한국의 최고정보보안책임자(CISO)들이 클라우드도입에 따른 조직안팎의 최대 보안위협 요인을 '시스템침입'과 '데이터손실'로 꼽았다. 사이버보안업체 시만텍이 세계 CISO 대상으로 진행한 클라우드 데이터보안 관련 설문조사 결과에 담긴 내용이다.
시만텍은 한국을 포함한 11개 지역 시장에서 CISO 1천100명을 대상으로 클라우드 데이터 보안 현황을 조사해 6일 결과를 발표했다.
시만텍은 클라우드컴퓨팅이 확장성과 비용대비 높은 생산성에 힘입어 대다수 산업군으로 확대되고 있는데, 이 새로운 인프라가 사이버범죄자들에게도 기회로 간주되고 있다는 점에 주목해야 한다고 지적했다. CISO에게 클라우드보안이 최대 관심사이자 당면과제라는 설명이다. 설문조사에 응한 CISO는 클라우드애플리케이션과 관련한 보안위협증가에 우려하고 있는 것으로 드러났다고 덧붙였다.
조사는 지난해 12월 15일부터 지난 1월 6일까지 한국, 일본, 중국, 싱가포르, 영국, 미국, 인도, 독일, 프랑스, 캐나다, 호주 지역에서 직원 250명 이상 기업에 종사하는 CISO를 100명의 표본을 대상으로 진행됐다. 조사는 웨이크필드리서치를 통해 이메일과 온라인으로 수행됐으며 결과치의 신뢰수준은 95%, 오차는 세계평균 ±3.0%포인트 그리고 지역별 ±9.8%포인트다.
■클라우드앱 규제준수, CISO 최대 골칫덩이
조사 결과 한국을 포함한 세계 CISO 대다수가 업무간 가장 스트레스 요인으로 '클라우드 애플리케이션의 컴플라이언스 준수'를 꼽았다.
세계 CISO가 가장 우려하는 컴플라이언스 이슈는 '승인된 클라우드 애플리케이션의 활동 추적(22%)'과 '직원의 비인가 클라우드 애플리케이션 사용(22%)' 이었다. 이어 '클라우드 애플리케이션에서 컴플라이언스 통제 데이터의 폭넓은 공유(21%)'와 '지역별 데이터 레지던시(data residency) 및 규제 사항의 준수 여부(18%)', '기업이 소유한 모바일 기기의 거버넌스(17%)' 순이었다.
국내 CISO는 '클라우드 애플리케이션에서의 활동 추적'을 우려한 비중(15%)이 조사 대상 지역 가운데 가장 낮게 나타났다.
국내 CISO는 평균적으로 기업이 쓰는 클라우드 애플리케이션 셋중 하나(34%)가 '섀도(허용되지 않은) 앱'이라 추정했다. 국내CISO 5명 중 4명(80%)은 '기업 최고경영자(CEO)가 의도했든 안 했든 어떤 순간에 내부 보안프로토콜을 어겼을 것'이라 답했다.
국내 CISO가 예측한 2017년 최대 클라우드 보안위협 외부 요인은 시스템 칩임(23%), 계정 도용(23%), 데이터 유출(22%), 인증 및 자격 증명의 손상(20%), 해킹 당한 응용 프로그램의 인터페이스(APIs)(12%) 순으로 많이 꼽혔다. 내부 요인 예측 비중은 데이터 손실(31%), 부적절한 직원 교육(21%), 안전하지 않은 비즈니스 애플리케이션(18%), 섀도IT(16 %), 보안 조치 미준수(14 %) 순이었다.
거의 모든 국내 CISO(99%)가 2017년 악성코드 방지를 위해 '정기적인 데이터 백업'만으로는 불충분하다고 답했다. 역시 대다수 국내 CISO(94%)가 오픈소스소프트웨어로 인한 클라우드 보안 우려가 전년대비 증가할 것이라 전망했다.
■대다수 CISO 클라우드 보안대책으로 데이터 암호화 및 '토큰화' 고려
시만텍은 CISO가 데이터 보안, 컴플라이언스, 데이터 레지던시에 대한 필요성 때문에 서비스형소프트웨어(SaaS) 이니셔티브를 지원하는 암호화 또는 토큰화(tokenization) 솔루션을 찾고 있다고 지적했다.
국내CISO 대다수(91%)가 클라우드 데이터의 토큰화를 데이터 레지던시 및 제어 규정을 충족하는 최상의 방법이라고 생각하고 있으며, 3명 중 2명(66%)꼴로 토큰화 방법을 사용하고 있다고 응답했다. 10명 중 4명 이상(46%)이 암호화와 토큰화를 동시에 사용한다고 응답한 기업은 46%였다. 암호화나 토큰화를 사용하지 않고 있다는 응답자 10명 중 4명 가량(39%)은 향후 1년 이내에 토큰화 사용 의사를 밝혔다.
세계CISO 10명 중 6명 이상(62%)은 클라우드 공급업체가 자사 데이터를 암호화하고 있다고 답했다. 반면 국내CISO 과반(55%)은 기업이 클라우드데이터를 직접 암호화하고 있다고 답했다. 나머지(45%)만 클라우드 공급업체가 암호화하고 있다고 답했다. 이는 다른 나라보다 한국의 클라우드 보안 신뢰도가 낮은 것으로 풀이됐다.
관련기사
- 구글은 AI로 웹오피스를 얼마나 진화시켰을까2017.07.06
- 공공클라우드, 해외 업체 격전지 되나2017.07.06
- 중견IT서비스 업체가 오픈소스 인재 찾는 이유2017.07.06
- 클라우드 불안하다던 기업들, 써본 후 평가는…2017.07.06
시만텍은 운영체제(OS), 툴, 클라우드 서비스의 결함을 이용해 네트워크를 침해하는 사이버 범죄행위를 막기 위해 CISO가 클라우드에 업로드, 저장, 공유되는 콘텐츠의 가시성과 통제를 요구한다고 설명했다. 기밀 정보를 보호하기 위해 일회성 해결책과 수동적 패치에 의존하기보다는, 능동적인 엔드투엔드 솔루션을 구축해 악용될 수 있는 취약점을 제거하는 접근방법을 권장했다.
이석호 시만텍코리아 대표는 "전세계적으로 클라우드 보안 수준이 점차 향상되면서 기업의 IT 환경이 클라우드 기반으로 빠르게 확대되고 있다"며 "시만텍코리아는 국내 기업들이 안전하게 클라우드 환경을 이용해 비즈니스 경쟁력과 생산성 향상에 집중할 수 있도록 지원할 것"이라고 말했다.