클라우드 보안에 대한 오해와 현실

올해 초 벤슨본(Vanson Bourne)이 조사한 바에 따르면 지난 한 해 발생한 침해 사고의 절반이 클라우드와 관련이 있었다고 한다. 그리고 클라우드 침해 사고 한 건당 기업이 입는 피해는 평균 410만 달러인 것으로 나타나기도 했다. 이게 클라우드의 현실이다. 지금 수준에서 우리는 클라우드 때문에 수백만 달러를 잃고 있고, 그럼에도 이 사안을 쉬쉬 감추며 ‘클라우드를 잘 활용하면 경쟁에서 앞서고 수익을 늘릴 수 있다’는 말만 되풀이하고 수용한다. 클라우드 보안의 문제점에 대해 보안 업체 일루미오(Illumio)의 최고 보안 전도사 존 킨더바그(John Kindervag)가 제시한 의견과 그 에 대한 본인의 문제점 해결 방안을 제시한다. 

 

클라우드 보안의 문제점

• 클라우드가 더 안전하다는 믿음은 오해: 클라우드 환경이 물리적 환경보다 제어가 쉽지만, 데이터 관리 책임은 여전히 사용자에게 있음. 클라우드 플랫폼 업체는 고객 데이터에 대한 접근 권한이 제한적이므로 보안 책임을 완전히 질 수 없음.
• 클라우드 네이티브 보안 도구의 한계: 클라우드 플랫폼별 보안 도구의 수준이 다르고, 온프레미스 환경이나 다른 클라우드 플랫폼과의 호환성이 부족함.
• 가시성과 식별에만 치중하는 문제: 가시성과 식별은 중요하지만, 문제 해결까지 이어지지 않으면 의미가 없음.
• 보호해야 할 데이터에 대한 불명확한 이해: 많은 기업들이 클라우드에 저장된 데이터의 종류, 위치, 활용 방식을 제대로 파악하지 못하고 있음.
• 클라우드 보안 강화 인센티브 부족: 개발자들은 속도 저하를 우려하여 보안을 소홀히 하기 쉽고, 기업에서도 보안 강화에 대한 적절한 보상 체계가 부족함.

 

클라우드 보안 강화를 위한 제언

• 공동 책임 모델의 현실적 이해: 클라우드 플랫폼 업체와 사용자 기업 모두 보안에 대한 책임을 인지하고, 각자의 역할을 명확히 해야 함.
• 다양한 환경에 적용 가능한 보안 도구 개발: 온프레미스, 멀티클라우드, 하이브리드 클라우드 등 다양한 환경에서 사용 가능한 보안 도구 개발이 필요함.
• 문제 식별을 넘어 해결까지: 가시성 확보뿐만 아니라 발견된 문제를 해결하는 데까지 노력해야 함.
• 보호해야 할 데이터에 대한 명확한 정의: 클라우드에 저장된 데이터의 종류, 위치, 활용 방식을 정확히 파악하고, 중요 데이터에 대한 보호 조치를 강화해야 함.
• 보안 강화 인센티브 마련: 개발자들이 보안을 중요하게 생각하고 실천할 수 있도록 적절한 보상 체계를 마련하고, 기업 문화 개선 노력이 필요함.

 

참조: 보안뉴스 (https://www.boannews.com/media/view.asp?idx=129226&kind=)