빗발치는 '클라우드' 보안 사고…정부, 대응책 준비

개인정보위 "사업자 의견 청취 중"…추후 대책 발표 시사

컴퓨팅입력 :2021/10/28 17:09    수정: 2021/10/28 19:59

기업의 클라우드 관리 부실로 인한 해킹 사고가 잇따르면서 정부가 클라우드 업계와 보안 대책을 마련할 계획이다.

지난 1년새 디지털 트랜스포메이션 및 코로나19발 비대면 환경 구축 등의 영향으로 기업의 클라우드 도입이 가속화됐지만, 보안 관리에는 미숙함을 보여 정보 탈취 및 유출 등 각종 문제가 나타나는 상황이다.

보안업계는 클라우드의 전반적인 보안 수준은 기업 자체 인프라 대비 높은 편이나, 사용자인 기업이 적합한 보안 관리 체계를 갖추지 못해 문제가 발생하는 경우가 많다고 보고 있다. 

출처=뉴스1

클라우드에서 보안 문제 발생 시 상황에 따라 책임 소재를 클라우드 사업자(CSP)와 클라우드를 이용하는 기업이 나눠 갖게 되는데, 기업이 이런 부분을 제대로 이해하지 못하는 것도 보안 허점을 야기하는 요인으로 작용한다는 분석이다.

클라우드 기반 개인정보 유출 사고가 지속 발생하는 것에 대해 윤정태 개인정보보호위원회 조사2과장은 "CSP가 서비스를 이용하는 기업들에게 적절한 수준의 서비스를 제공하고 있는지에 대해서는 논란의 소지가 있을 수 있다"며 "방안을 마련하기 위해 CSP, 매니지드서비스제공자(MSP) 등 클라우드 업계 의견을 청취하는 중"이라고 지난 27일 밝혔다.

이어 "의견 청취 이후 별도로 (준비된 방안을) 말씀드릴 기회가 있을 것 같다"고 덧붙였다.

개인정보위는 최근 아마존웹서비스(AWS) 등 클라우드를 사용하는 과정에서 개인정보를 유출한 사업자들에 대한 제재 처분을 지속적으로 발표해왔다. 야놀자, 스타일쉐어, 집꾸미기, 스퀘어랩, 샤넬코리아 등이 이에 해당된다. 관리자 접근 권한을 충분히 제한하지 않거나, 장기 미이용자의 개인정보를 파기 또는 분리 보관하지 않는 등의 행태가 적발됐다. 보안 취약점을 방치함에 따라 개인정보가 대량 유출되는 사고를 겪었다.

클라우드발 정보 유출 사업자 제재 내용

현재 조사를 받는 중인 데이팅 앱 '골드스푼'도 최근 발생한 해킹 사고에 대해 AWS를 통한 사이버공격인 것으로 추정했다. 회사는 이 해킹으로 앱 이용자의 계정, 이름, 생년월일, 전화번호와 함께 원천징수영수증 등 앱 내 제출자료 등이 유출됐다고 밝혔다.

이같은 상황에 대해 보안업계가 지적하는 부분은 크게 두 가지다. 먼저 클라우드 설정 상의 오류다. 

실제로 글로벌 보안 연구소 IBM 엑스포스가 지난달 발표한 보고서에 따르면 클라우드 보안 사고 중 잘못된 클라우드 API 구성으로 발생한 경우가 세 건 중 두 건 꼴로 높은 비중을 차지했다. 클라우드에서 배포된 애플리케이션에서 발견된 취약점 수는 지난 5년새 150% 급증했으며, 심각도도 보다 심화됐다고 밝혔다.

클라우드에 대한 통합 모니터링 체계의 중요성을 인지하지 못하는 점도 사고를 유발하는 요인으로 꼽는다. 

관련기사

보안업계 관계자는 "클라우드 보안에 대한 관리 요소들을 한 눈에 확인할 수 없는 점이 기업 담당자들이 당면한 가장 큰 문제"라며 "대기업의 경우 특히 여러 클라우드를 사용하는 편인데, 클라우드 종류별로 설정 방식도 다르고, 업데이트가 필요한 부분들도 많은데 일일히 사람이 관리를 하다 보면 허점이 생기는 부분이 있기 마련"이라고 짚었다.

최광호 안랩 클라우드사업본부장은 "최근 많은 사용자가 클라우드의 고민거리로 ‘보안’을 지목하고 있을 만큼, 클라우드 시장에서 보안이 중요 영역으로 자리매김하고 있다"며 "클라우드 이용자는 보안을 클라우드의 이점을 온전히 누리기 위한 필수 요소로서 인식하고, 보안이 고민거리인 경우 전문가의 도움을 받길 권장한다"고 조언했다.