막상 클라우드 시장에서 아무런 영향력 없는 보안인들
미룰수록 나중에 치러야할 대가가 더욱 커질 것으로 예상

[보안뉴스 주소형] 클라우드 보안의 민낯이 여실히 드러났다. 모두들 클라우드 보안의 중요성에 대해 강조하는 듯 보였지만 현황은 민망한 수준이었다. 일단 다양한 산업군의 전문가들은 클라우드 보안에 대한 책임이 모두에게 있다는 데까지는 동의했다. 여기서 모두는 클라우드 제공업체는 물론 이를 사용하는 비즈니스 및 사용자 모두 포함이다. 다만 그 책임을 어떻게 나눌 것인지에 대해서는 타결점을 찾지 못하고 있었던 상황.

이에 글로벌 보안컨설팅 전문업체인 포네몬(Ponemon)사가 아머 디펜스(Armor Defense)사의 후원을 받아 IT 관련 기업 및 IT와는 관계 없는 기업 임원 990명을 대상으로 클라우드 보안에 대한 설문을 진행하여 보고서를 발간했다. 그런데 클라우드 보안 실태는 예상보다 심각했다.



먼저 응답자의 16%는 클라우드 기반의 애플리케이션 보안에 대한 책임을 다 같이 공유해야 한다는 개념을 이해하지 못하고 있었다. 전적으로 클라우드 제공업체의 책임이라고 답한 이들의 비중은 31%, 비즈니스 엔드유저가 가장 책임이 높다고 답한 이는 20%로 집계됐다. 클라우드에 저장되어 있는 기업 정보보안에 대한 책임은 애초에 클라우드나 네트워크 보안 기술을 개발하고 있는 IT 기업이 가장 크다고 생각하는 응답자는 15% 수준으로 나타났다.

IT 기업에 책임을 묻는 건 결국 클라우드 제공업체나 엔드유저나 기술을 주도적으로 개발하는 사람들이 애초에 잘못 만들기 때문에 피해를 본다는 의견인 건데, 이 클라우드 보안에 대한 IT 기업들의 역할을 놓고 IT 업계와 기타 업계 응답자 간의 의견 차이가 컸다. IT 업계가 아닌 응답자 가운데 25%가 클라우드 보안은 기술기업들이 주도적으로 이끌어야 한다고 생각하고 있다고 한 것에 반해 그들과 같은 생각을 하고 있는 IT 업계 응답자의 비중은 13%에 불과했다.

해당 설문조사를 통해 드러난 사실은 기업이 사용할 클라우드 서비스를 선정하고 조사하는 과정에서 마땅히 비중 높은 역할을 해야 하는 IT 부서나 정보보안 부서가 전혀 개입을 못하고 있다는 것이다. 실제로 전체 응답자의 무려 62%가 그들의 정보보안 부서가 클라우드 관련된 업무에 전혀 관여하지 않는다고 답했다. 이는 보안이 중요하다고 생각만 하고 실제로 행동은 하지 않는 사람들의 태도가 드러나는 일면이다.

사실 이는 이번 설문에서 아주 노골적으로 드러나긴 했다. 클라우드 애플리케이션 및 인프라를 따로 점검하지 않는다고 답한 응답자가 50% 이상이었던 것이다. 또한, 해외 클라우드 업체나 다른 주의 업체, 즉 치외법권의 클라우드 서비스를 사용할 때, 굳이 해당 업체가 어떤 표준을 어떻게 지키고 있는지, 어떤 정책을 적용하고 있는지 확인하지 않는다는 응답자는 52%였다. 클라우드 내 보관되고 있는 데이터를 보호하기 위해 보안 툴을 따로 사용한다는 응답자는 40%도 되지 않았다. 클라우드에 호스팅 된 데이터를 검사할 수 있는 능력을 갖추고 있는 응답자는 22%에 불과했다.

“클라우드 데이터 및 관련 서비스 보안에 대한 관심은 날로 높아지고 있지만 그에 대한 대책을 강구하고 있는 이들은 거의 없는 것으로 드러났다. 아직 대부분의 기업들은 보안에 돈 쓰는 걸 무척 아까워한다.” 아머(Armor)사의 부사장인 웨인 레이놀즈(Wayne Reynolds)가 말했다. “설문지를 정리하면서 정말 놀랐다. 애초에 사람들이 클라우드 보안이 큰 이슈라는 데 동의하고 있다는 것조차 의심스럽다. 보안에 투자할 생각이 전혀 없는 이들이 절반이 넘었다.”

클라우드가 아무리 업무 환경 향상에 기여를 해도 기업들은 편리함만 누리고 그에 대한 책임은 회피하고 있는 상황이라고 레이놀즈는 지적했다. “클라우드 시장에 이러한 보안 개념 부재 때문에 추후 치러야 할 대가가 더 커진다는 것을 기억해야 한다.”



Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>