[설문조사] 설문 응답 조직의 17.9%는 클라우드 보안 사고 경험... 사고의 1/3은 ‘설정 오류’ 때문
클라우드 보안 솔루션 집중분석: 모니터랩, 펜타시큐리티
[보안뉴스 원병철 기자] 최근 시장조사기관 IDS의 ‘한국 퍼블릭 클라우드 시장’ 보고서에 따르면 절대 강자 AWS를 제외한 나머지 기업의 점유율 순위가 뒤바뀌었다. 특히 한국 기업들의 성장이 눈부셨는데, 삼성SDS가 마이크로소프트를 제치고 2위로 올랐고, 3위인 마이크로소프트 다음으로 네이버가 이름을 올렸다. 또한 KT도 5위로 올라섰다. 공공과 민간 모두 클라우드 사용이 본격적으로 확대되면서, 글로벌 기업 중심으로 돌아가던 클라우드 시장이 변화하고 있는 것이다. 문제는 클라우드 보안에 대한 관심은 적다는 점이다.

[출처: AI 생성 이미지]
클라우드 보안 이슈 대부분 설정 실수나 사용자 문제로 발생
국내 클라우드 시장이 빠르게 성장하고 빠르게 변화하고 있다. IDC의 ‘Korea Public Cloud Services Market, 2025 and Beyond’ 보고서에 따르면, 2024년 국내 퍼블릭 클라우드 시장은 전년 대비 23.4% 성장해 6조2000억원 가량의 시장 규모를 형성했다. PaaS(Platform as a Service) 시장이 39.5%로 가장 큰 성장세를 보였으며, IaaS(Infrastructure as a Service)는 26.8%, SaaS(Software as a Service)는 15.8%의 성장률을 기록했다.
이러한 성장과 변화의 중심에는 정부의 강력한 클라우드 정책이 있다. ‘클라우드 네이티브 전환’과 ‘공공 AI 기반 마련’이라는 두 축을 중심으로, 2030년까지 대부분의 공공 정보시스템을 클라우드 네이티브로 전환하고, 공공부문의 AI 전환(AX: AI Transformation)을 민간 클라우드 서비스를 이용해 안착하려는 계획을 세우고 있다. 특히 AX의 경우 민간에서도 주목하고 있다. 기업의 AI 활용 수준이 고도화되면서 AI 집약 워크로드가 빠르게 증가하고 있기 때문이다. GPU나 TPU 같은 고성능 연산 인프라 수요를 포함해 대규모 데이터 처리를 가능하게 하는 고속 스토리지와 네트워크 인프라에 대한 수요도 동반 상승하고 있다는 평가도 있다.
이러한 변화는 국내뿐만이 아니다. 글로벌 클라우드 시장 역시 높은 성장률을 보인다. 그랜드뷰리서치(Grand View Research)의 ‘글로벌 클라우드 컴퓨팅 시장 보고서’에 따르면, 전 세계 클라우드 컴퓨팅 시장은 약 1조1881억 달러 규모로, 특히 2026년 1조달러를 넘어설 것으로 예측된다.
공공 클라우드 확대와 AI
실제로 한국의 클라우드 시장은 AI를 구동하기 위한 강력한 GPU 인프라(PaaS) 확보와 업무 자동화를 위한 AI 네이티브 소프트웨어(SaaS)의 확산으로 고도화 시기를 지나는 것으로 알려졌다.
모니터랩은 “최근 발표된 정부 조사 결과에 따르면, 2025년 클라우드 시장 규모는 전년 대비 25.2% 증가하며 사상 처음으로 9조원을 넘어섰다”면서, “양적인 성장도 중요하지만, 시장 확대를 이끈 주요 동인이 결국 ‘SaaS와 생성형 AI의 수요 확대’라는 점에 주목할 필요가 있다”고 설명했다.
예를 들면, LLM 및 기업 맞춤형 AI 인프라 구축 수요가 급증하면서, 이를 안정적으로 구동하기 위한 GPU 인프라 중심의 PaaS 수요가 시장 성장을 주도하고 있다. 또한 단순한 질의응답형 챗봇 수준을 넘어, 기업 내부 데이터와 연동되어 특정 업무를 주도적으로 수행하려는 자율형 ‘AI 에이전트’ 기반 SaaS의 도입 시도가 현업을 중심으로 본격화되고 있다고 모니터랩은 설명했다. 결국 AI가 기업의 보조 도구가 아니라 핵심 인프라로 자리 잡으면서, 앞으로의 클라우드 시장의 성장 전망도 밝다고 볼 수 있다는 판단이다.
“보안 기업의 관점에서 이러한 클라우드 시장의 질적 고도화는 매우 고무적입니다. 보안 역시 과거 온프레미스 환경 중심의 레거시 보안에서 클라우드 기반의 SECaaS(Security as a Service)로의 패러다임 전환과 맞물리는 최적의 타이밍이라 할 수 있습니다. 클라우드 시장이 성장할수록 보안 역시 클라우드 환경에 기민하게 대응할 수 있는 SECaaS에 대한 수요가 높아질 수밖에 없기 때문입니다.”
실제 현업에서 느끼는 시장 상황도 크게 달라졌다고 업계에서는 이야기한다. N2SF(국가 망 보안체계)나, 금융당국의 망 분리 규제 완화 조치 등이 맞물리면서, 그동안 닫혀있던 공공 및 금융권이 클라우드 서비스를 도입할 수 있는 환경이 조성되기 시작했다는 것이다. ‘공공·금융=온프레미스’라는 공식이 깨지면서 SECaaS에 대한 실질적인 관심도 높아지고 있다. 이러한 시장 변화 역시 단순한 규제 완화를 넘어 국내 클라우드 보안 생태계 전반의 질적 전환을 이끄는 기폭제가 될 것이라는 판단이다.
로그프레소는 “한국 기업들의 약진은 단순한 점유율 변동이 아닌 한국 클라우드 시장의 구조 전환을 보여주는 신호”라면서, “망 분리로 대표되던 물리적 통제 중심의 한국 보안 규제가 개편되면서 그동안 막혀있던 공공과 금융의 클라우드와 AI 도입 빗장이 풀리고 있다”고 설명했다. 특히 정부가 공공 클라우드 전환율을 2030년까지 90%로 끌어올리겠다고 선언하면서, 이 수요를 받아낼 1차 후보가 국내 규제와 데이터 요건에 최적화된 국산 CSP라는 설명이다.

▲국내외 대표 클라우드 보안 솔루션 [출처: 각 사 제공, 정리: 보안뉴스·시큐리티월드]
사용자가 늘어난 만큼 보안 위협도 늘어나
문제는 성장세만큼이나 보안 위협도 늘고 있다는 사실이다.
2025년 말 전 세계 최대 AI·LLM 오픈소스 플랫폼 ‘허깅페이스’(Hugging Face)의 특정 ‘스페이스’(Spaces) 개발 환경에서 보안 승인 토큰이 외부로 유출되는 사고가 발생했다. 이번 사건으로 개발자가 클라우드 환경 설정 과정에서 API 시크릿 키와 토큰을 실수로 노출했고, 이를 탐지한 공격자들이 접근권을 획득했다. 이로 인해 플랫폼에 호스팅된 일부 기업들의 비공개 AI 모델과 미공개 소스코드가 노출될 위험에 처했지만, 허깅페이스가 빠르게 유출된 토큰을 무효화하고 대대적인 비밀번호 재설정을 진행해 큰 문제는 막았다.
국내에서는 한 온라인 쇼핑몰 플랫폼이 이용하는 글로벌 CSP의 클라우드 데이터 스토리지가 퍼블릭 오픈된 상태로 방치돼 수백만건의 고객 주문 내역과 개인정보가 다크웹에 유출된 사고가 있었다.
클라우드 분야의 해킹 및 사건·사고는 대부분 클라우드 사업자를 노린 공격이 아닌 클라우드 사용자를 노린 공격이다. 외부 공격으로 임직원의 PC가 해킹돼 클라우드 계정 정보가 유출되거나 개발자의 실수로 자료가 공개되는 경우가 대부분이다. 그만큼 클라우드 보안에 대한 관심이 부족하다는 반증이다.
테이텀은 이와 관련 “클라우드 보안이라는 독립된 주제를 제대로 다루는 것부터가 시급하다”고 지적했다. 클라우드 보안을 해야겠다는 생각보다는 여전히 ISMS-P와 같은 감사 중심의 보안을 하게되는 기업 입장에서는 클라우드 네이티브한 환경의 보안을 제대로 다루는 것이 집중력의 분산으로 다가온다는 설명이다.
“실제로 현장에서 고객의 클라우드 보안 태세를 점검하면, 이름있는 회사들도 굉장히 취약한 경우가 많습니다. 때문에 우선 아키텍처 점검에서부터 당장 할 수 있는 설정 점검을 빠르게 하는 것이 중요합니다. 그 이후에 클라우드 보안에 필요한 스택을 하나씩 쌓아가면 됩니다.”
로그프레소도 “최근의 대형 유출 사고들은 클라우드 보안의 약한 고리가 기술 자체가 아니라 운영 체계에 있다는 점을 보여준다”면서, “실제 사고의 대부분은 새로운 공격 기법이 아니라 설정 오류, 과도한 권한, 방치된 인증 키 같은 잘못된 환경 구성에서 시작된다”고 짚었다.
“시급한 과제는 두 가지입니다. 우선 운영 사각지대를 해소해야 합니다. 멀티 클라우드와 SaaS 확산으로 자산과 계정이 여러 환경에 흩어진 만큼, 자산·설정·권한의 상태를 실시간으로 가시화해 설정 오류가 사고로 번지기 전에 포착할 수 있어야 합니다. 둘째는 개발부터 운영·배포까지 전 과정에 보안이 통합되는 구조입니다. 클라우드 환경에서는 인프라가 곧 코드이므로, 보안도 사후 점검이 아니라 개발 단계부터 함께 움직여야 합니다. 결국 클라우드 보안의 시급한 과제는 새 도구를 추가하는 일이 아니라, 흩어진 신호를 한곳에 모아 개발과 운영을 관통하는 통합 가시성을 확보하는 일입니다.”

▲국내외 보안 기업의 클라우드 보안 솔루션 구축 사례 [출처: 각 사 제공, 정리: 보안뉴스·시큐리티월드]
IaaS 중심에서 PaaS+SaaS로... CNAPP의 약진과 또 다른 진화
인프라(IaaS) 중심으로 성장하던 클라우드 시장이 PaaS와 SaaS가 결합된 형태로 개편되고 있다. 이를 보안 측면에서 보면, 기존 네트워크 중심의 인프라 보안에서, 클라우드 서비스 안에서 움직이는 애플리케이션과 데이터까지 깊숙하게 들여다봐야 하는 상황으로 변화한 것이라 할 수 있다.
이에 대해 모니터랩은 “Firewall, IPS와 같은 네트워크 인프라 보안에서, WAF, API Protection, Bot Detection, CASB, SSPM과 같은 애플리케이션과 데이터 자체를 보호하는 보안 제품에 대한 수요가 높아지고 있다”라면서, “특히 AX는 이런 흐름을 가속하고 있는데, 산업 전반에 생성형 AI 활용 빈도가 높아지면서, 생성형 AI의 도입과 활용을 기업 차원에서 통제하고 관리하고자 하는 ‘GenAI Security’에 대한 관심도 급격히 증가하고 있다”고 설명했다.
CNAPP(클라우드 네이티브 애플리케이션 보호 플랫폼)의 약진에 대해서도 관심이 쏠린다. 클라우드 보안 시장이 개별 포인트 솔루션에서 플랫폼 중심으로 개편되고 있다는 것이다. 클라우드 환경이 복잡해지면서 파편화된 보안 도구를 개별적으로 관리하는 방식은 한계가 있다는 지적이다. 다만 통합의 방향성과 CNAPP의 정의에 대해서는 의견이 나뉘고 있다.
예를 들면, 모니터랩은 CNAPP과 SASE/SSE의 두 갈래로 진화한다는 입장이다. 인프라를 지키는 CNAPP과 사용자와 애플리케이션 통로를 지키는 SASE/SSE 플랫폼이 서로의 역할 분담을 통해 시너지를 낸다는 거다. 특히 차세대 제로트러스트 구조도 이 두 플랫폼의 ‘실시간 위험 점수’(Risk Score) 연동을 통해 완성된다는 의견이다. CNAPP이 내부 모니터링을 통해 애플리케이션 리소스별 위험 점수를 산출하면, 이 컨텍스트가 실시간으로 SASE/SSE 플랫폼으로 전달된다. SASE/SSE 플랫폼은 전달받은 점수를 기반으로 동적 정책을 수행해 특정 리소스의 위험도가 급증할 경우 해당 경로로 향하는 외부 접근을 실시간으로 제한하거나 즉각 차단한다.
로그프레소 역시 CNAPP이 CSPM·CWPP·CIEM을 하나로 묶어 클라우드 보안을 책임지는 방향은 인정한다고 밝혔다. 하지만 클라우드 환경의 사고가 클라우드 워크로드 안에서만 일어나는 것이 아니라, ID·엔드포인트·SaaS 접근 같은 전체 인프라를 가로질러 움직이기 때문에 전체 인프라를 하나로 통합해 위험을 관리하는 체계가 필요하다는 입장이다. 그래서 CNAPP·IAM·EDR·SASE 등 각 영역의 신호를 단일 운영 평면에서 묶어 분석가 한 명이 사고 전체를 볼 수 있는 구조를 만드는 것이 필요하며, CNAPP·SASE를 함께 통합하는 이유도 여기에 있다고 설명했다. 때문에 로그프레소는 흩어진 신호를 하나로 모으고, XDR을 통해 사용자가 사고 전체를 보며 에이전틱 SOC로 자율 운영이 이뤄질 수 있다고 봤다.
일각에서는 CNAPP이나 SASE는 물론 기존 SOAR나 XDR 등 클라우드 환경에서 작동하는 보안 솔루션이 늘어나는 것에 대한 피로도를 보이는 경우도 있다고 지적했다. 새로운 솔루션들이 계속 등장하고 이를 도입하면서 콘솔과 알림이 분산돼 운영 인력 부담만 커졌다는 것이다. 때문에 통합과 자율 운영으로의 전환이 관심을 받고 있으며, 개별 솔루션보다는 하나의 운영 체계 안에서 AI로 운영되는 것이 경쟁력을 가를 것이라는 의견도 나온다.

▲클라우드 보안 솔루션 사용자 설문조사 [출처: 보안뉴스·시큐리티월드]
클라우드 보안 솔루션 사용자 설문조사
그렇다면 현재 클라우드 보안 솔루션에 대한 보안 전문가들의 생각은 어떨까? <시큐리티월드>와 <보안뉴스>는 보안전문가들의 의견을 듣기 위해, 2026년 6월 22일부터 23일까지 양일간 약 10만여명의 보안 전문가들에게 설문조사를 실시했다. 이번 설문조사에는 공공(33.9%)과 민간(66.1%)의 보안 전문가 562명이 답했다.
먼저 클라우드 서비스를 사용하는지 물어봤다. 응답자의 73.3%가 ‘사용한다’고 답했고, 7.1%는 ‘지금은 사용하지 않지만, 1년 이내 도입할 계획’이라고 답했다. 또한 19.6%는 ‘사용하지 않는다’라고 답했다.
현재 사용하는 클라우드 서비스는 어떤 형태인지도 물어봤다. 가장 많은 37.4%는 ‘1개의 퍼블릭 클라우드’를 사용하고 있다고 답했고, 30.4%는 ‘온프레미스와 퍼블릭 클라우드를 같이 사용하는 하이브리드 클라우드’를 선택했다. 또한 16.1%는 ‘2개 이상의 퍼블릭 클라우드를 사용하는 멀티 클라우드’라고 답했고, 또 같은 16.1%는 ‘프라이빗 클라우드’라고 답했다.
현재 조직에서 클라우드 전담 직원은 몇 명인지 확인했다. 가장 많은 37.5%는 ‘없다’고 답했으며, 이어 19.6%가 ‘1명’이라고 답했다. 또한 ‘2명’을 선택한 사람과 ‘5명 이상’을 선택한 사람이 각각 17.9%였으며, ‘3명’인 곳이 5.4%, ‘4명’인 곳이 1.7%였다.
클라우드 보안 사고의 경험에 대해서도 물어봤다. 응답자의 82.1%는 사고 경험이 ‘없다’고 답했으며, 17.9%는 ‘있다’고 답했다. 사고 경험이 있다면 어떤 사고를 겪었는지 묻자 35.7%가 ‘설정 오류 및 취약한 접근관리’를 골랐다. 이어 25.0%는 ‘내부자 위협’을 선택했으며, 16.1%는 ‘계정 탈취 및 자격 증명 관리 부실’을 뽑았다. 또한 14.3%는 ‘API 및 인터페이스 취약점 공격’을, 8.9%는 ‘공급망 공격’을 각각 선택했다.
클라우드 서비스를 이용할 때 가장 어려운 것은 무엇인지도 물어봤다. 30.4%는 ‘복잡한 보안 및 규정 준수’를 그리고 23.2%는 ‘클라우드 비용 관리’를 선택했다. 또한 21.4%는 ‘클라우드 서비스 관리’를, 14.3%는 ‘클라우드 서비스 설정’을 선택했다. 10.7%는 ‘클라우드 서비스가 필요한 업무 분석’을 골라 특정한 문제보다는 전반적으로 클라우드 활용에 어려움을 느끼고 있음을 보여주었다.
그렇다면 현재 조직들이 사용하는 클라우드 보안 서비스는 어떤 것이 있을까? 현재 도입했거나 도입을 검토 중인 클라우드 보안 서비스에 대해 묻자, ‘CSPM’(클라우드 보안 태세 관리)과 ‘ZTNA’(제로트러스트 네트워크 액세스)가 17.9%로 동률을 이뤘다. 뒤를 이어 ‘CNAPP’(클라우드 네이티브 애플리케이션 보호 플랫폼)이 16.1%의 선택을 받았고, ‘SSPM’(SaaS 보안 통합 관리)이 12.5%의 표를 받았다. 또한 ‘CASB’(클라우드 접속 보안 브로커)가 10.7%, ‘CIEM’(클라우드 인프라 자격 증명 관리)이 10.7%, ‘CWPP’(클라우드 워크로드 보호 플랫폼)가 8.9%, ‘DSPM’(데이터 보안 태세 관리)이 5.3%의 선택을 받았다.
조직들은 클라우드 보안 솔루션 도입을 위해 얼마만큼의 비용을 책정했는지도 물어봤다. 가장 많은 기업들이 책정한 금액은 ‘1000만원~3000만원 미만’으로 23.2%가 선택했다. 그 다음으로는 3개의 동율이 나왔는데, ‘1000만원 미만’과 ‘5000만원~1억원 미만’, 그리고 ‘1억원~3억원 미만’이 17.9%의 선택을 받았다. 다음으로 16.1%가 ‘3000만원~5000만원 미만’을, 5.3%가 ‘10억원 이상’을, 1.7%가 ‘5억원~10억원 미만’을 각각 선택했다.
고도화된 산업환경에 믿을 수 있는 건 클라우드 보안뿐
사용자 설문조사에서도 나왔듯 클라우드를 관리할 인력이 부족한 문제도 심각한 상황이다. 클라우드를 도입하는 움직임은 빨라지고 있지만, 그것을 운용할 인력에 대한 고민은 이를 따라가지 못하고 있다. 앞서 지적했듯, 클라우드에서 발생하는 보안 문제의 대부분이 운용 미숙에서 발생하는 것임을 볼 때 인력 부족은 심각한 상황을 초래할 수 있다. 클라우드 운용 인력이 부족한 상황에서 클라우드 보안 인력은 말할 것도 없다.
때문에 클라우드 보안 기업들은 관제 및 운용을 위한 서비스를 제공하는 것에도 관심을 두고 있다. 즉 네이티브 클라우드의 관제 서비스를 제공한다는 것. 꼭 MSSP(Managed Security Service Provider)가 아니더라도 클라우드 보안 솔루션 기업으로서 관제도 제공하겠다는 의지다.
AI를 악용한 사이버 위협이 증가하면서 사람이 아닌 ‘비인간 신원’(NHI: Non Human Identity)이나 AI 에이전트에 대한 검증도 문제로 지적된다. 클라우드 내에서도 NHI가 많고, AI 회사들도 CSP에 의존해 유통되는 경우가 많다는 것이다. 사람은 다단계 인증(MFA) 등으로 교차 검증이 가능하지만, 자율적으로 동작하는 AI 에이전트는 통제가 불가능한 것도 문제다.
이처럼 클라우드는 여러 가지 문제가 산재돼 있다.
하지만 복잡해진 클라우드 인프라와 자율형 AI 에이전트가 공존하는 지금의 환경에서는 과거의 방식만으로는 고도화된 위협에 대응하기 어려운 것도 사실이다. 더 이상 기업의 핵심 자산과 사용자가 정해진 공간에서만 머무르지 않고, 이동 중에도 원격으로 업무를 수행한다. 기업의 데이터와 애플리케이션 역시 다양한 클라우드와 SaaS 환경에 흩어져 있다.
때문에 클라우드 보안은 단순히 클라우드만을 위한 것이 아닌, 기업과 기관 등 조직의 보안을 위해서 꼭 필요한 수단이 됐다. 아울러 조직들도 단순히 클라우드를 활용한 생산성에만 매달릴 것이 아니라, 미래를 담보할 수 있는 연속성 확보를 위해서라도 클라우드 보안을 챙겨야할 시간이다.

▲아이온클라우드 아키텍처 [출처: 모니터랩]
클라우드 보안 솔루션 집중분석-1] 모니터랩
확장되는 공격 표면... 통합 SSE 플랫폼으로 일관된 가시성·통제 확보
모니터랩, SaaS, AI로 확장되는 클라우드 위협의 해법 ‘아이온클라우드’ 제시
SaaS와 생성형 AI의 도입 수요 증가로 클라우드 시장이 성숙기에 진입하고 있다. 이들이 업무의 핵심 인프라로 자리 잡으면서, 기존의 ‘경계 중심의 보안’에서 벗어나 애플리케이션과 데이터까지 촘촘하게 들여다보는 보안 솔루션에 대한 수요가 높아지는 한편, 파편화된 포인트 솔루션을 개별적으로 운영하는 방식의 관리 복잡성과 비효율 문제도 함께 수면 위로 떠오르고 있다.
모니터랩은 국내 유일의 SSE(Security Service Edge) 플랫폼 ‘아이온클라우드’(AIONCLOUD)를 통해 이 문제에 정면으로 대응한다. CASB·GenAI Security 등 각 서비스에 최적화된 보안 솔루션을 단일 플랫폼 기반으로 통합해 웹을 넘어 클라우드와 생성형 AI 서비스 전반으로 보안 커버리지를 확장하고, 복잡한 클라우드 환경에서도 일관된 가시성과 통제력을 확보할 수 있는 새로운 해법을 제시한다.
파편화된 보안 기능을 하나로, 국내 유일 SSE 플랫폼
아이온클라우드는 SWG·CASB·RBI·ZTNA는 물론 GenAI Security를 아우르는 강력한 보안 기능을 단일 플랫폼에 유기적으로 통합하는 방향으로 설계됐다. 하나의 콘솔로 일관된 보안 정책을 적용·운영할 수 있어 관리 복잡성을 획기적으로 낮추고, 기업 전체를 아우르는 단일 보안 거버넌스를 확립할 수 있다.
아이온클라우드는 모든 트래픽 경로를 인라인(In-line)으로 통제해 사용자·디바이스·애플리케이션을 아우르는 완벽한 가시성과 제어력을 확보한다. 이를 기반으로 멀티 클라우드와 SaaS 확산으로 넓어진 기업의 공격 표면을 빈틈없이 방어하는 것은 물론, 전 세계에 분산된 글로벌 엣지 네트워크를 활용해 언제 어디서나 지연 없는 동일한 수준의 보안 성능을 제공한다.
SaaS 접근제어를 넘어 세부 기능 제어까지, 한층 진화한 CASB
기업 내 SaaS 도입이 빠르게 확산되면서 승인되지 않은 클라우드 서비스, 이른바 ‘섀도우 IT’ 문제가 커지고 있다. 사용 현황이 파악되지 않는 SaaS는 데이터 유출의 사각지대가 되고, 보안 정책의 일관성도 무너진다. 아이온클라우드 CASB는 승인·비승인 SaaS 애플리케이션의 사용 현황과 접근 행위를 가시화하고, 민감 데이터가 임의의 경로로 유출되는 것을 실시간으로 탐지·차단함으로써 이러한 보안 사각지대를 근본적으로 해소한다.
특히, Google Workspace·Microsoft 365 등 1500개 이상의 글로벌 SaaS는 물론, 외산 솔루션이 커버하지 못하는 네이버웍스·다우오피스·두레이·하이웍스 등 국내 주요 SaaS 환경까지 완벽히 수용해 국내 기업 환경에 최적화된 가시성과 세밀한 통제력을 제공한다. 또한 87개 주요 애플리케이션에 대해서는 인앱(In-App) 기능 및 웹메일 제어를 통해 파일 업로드·다운로드, 텍스트 복사·붙여넣기 등 한층 정교한 수준의 정책 제어를 지원한다.
생성형 AI 오남용과 정보 유출 차단, GenAI Security
많은 기업이 생성형 AI의 효용성을 인식하면서도 기업 데이터 유출과 오남용에 대한 우려, 그리고 사용 통제 기준의 부재로 인해 전사 도입을 주저하고 있는 것이 지금의 현실이다. 사용자가 생성형 AI와 주고받는 프롬프트는 자연어 기반으로 구성되어 있어, 같은 의도라도 표현 방식이 무한히 달라질 수 있다. 특정 단어나 패턴을 사전에 정의해 탐지하는 기존 방식으로는 우회 입력이나 문맥 속에 숨겨진 민감정보 유출을 실시간으로 막아내기에 한계가 있다.
아이온클라우드 GenAI Security는 단순 키워드 매칭을 넘어 사용자의 요청과 AI 응답을 분석하는 맥락 기반 프롬프트 필터링 기술을 적용해 민감정보 유출과 악의적 활용을 선제적으로 차단한다. OWASP Top 10 for LLM 기준에 대응하는 AI 보안 위협을 26가지 토픽으로 세분화해 정교한 AI 보안 위협에 대한 탐지 정밀도를 한층 끌어올렸다. 여기에 프롬프트 DLP와 데이터 마스킹 기능을 더해 생산성을 저해하지 않으면서도 안전한 생성형 AI 업무 환경을 지원한다.
공공·금융·기업 모든 조직을 위한 클라우드 보안의 새로운 기준
N2SF(국가 망 보안체계) 시행과 금융감독원의 망분리 규제 완화로 공공·금융 시장에도 클라우드 도입이 본격화될 것으로 전망된다. 모니터랩 아이온클라우드는 웹·SaaS·생성형 AI 보안 기능을 하나의 플랫폼에서 제공하는 국내 유일의 SSE 플랫폼으로, CSAP·금감원 보안성 검토 등 공공·금융권이 요구하는 컴플라이언스에 밀착 대응한다.
여기에 어플라이언스 기반의 구축형과 SSE 플랫폼 기반의 구독형 방식을 모두 제공해 고객의 인프라·규제·예산에 맞는 최적의 운영 환경을 지원한다. 규모와 업종을 가리지 않고 모든 조직이 클라우드 보안을 유연하게 도입할 수 있도록, 모니터랩은 아이온클라우드를 중심으로 국내 클라우드 보안의 새로운 기준을 제시해 나갈 계획이다.

클라우드 보안 솔루션 집중분석-2] 펜타시큐리티
인프라 확장과 글로벌 규제 강화 사이, 기업의 현실적인 대응 전략
실전에 강한 보안과 완벽한 규제 대응, 펜타 클라우드 시큐리티로 가뿐하게
클라우드 전환이 보편화되면서 인프라의 경계가 사라지고 데이터 흐름이 복잡해짐에 따라 보안 취약점도 급증하고 있다. 이제 보안 실패로 인한 서비스 중단이나 규제 위반은 단순한 사고를 넘어 ‘글로벌 시장 퇴출’이라는 치명적인 결과로 이어진다. 최근 유럽의 사이버 복원력 법안(CRA, Cyber Resilience Act) 등 제품 수명 주기 전반의 보안 책임을 강제하는 글로벌 규제가 쏟아지는 이유다. 이제 클라우드 보안은 까다로운 글로벌 컴플라이언스를 충족하고 비즈니스를 안정적으로 영위하기 위한 ‘실질적인 경영 관리 역량’으로 평가받고 있다.
클라우드 보안의 현실적 요구: 지능형 탐지와 관리 효율의 조화
온프레미스 인프라의 안정성과 클라우드의 유연성을 동시에 확보하는 하이브리드 전략의 핵심은, 기존 하드웨어가 제공하던 강력한 신뢰도를 클라우드 환경에서도 일관되게 유지하는 것이다. 이를 위해 클라우드 보안 서비스는 크게 두 가지의 현실적 조건을 충족해야 한다.
첫째는 비즈니스 가용성을 저해하지 않는 정교한 탐지력이다. 트래픽 변화가 잦고 서비스 연결이 복잡한 클라우드 환경에서, 정상적인 접근을 위협으로 오판해 차단하면 비즈니스에 직접적인 손실이 발생한다. 트래픽의 논리적 흐름을 분석해 실제 위협만 골라내는 지능형 엔진이 필수적인 이유다.
둘째는 환경의 제약을 넘어서는 통합 관리 능력이다. 보안 장비와 클라우드 서비스가 파편화되어 운영되면 보안 공백이 발생하고 관리 리소스 부담도 가중된다. 물리적 장비의 안정적인 성능을 유지하면서도, 클라우드 특유의 확장성에 기민하게 대응할 수 있는 정책 동기화와 가시성 확보가 동반되어야 한다. 이는 보안 인력이 부족한 기업이 복잡한 글로벌 규제를 해결할 수 있는 가장 현실적인 방안이기도 하다.
글로벌 컴플라이언스를 관통하는 검증된 기술력
30년 가까운 시간 동안 사이버 보안 시장을 지켜온 펜타시큐리티는 하드웨어 영역에서 검증된 압도적인 신뢰를 클라우드 영역까지 자연스럽게 확장했다. 특히 전 제품군에 차세대 보안 표준인 양자 내성 암호(PQC/KPQC) 알고리즘을 적용, 현재의 위협 차단은 물론 양자 컴퓨터 보편화 이후 발생 가능한 고도의 암호 해독 공격까지 방어할 수 있도록 기반을 갖춰, 복잡한 글로벌 규제를 정조준하고 있다.
와플 SA(WAPPLES SA) & 클라우드브릭 WAF+(Cloudbric WAF+) : 지능형 탐지로 완성하는 웹 보안 규제 대응
유럽 사이버 복원력 법안(CRA)이 제품 전 주기에 걸친 취약점의 신속한 관리·보고를 의무화하고, 글로벌 결제 데이터 보안 표준(PCI-DSS) 역시 공개된 웹 애플리케이션에 웹방화벽(WAF) 적용을 요구하는 등 웹 보안에 대한 규제 요건은 갈수록 까다로워지고 있다. 와플 SA와 클라우드브릭 WAF+는 이러한 요건을 충족하는 동시에, 실전 환경에 최적화된 방어력을 제공한다.
와플 SA는 자체 개발한 논리연산 탐지 엔진 COCEP™에 AI 기반 탐지엔진 고도화 기능을 탑재해 급변하는 보안 위협 환경과 최신 공격 트렌드에 효과적으로 대응할 수 있는 체계를 제공한다. 특히 현재 웹 트래픽의 대부분을 차지하는 HTTPS 처리 성능을 제고해 암호화된 트래픽 환경에서도 높은 보안성과 운영 효율성을 동시에 제공한다. 오탐·미탐 위험을 최소화하고 사고 가능성을 사전에 방지하는 테스트 기능을 갖췄으며, 온프레미스와의 정책 동기화로 하이브리드 환경의 편의성까지 보장한다. SaaS형인 클라우드브릭 WAF+는 전 세계 75만 개 웹사이트를 보호하고 있으며, 웹 공격 방어, API 보안, 위협 IP 차단, 봇(Bot) 및 DDoS 완화를 통해 별도 구축 없이 즉각적인 엔터프라이즈급 보안을 구현한다.
디아모 클라우드(D.AMO Cloud) : 강력한 데이터 프라이버시 법률 충족과 데이터 주권 확보
멀티 클라우드 암호플랫폼 ‘디아모 클라우드’는 AWS, Azure, GCP 등 멀티 클라우드 환경에서 암호화와 키 관리를 통합 제어한다. 데이터와 암호 키를 분리하는 하드웨어 보안 원칙을 클라우드에 구현해 기밀성을 보장하며, 키 관리 시스템(KMS)을 포함한 전 모듈에 PQC 알고리즘을 탑재했다. 나아가 데이터에 대한 보안 정책 및 접근 권한 관리를 클라우드 인프라와 완전히 분리함으로써, 데이터가 특정 인프라나 플랫폼에 종속되지 않도록 하고 기업이 자사 데이터에 대한 통제권을 온전히 확보하는 ‘데이터 주권’을 보장한다.
한편 유럽연합의 일반 개인정보보호법(GDPR)은 시스템을 기획·설계하는 단계에서부터 개인정보 보호 조치를 기본값으로 내재화하도록 요구하는 ‘설계에 의한 개인정보보호’(Privacy by Design)를 핵심 원칙으로 삼으며, 위반 시 전 세계 연간 매출의 최대 4% 또는 2000만 유로 중 높은 금액을 과징금으로 부과할 수 있는 강력한 규제로 꼽힌다. 디아모 클라우드는 암호화 데이터를 미리 수집해 두고 향후 양자 컴퓨터로 해독하려는 ‘선 수집 후 해독’ 공격을 원천 차단해, 유럽 GDPR의 ‘설계에 의한 개인정보보호’ 규정을 준수한다.
클라우드브릭 매니지드 룰(Cloudbric Managed Rules) : 글로벌 표준에 맞춘 취약점 통제
AWS WAF 사용자를 위한 관리형 보안 규칙 그룹으로, 펜타시큐리티는 AWS WAF에 공식적으로 온보딩해 룰을 제공할 수 있는 전 세계 단 8개 독립 소프트웨어 벤더(ISV) 중 하나다. 보안 전문가들이 최신 위협에 맞춘 7가지 필수 룰(OWASP Top 10 보안, 악성 IP 보안 등)을 지속 관리하므로, 전문 인력이 부족한 기업도 즉시 적용 가능하다. 여기서 ‘OWASP Top 10’은 전 세계 웹 보안 전문가 커뮤니티가 주기적으로 선정·발표하는 가장 빈번하고 치명적인 웹 애플리케이션 보안 위험 목록으로, 다수의 글로벌 보안 표준과 규제가 이를 사실상의 기본 점검 기준으로 채택하고 있다.
클라우드브릭 매니지드 룰은 글로벌 기관 톨리 그룹 테스트를 통해 최고 수준의 탐지 성능을 입증했으며, 대부분의 글로벌 보안 표준이 요구하는 ‘최신 웹 위협에 대한 실시간 방어 체계’를 별도의 인력 부담 없이 즉시 구축할 수 있도록 지원한다.
글로벌 시장의 필수 요건, 컴플라이언스 대응과 비즈니스 신뢰
글로벌 시장 진출을 꾀하는 기업들에게 클라우드 보안은 더 이상 선택이 아닌 ‘법적 의무’다. 대표적으로 EU의 CRA는 디지털 제품의 전 생애주기에 걸친 보안을, GDPR은 개인정보의 보호와 처리를 규율하며, 핵심 산업 기업의 보안 관리 체계를 의무화한 NIS2까지 더해지면서 규제의 범위는 제품·데이터·조직 운영 전반으로 넓어지고 있다. 이들 규제는 보안 사고 발생 시 막대한 벌금뿐만 아니라 시장 퇴출까지 경고하고 있다.
이러한 흐름 속에서 펜타시큐리티는 검증된 보안 기술력을 바탕으로 글로벌 규제 요구에 폭넓게 대응해 기업이 복잡한 컴플라이언스 부담을 덜고 안정적으로 사업을 영위할 수 있도록 지원한다. 펜타 클라우드 시큐리티는 규제 위반 리스크와 기업 평판 하락을 방지하는 든든한 보안 기반으로서, 기업이 복잡한 규제 대응 부담에서 벗어나 본연의 비즈니스 혁신에 집중할 수 있는 환경을 제공한다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>














