“평판좋은 CSP, 전문지식, 사전에 ‘책임’ 소재, 계정보안, 안전한 API 등”
전문가들 ‘중소기업 보안대책’ 제시… 데이터 백업, 하이브리드 백업도
[애플경제 이윤순 기자] 오늘날 대부분의 기업, 특히 중소기업들도 클라우드 서비스를 적극 도입하고 있다. 그러나 중소기업의 경우 예산이나 리소스 부족으로 보안 시스템이 취약할 수 밖에 없다. 문제는 이들 중소기업들이 자사가 직면한 위험을 스스로도 인식하지 못하고 있다는 사실이다.
국내 보안업체 이스트시큐리티의 한 관계자는 “대기업은 그나마 덜하지만, 중소기업의 경우 용도를 정확히 분석하지 않은채 클라우드 서비스에 가입하는 경우가 많을 뿐 아니라, 보안 시스템을 이해하지 못하고 있는 사례가 많다”면서 “이는 랜섬웨어와 같은 맬웨어와 관련된 파괴적인 사이버 공격에 그대로 노출될 수 밖에 없고, 결국 (몸값 등으로) 엄청난 비용을 초래할 수 있다.”고 경계했다.
클라우드는 SaaS, IaaS, 클라우드 스토리지 등 다양한 기술이 포함된다. 공격자는 이런 클라우드를 표적으로 삼아 구성상 취약점이나, 액세스 제어의 허점 등 약점을 활용, 직접적 또는 공급망을 통해 침투할 수 있다.
중소기업이 처한 클라우드 보안 위협 요인들
그렇다면 중소기업이 직면하고 있는 구체적인 위험은 무엇이며, 클라우드 기술을 활용하면서 보안을 유지할 수 있는 방법은 무엇일까. 이에 대해 영국 국립사이버보안센터(NCSC)가 최근 클라우드 및 온라인 서비스를 사용하는 중소기업을 위한 새로운 사이버 지침을 제시해 눈길을 끈다.
NCSC는 “중소기업이 스스로를 보호하기 위해 사용할 수 있는 기본적인 사이버 보안 조치에 대한 실질적인 조언”이라고 의미를 부여했다.
이에 따르면 중소기업의 가장 큰 문제 중 하나는 클라우드는 날로 복잡해지는 반면, 보안을 적절하게 해결하기 위한 예산과 리소스가 부족하다는 점이다. 실제로 국내 보안업체인 이글루코퍼레이션 관계자도 ‘국제보안엑스포’에서 “중소기업이 대규모 기업에 비해 재정적, 인적 자원이 적을 수 있다”면서 “특히 사내 전문 사이버 보안 팀이 없을 가능성이 크다. 다시 말해 대기업만큼 신속하게 위협이나 침해에 대응하기가 어려울 수 있다는 의미”라고 우려했다.
NCSC 역시 “소규모 조직에는 전반적인 사이버 보안 전략이 부족한 경우가 많다”면서 “특히 보안을 위한 네트워크 제어가 단편적인 방식으로 구현되어, 일부 영역은 잘 보호되지만 또 다른 영역은 취약점을 그대로 노출할 수도 있다.”고 지적했다.
한 마디로 중소기업의 가장 큰 사이버보안 취약점은 클라우드 환경의 허술한 구성과 불충분한 액세스 제어기술로 요약된다. 그래서 “민감한 정보의 무결성과 기밀성을 유지하는데 심각한 위협을 초래한다”는 것이다.
더욱이 미래에는 AI 위협과 같은 기술이 현실화되면서 이러한 위험이 더욱 커질 전망이다. 날이 갈수록 AI가 거의 모든 사람에 의해 사용되고, 해커들은 기존의 사이버보안 기술을 회피하기 위해 AI를 활용하는 사례가 크게 늘어날 것으로 보인다.
또 안전하지 않은 API도 날로 증가하며, 취약점을 노출하고 있다. 특히 “API 보안 프로세스는 사람이 가장 실수할 확률이 높은 분야”라는 지적이다.
앞서 이글루코퍼레이션 관계자는 특히 “중소기업들도 원격 회의나 업무를 많이 활용하면서, 한층 사이버 범죄자의 먹잇감이 될 가능성이 커지고 있다.”면서 “예를 들어 이메일로 침투하던 피싱 메시지가 이젠 다양한 사내 공동 작업 툴을 통해 침투하기도 한다”고 우려했다.
클라우드 보안을 강화하기 위한 조치들
그렇다면 중소기업으로선 이런 사이버 위협을 어떻게 예방하거나 대처할 수 있을까.
NCSC는 “기존 현장 IT 솔루션보다 클라우드를 사용하는 것이 더 안전하긴 하다”면서도 “무엇보다 클라우드 기술을 안전하게 설정하고 관리하는 것이 중요하다”고 전제했다.
이에 따르면 특히 “평판이 좋은 공급업체(CSP)의 클라우드 솔루션”을 사용하는게 안전하다. 그래야만 안전하고 적절한 설정, 유지 관리가 보장되며, 행여 문제가 발생할 경우에도 충분히 대처할 수 있다는 것이다.
또한 클라우드에 대한 적절한 전문 지식이 중요하다. 중소기업에선 이런 점이 부족하다보니, 복잡한 클라우드 환경을 제어, 관리하는 데 어려움을 겪게 된다. 사이버공격자들은 바로 이런 점을 노려 데이터 유출이나, 랜섬웨어 공격, 무단 액세스를 시도하는 것이다.
책임 소재, 즉 “누가 무엇을 책임지고 있는지 아는 것”도 중요하다는 얘기다. 클라우드 컴퓨팅에서 보안에 대한 책임은 클라우드 서비스 제공업체와 고객이 공유하는게 원칙이다. 특히 “공급업체는 인프라를 보호하고 업계 표준을 준수할 책임이 있는 반면, 고객은 클라우드 환경 내에서 데이터, 애플리케이션 및 구성을 보호할 책임이 있다.”는 NCSC의 규정이다.
또 데이터 암호화, 액세스 제어, 사고 대응 프로토콜을 포함, 클라우드 공급자의 보안 관행을 늘 검검하는 것도 중요하다. 그래서 “클라우드 제공업체의 공동 책임 모델을 이해하는 것이 중요하다”는 것이다.
보통 수준의 퍼블릭 클라우드만 해도 그 안에 포함된 옵션이 거의 100개에 달한다. 이에 “모든 서비스에 대해 공을 들여 설정을 검토해야 하며, 직원들 모두 자신이 수행하는 작업을 이해하고 적절하게 보안이 유지되는지 확인해야 한다”는 조언이다.
보안 위한 과감한 비용 투자, 전문인력 필요
또한 중소기업은 클라우드 서비스의 계정 보안이 중요하다는 조언이다. NCSC는 “기업들은 강력한 비밀번호를 사용해 다단계 인증(MFA)을 시행하고, 계정이 공유되지 않고 최소한의 필수 권한이 할당되었는지 확인할 수 있어야 한다. 이를 통해 클라우드 서비스 계정 보안에 철저를 기하며 그 기능 역시 꾸준히 향상시켜야 한다”고 권했다.
앞서 이스트시큐리티 관계자는 또 “소규모 기업에서는 흔히 IT 보안을 담당하는 인력이 적기 때문에 직원들이 클라우드 위협을 감지할 수 있는 충분한 수준의 지식과 이해를 갖도록 하는 교육이 필수”라고 강조했다. 그는 또한 “취약성 관리나 평가에 과감히 비용을 투자하고, API가 완벽한지도 수시로 확인해 침투를 예방할 수 있다”면서 “특히 경영진은 정기적인 데이터 백업과 함께 하이브리드 백업 전략을 구현하고, 강력한 복구 계획을 수립해야 한다”고 주문했다.
NCSC는 또 한가지 중요한 조언을 했다. 즉 “클라우드를 채택하는 중소기업이 점점 늘어나고 있으며 효율적이기는 하지만 과연 (클라우드를 도입해야 하는) 특정 용도가 비즈니스에서 필요한지를 고려해야 한다”는 것이다.
NCSC는 “효용 가치가 없는 업무나 용도는 과감히 이를 제거할 필요가 있다”면서 “예를 들어 스마트폰 앱, 브라우저 플러그인, 클라우드 웹 서비스 등에 과연 클라우드 서비스가 필요한지, 이를 적절하게 설정하고 유지하는 데 드는 비용과 노력을 견줘보는 것도 궁극적인 사이버보안의 대책”이라고 권했다.