보안제품에도 기업들 사이버 보안사고 여전…'사후약방문' 대응

오라클, 글로벌 전문가 설문으로 클라우드 보안 위협 분석
기업들이 사이버 보안을 위해 50∼100종에 달하는 보안 제품을 쓰고 있지만, 기업 자체 조직과 클라우드 업체가 보안 업무를 분담하는 과정에서 데이터 유출 등의 사고가 여전한 것으로 나타났다. 오라클은 기업 컨설팅 전문업체 KPMG와 함께 작성한 '2020 연간 클라우드 보안 위협 보고서'를 18일 발표했다.

오라클과 KPMG는 북미·서유럽·아시아태평양 지역의 사이버 보안 및 정보통신(IT) 전문가 750명을 대상으로 지난해 12월∼올해 1월 설문 조사를 거쳐 보고서를 작성했다.

설문 결과 공공·민간 분야 조직의 78%가 데이터 보안 문제를 해결하기 위해 50종 이상의 사이버 보안 제품을 사용하고 있는 것으로 나타났다. 37%는 100종 이상의 사이버 보안 제품을 쓰고 있다는 조사 결과가 나왔다.

그런데도 시스템 구성 오류는 잦았다.

오류의 대표적인 유형은 '특정 계정에 과잉 권한 부여'(37%), '웹 서버 등의 워크로드(작업량) 노출'(35%), '핵심 서비스 접근 시 인증 절차 부족'(33%) 등이었다. 오라클과 KPMG는 보안을 위한 클라우드 서비스 활용이 늘고 있지만, 한 조직의 IT 부서와 클라우드 업체가 데이터 보안 책임을 분담하는 과정에서 보안 사각지대가 나타나고 있다고 분석했다.

설문에 참여한 기업의 90%가 서비스형 소프트웨어(SaaS)를 사용하고 있고, 76%가 서비스형 인프라(IaaS)를 사용하고 있었다.

50%는 "향후 2년 안에 모든 데이터를 클라우드로 이전할 계획"이라고 밝혔다. 그러나 IT 전문가의 75%는 "클라우드 서비스에서 2번 이상 데이터 손실을 겪었다"고 답했다.

대다수 조직이 여전히 데이터 보안에 있어서 '사후약방문' 식의 대응을 하는 것으로 나타났다.

IT 전문가의 80%는 타사의 데이터 유출 사고 이후에 데이터 보안에 대한 조직의 관심도가 높아졌다고 말했다.

69%의 기업에서 정보보호 최고책임자(CISO)가 보안 사고를 겪고 나서야 퍼블릭 클라우드에 관심을 보인 것으로 조사됐다.

스티브 다헵 오라클 수석부사장은 "최근 몇 년간 기업들이 주요 작업을 클라우드로 이전하면서 새로운 가능성을 열었지만, 지나치게 복잡한 보안 솔루션 조합으로 시스템 구성 오류 및 데이터 유출 등 비용 소모가 발생하고 있다"고 지적했다. 토니 버포만테 KPMG 사이버 보안 분야 글로벌·미주 총괄은 "클라우드 이전 과정에서 보안을 최우선 순위로 고려해야 한다"고 말했다.

/연합뉴스