클라우드로의 세대 교체 이뤄지며 예산도 올라가고 있지만, CEO들은 ‘떨떠름’
[보안뉴스 문가용 기자] IT 및 보안 전문가 중 절반 이상(59.4%)이 클라우드를 기반으로 하고 있는 서비스를 제대로 보호할 수 있을 것 같지 않다는 불안감을 가지고 근무 중에 있는 것으로 나타났다. 보안 업체 파이어몬(Firemon)이 작년에 이어 두 번째로 발표한 ‘하이브리드 클라우드 보안 현황(State of Hybrid Cloud Security)’ 보고서에 상세한 내용이 수록되어 있다.
[이미지 = iclickart]
파이어몬은 이번 연구를 위해 522명의 네트워크 보안 엔지니어, IT 운영 관리자, C레벨 임원, 클라우드 아키텍트, 클라우드 소프트웨어 엔지니어를 만나 면담을 진행했다. 그 결과 사업의 41.4%가 하이브리드 클라우드 환경에서 진행되고 있다는 것을 파악할 수 있었다고 한다. 2019년에 진행됐던 조사에서는 40%로 나왔으니 약 1.4%p 오른 것이다. 따라서 하이브리드 클라우드 환경에서의 보안이 커다란 숙제가 되고 있다.
파이어몬의 부회장인 팀 우즈(Tim Woods)는 “모두가 동의했던 한 가지는 ‘현재 IT 기술 발전과 사업에서의 적용 수준이 확실하게 보호 가능하다는 자신감을 넘어섰다’는 것입니다.” 이는 지난 해 조사에서도 똑같이 드러난 바 있는데, 지난 1년 동안 별다른 변화가 없었다는 것이 더 큰 문제라고 우즈는 지적한다. “자신감이 전혀 올라오지 않았어요. 1년이나 지났는데도요.”
그렇다면 정확히 어떤 부분에서 전문가들은 어려움을 느끼고 있는 걸까? 상세히 분석한 결과는 다음과 같다.
1) 가시성 부족 : 17%
2) 책임 소재 불분명 : 13%
3) 다른 도구들과의 통합성 부족 : 13%
4) 실력 있는 담당자 부재 : 11.5%
5) 훈련 부족 : 11.1%
6) 자동화 기술 부재 : 9.6%
이렇게 걱정스러운 상황인데도 클라우드 도입 속도는 느려지지 않고 있다. 작년의 조사에서 공공 클라우드를 사용하고 있지 않다는 응답을 한 기업은 25.6%였다. 그런데 올해는 이 수치가 크게 떨어져 9.8%를 기록했다. 심지어 2개 이상의 공공 클라우드 서비스를 이용하고 있다는 기업은 49.4%였다.
이런 상황에서 보안 담당자들은 어떤 조치를 취하고 있을까?
1) 하이브리드 클라우드 내에서 수동적 조치를 취하고 있다 : 65.4%
2) 자동화 기술 없이 진행하고 있다. : 35.4%
이런 상황에서 33%는 환경설정 오류가 가장 큰 위협이라고 밝혔다. 이 중 73.5%는 설정을 수동으로 하고 있다고 밝혔다. 사람이 하나하나 손으로 할 때 오류가 날 가능성은 높아질 수밖에 없다.
“악순환이 계속 일어나고 있어요. 사람은 부족한데, 있는 사람은 계속해서 반복 단순 업무만 하게 되는 상황이고, 그러다보니 내부 자원도 다 활용하지 못해 사람은 더더욱 없는 것처럼 느껴집니다. 그런 상태에서 흐름에 따라 클라우드로 갔는데, 여기에는 전문가가 더 부족한 상황인 거죠. 그러면서 자원을 엉뚱한 곳에 비효율적으로 투자할 수밖에 없게 되고요. 전문가들이 클라우드에 대해 더 공부하고 싶어도 할 시간이 없어요. 그만큼 조직은 더 위험해지고요.” 우즈의 설명이다.
그래서 중요해지는 게 자동화다. “물론 자동화 기술이 아무나 손쉽게 들일 수 있는 건 아닙니다. 예산이 부족한 곳도 있고, 자동화 기술을 관리할 사람도 필요한데 전문 인력이 모자란 곳도 있지요.” 그래도 이번 조사를 통해 예산이 조금 너그러워졌다는 건 알 수 있었다. 78%의 응답자가 보안 예산의 25% 미만을 클라우드에 쏟고 있다고 밝혔는데, 작년에 이런 응답을 한 사람은 57.7%였다. 10% 미만을 사용한다는 응답자는 45%였고, 클라우드 예산이 전혀 없다는 응답자는 8.2%였다. 그러나 올해 클라우드 예산이 올라갈 거라는 응답자는 55.2%였다.
투자를 감행하고 있다 혹은 할 것이라는 기업들이 보안에 대해 전부 긍정적인 건 아니었다. 보안 도구가 너무 많다는 불만이 적잖게 발견된 것이다. “보안이 중요하다는 가치관이 몇 년 동안 퍼지면서 많은 기업들이 도구를 충분히 구비했어요. 그럼에도 불안감이 해소되지 않고, 심지어 공격을 당한 곳도 많죠. 보안에 대해 신뢰를 잃을 수밖에요. 그런데 지금 또 생태계가 클라우드 기반으로 변하고 있다면서 또 도구를 사래요. 아마 한 번 더 속아주는 조직들도 많겠지만, 보안이 한 번 더 실망감을 준다면 앞으로 예산은 기대하지 말아야 할 것입니다.”
또한 보안 팀 구성원에 대해 물었을 때 10명 이하라고 답한 응답자가 70%나 되었다. 이 중 45.2%는 5명 이하인 것으로 나타났다. 10명 이하 팀이 온프레미스 네트워크와 클라우드 모두를 관리하는 경우는 59%였다. 작년의 54%보다 올라간 수치다. 이 중 66.4%는 직원이 천 명 이하인 것으로 나타났다. 중소 기업 내에서의 열악한 보안 현황이 고스란히 드러났다.
3줄 요약
1. 클라우드 확산, 빨라지고 있는데 보안 자신감은 낮아지고 있음.
2. 가시성이 제대로 확보되지 않는다는 게 보안 자신감 결여의 가장 큰 원인.
3. 보안에 대한 신뢰 점점 낮아지고 있어, 이번 클라우드로의 변환이 마지막 기회일 수도.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>