 모니터링을 수행하지도 않지요. 수동 감사를 하고 있다는 응답자도 약 1/3 정도 됐는데, 수동 감사가 언뜻 들으면 꼼꼼하고 정성스러울 것 같지만 지켜야 할 규정들이 한두 가지가 아닌지라 자동 기술을 반드 시 활용해야 합니다. 따라서 지금 시대에 ‘수동으로 SaaS 앱을 감사한다’고 하면 어디선가 구멍이 날 확률이 높다는 뜻이 됩니다. 역시 개선되어야 할 부분입니다.”
6. 용어의 불확실성도 문제
각종 신기술들이 생겨나고 상용화 되고 활성화 되는 과정에서 새로운 보안 용어들도 마구 등장하고 있으며, 이는 사용자들을 깊은 혼란에 빠뜨리곤 한다. 예를 들어 SSPM이라는 용어가 있다. Software-as-a-Service Security Posture Management의 준말이다. ‘SaaS보안상태관리’ 정도로 해석할 수 있는데, 사용자들로서는 이 SSPM 솔루션이 어디서부터 어디까지 보안을 강화하거나 책임져주는지 알 수 없다. 보안 기업들 역시 저마다 정의를 달리한다. 표준이 존재하는 것도 당연히 아니다. 이 때문에 사용자 기업들은 제대로 된 보안 도구를 고를 수가 없게 된다.
이 항목과 관련하여서 다음과 같은 조사 결과가 나왔다.
1) SSPM 솔루션을 보유하고 있다고 답한 경우 : 43%
2) SIEM이 SaaS 보안 주력 도구라고 답한 경우 : 38%
3) 엔드포인트 보호 플랫폼이 SaaS 보안 주력 도구라고 답한 경우 : 38%
4) CASB/SSE가 주력 SaaS 보안 체계라고 답한 경우 : 28%
5) API 보안 관련 도구가 SaaS 보안을 담당한다고 답한 경우 : 26%
“구매자 입장에서는 어떤 솔루션이 SaaS 보안을 어떤 식으로 보장하는 데 필요한지, 아무도 명확히 답해주지 않는 느낌입니다. 실제로 기업의 SaaS 환경에 연결된 타사 앱을 어떻게 탐지하고 모니터링하는지 물었을 때, 다양한 답변이 나왔습니다. 이는 SaaS 앱을 강력하고 포괄적으로 보호하는 솔루션들에 대한 일반 사용자들의 혼란이 존재한다는 걸 시사합니다.”
7. 우선순위 결정이 어렵고 투자 수익률 설득 어려워
SaaS 보안의 인식 제고를 하든, 실제 SaaS 보안 강화를 위한 솔루션을 도입하든, SaaS 감사 절차를 엄격하게 바꾸든, 회사 입장에서는 돈이 들어갈 수밖에 없다. 보안 팀이 ‘이런 투자로 이 정도 성과를 회사가 낼 수 있다’고 입증해야 한다는 뜻이다. 딱히 SaaS가 아니더라도 보안의 고질적인 어려움이기도 하다.
이번 조사에 따르면 응답자의 69%가 향후 12개월 동안 사이버 보안 관련 지출이 증가할 것으로 예상하고 있었다. 하지만 그 이후에도 그렇게 늘어날 것인지에 대해서는 불확실하다는 답변을 했다. 19%는 SSPM을 구매하고 싶긴 한데 비용이 압박이라고 답했다. 49%는 기업이 다른 사업적 필요에 투자해야 하기 때문에 SSPM이 우선순위에서 밀린다고 말했다. 게다가 내년이라고 해서 SSPM을 구매할 만한 여건이 마련될 거라고 장담하기도 힘들다고 덧붙였다.
“사이버 보안 팀은 지출에 대한 수익률을 입증해야 하는 압박을 받고 있습니다. 인터뷰 결과에 따르면, CISO와 보안 팀은 디지털 인프라가 더욱 복잡해지고 SaaS의 범위가 확장됨에 따라 증가하는 사이버 보안 요구에 대비하고 있지만, 예산 증가는 그에 비례하지 않는 것으로 나타났습니다. 내년에도 공격 표면이 확대되겠지만, 그렇더라도 예산이 그 속도를 따라가지 못할 가능성이 큽니다.” 팀은 “더 열심히가 아닌 더 스마트하게” 지출해야 하며, 보안 프로그램에서 비용 효율성을 중시해야 한다고 앱옴니는 강조한다.
예산이나 우선순위에서 밀리고 있다면 다음과 같은 조치를 취해 경영진을 설득하는 게 가능하다고 앱옴니는 권장한다.
1) SaaS 앱에 저장된 민감 데이터의 위치를 식별
2) 그 중 비즈니스에 중요한 앱이 무엇인지 파악
3) 해당 앱이 침해됐을 때 사업 운영에 미칠 수 있는 영향의 평가
4) 이 평가 결과를 금전적으로 나타내 보고서 작성, 제출
8. SaaS 보안 책임에 대한 오해
SaaS와 클라우드는 서비스 제공자와 사용자가 공통으로 책임져야 한다는 게 보안 업계의 중론이다. 그런데 앱옴니의 이번 조사에서 이 ‘책임을 공유한다’는 개념이 크게 오해 받고 있다는 사실이 드러났다. “보통은 그냥 너도 잘하고 나도 잘하자는 맥락에서 이 개념이 적용되고 있습니다. 사실 아무런 실효가 없는 방식이죠. 클라우드 서비스 제공자나 SaaS 플랫폼, 그리고 사용자 간의 책임과 역할이 명확히 분배되고, 그것이 문서화까지 되는 게 중요한데 그 절차를 제대로 밟는 경우가 많이 없습니다.”
이는 다시 1번으로 거슬러 올라가, 조직 내 CISO와 사이버 보안 팀, IT 팀, SaaS 앱 사용자와 소유자의 책임과 역할이 명확히 정의되지 않는 것과도 연결된다. 다른 회사와 역할을 분배하는데, 정작 우리 회사 내부가 명확하지 않다면 아무 소용이 없다는 게 앱옴니의 주장이다. “이 회사와 저 회사가 책임을 나누고 공유한다는 건, 두 조직이 계속해서 접점을 유지한다는 뜻입니다. 각 회사의 담당자가 분명하게 정해져 있어야 하지요. 그 담당자들에게는 명확한 권한과 책임이 설정되어야 하고요. 이 세세한 요소들이 현재의 책임 공유론에는 무시되고 있습니다.”
그러면서 앱옴니는 포괄적 SaaS 보안 개념의 다섯 가지 요소를 다음과 같이 정리하고 있다.
1) SaaS를 통한 공격 경로 확인
2) 사업적 측면의 중요한 의사 결정권자와 보안 협력 체계 구축
3) SaaS의 활용도와 필요에 따른 보안 정책 마련 및 위협 탐지 기술 구축
4) SaaS 앱의 인증 체계와 기술, 정책을 명확히 정의
5) SaaS 환경에서 발생하는 사고에 대응하는 전략 수립
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
