기업의 클라우드 전환 가속화
국내 클라우드 보안 사고
클라우드 보안의 필요성

지난 8월 CSA(Cloud Security Alliance)는 클라우드 환경에서의 주요 보안 위협으로 ▲데이터 유출 ▲잘못된 설정 및 부적절한 변경 ▲클라우드 보안 아키텍처와 전략 미흡 ▲불충분한 ID, 자격 증명, 액세스 및 키 관리 ▲계정 하이재킹 ▲내부자 위협 ▲안전하지 않은 인터페이스 및 API ▲취약한 제어 영역 ▲메타스트럭처와 애플리스트럭처의 설계 미흡을 선정했다. 지난해 한국지능정보사회진흥원(NIA)이 발간한 ‘클라우드의 미래 모습과 보안’ 보고서에 따르면, 이 중 국내에서 가장 많이 발생하고 있는 사고의 대부분은 ‘클라우드 이용자나 운영자의 실수’에서 기인하고 있다.<본문 중에서>

기업의 클라우드 전환 가속화


최근 디지털 전환을 추진하는 기업의 증가에 따라 산업계 클라우드 전환이 가속화되고 있다.

신종 코로나바이러스 감염증(코로나19) 팬데믹이 장기화되자 클라우드 전환을 추진하는 국내 기업들이 증가하고 있다. 한국인터넷진흥원에 따르면 국내 클라우드 시장 규모는 15000억원 대비 연평균 13.7% 성장하여 202428000억원에 달할 것으로 전망되고 있다.

민간에선 아마존웹서비스(AWS)와 마이크로소프트 애저(MS 애저), 구글 클라우드 등 미국 3사의 클라우드 서비스를 이용하는 기업이 꾸준히 증가하고 있으며, 기업의 클라우드 전환과 운영·관리를 대행하는 클라우드관리서비스(MSP·Managed Service Provider) 업체들도 증가하고 있다.

반면 클라우드 전환의 가속화에 따른 우려의 목소리도 제기되고 있다. KDI 경제정보센터가 종업원 수 10명 이상의 국내 대기업 및 중소기업 1000개사를 조사한 보고서에 따르면 국내 기업의 19.2%는 클라우드를 도입하여 운영 중이거나 향후 도입할 예정이 있으나, 여전히 많은 기업들은 보안에 대한 우려로 클라우드 도입을 재고하고 있다. 기업들은 클라우드 도입 시 장애요인으로 데이터 유출 등 보안 문제’(52.4%)를 꼽았으며, 클라우드 시장 성장을 저해하는 요인으로 보안에 대한 우려’(31.9%)가 가장 많은 응답을 기록했다.


데이터 유출, 잘못된 설정 및 부적절한 변경 등 국내 클라우드 보안 사고


클라우드 기반의 정보환경 확산으로 클라우드 서비스 플랫폼과 이를 활용하는 개인·기업이 새로운 공격 대상으로 부상되고 있다.

지난 8CSA(Cloud Security Alliance)는 클라우드 환경에서의 주요 보안 위협으로 데이터 유출 잘못된 설정 및 부적절한 변경 클라우드 보안 아키텍처와 전략 미흡 불충분한 ID, 자격 증명, 액세스 및 키 관리 계정 하이재킹 내부자 위협 안전하지 않은 인터페이스 및 API 취약한 제어 영역 메타스트럭처와 애플리스트럭처의 설계 미흡을 선정했다.

지난해 한국지능정보사회진흥원(NIA)이 발간한 클라우드의 미래 모습과 보안보고서에 따르면, 이 중 국내에서 가장 많이 발생하고 있는 사고의 대부분은 클라우드 이용자나 운영자의 실수에서 기인하고 있다.

최근 개인정보 유출로 인해 12000만원의 과징금을 부과받은 샤넬코리아가 대표적이다. 샤넬코리아는 클라우드 서비스의 관리자 계정의 비밀번호를 누구나 쉽게 추측할 수 있도록 설정하였으며, 1년 이상 장기 미이용자의 개인정보를 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장·관리하지 않았다. 또한, 개인정보를 클라우드에 보관하면서 국외로 개인정보를 이전한 사실에 대해 이용자 동의를 받거나 개인정보 처리방침 등으로 알리지 않았으며, 결국 이를 통해 샤넬코리아 제휴 온라인 쇼핑몰에서 물품을 구매한 국내 이용자 81654명의 개인정보가 유출됐다.

플랫폼 기업 야놀자·스타일쉐어·집꾸미기·스퀘어랩에서도 클라우드 서비스 관리자 접근권한(Aceess Key) 제한 조치 미흡으로 개인정보 유출이 발생했다. 4개 사업자는 모두 클라우드 서비스의 관리자 접근권한을 IP로 제한하지 않아 권한이 없는 자가 접근권한만 확보하면 외부 인터넷 어디서나 접속할 수 있도록 운영하여 개인정보가 유출되거나 제3자가 열람했으며, 이를 통해 유출된 개인정보는 약 938만건에 달했다. 또한 개인정보 유출 사고로 조사를 받고 있는 데이팅 애플리케이션 골드스푼과 패션 커머스 플랫폼 브랜디 또한 클라우드 서비스에서 비롯된 보안 사고로 알려졌다.


 불법적인 접근이 발생하지 않도록...클라우드 보안의 필요성


개인정보위 관계자에 따르면 클라우드 서비스를 이용하는 업체는 스스로 취약점을 점검하여 개인정보처리시스템 등에 대한 불법적인 접근이 발생하지 않도록 안전조치 의무를 이행해야 하지만, 2차 피해를 가늠할 수 없는 개인정보 유출과 같은 사고를 방지하기 위해서는 클라우드 서비스 이용자의 자율에 맡기는 것만으로는 부족한 상황이다.

개인정보위 관계자는 클라우드 서비스 공급자(CSP)는 보안을 위한 여러 기능을 제공하고 있지만, 막상 클라우드를 이용하는 기업들은 이런 기능을 활용하지 못하고 있는 경우가 많다라며 현행법상 보안기능 안내에 대한 의무규정이 없기에 CSP 및 클라우드 서비스 이용 업체가 이를 자율적으로 이행하기를 권하고 있으나, 개인정보 유출 사고가 지속해서 발생할 시 이를 강제하는 등의 방법을 고민해야 할 것이라며 CSP가 클라우드 이용 업체에 최소한의 보안조치를 할 수 있도록 권고해야 한다고 주장했다.

ADT캡스·안랩·윈스 등 클라우드관리서비스(MSP·Managed Service Provider) 기업을 통해 클라우드를 도입하는 것도 클라우드 보안을 위한 방안으로 제시되고 있다. MSP를 운영하는 윈스 관계자는 <뉴스워커>와의 통화를 통해 클라우드 보안사고는 서비스를 실제 구축하고 운용하는 MSP 사업자가 보안에 대한 이해가 부족하거나 비용 관점으로 접근할 경우 발생할 수 있으며, 보안사고 예방을 위한 조치를 마련하지 않을 시 사고 재발 우려가 높다라며 고객은 MSP업체를 선정할 때 기존 레거시 시스템을 단순하게 클라우드 전환 비용만으로 접근하기 보다는, 개인정보·정보통신망법 및 정보보호 컴플라이언스를 포함해 운영할 수 있는 MSP 업체를 선정해야 한다라며 클라우드 보안의 필요성을 전했다.

또한 안랩 관계자는 운영과 유지보수에 초점을 두고 클라우드 관리 서비스를 이용해 온 기업들은 보안 측면에서 어려움을 마주하는 경우가 많다라며 안랩 또한 보안사고를 방지하기 위해 클라우드 설계부터 구축과 운영까지 모든 단계에서 보안에 최적화된 클라우드 관리 역량을 원스톱으로 제공해 이러한 어려움을 해결하려 한다라고 전했다.

저작권자 © 뉴스워커 무단전재 및 재배포 금지