클라우드 기반 애플리케이션, SW 등 ‘치명적 보안 취약점’
“SaaS가 기업 공격 표면에서 가장 적극적 공격을 받아”
많은 기업들 ‘근자감’, SaaS 보안관리(SSPM) 없는 경우 많아
[애플경제 이지향 기자] 사이버보안에 대한 다양한 연구에 따르면 증가하는 SaaS 보안 위협이 간과되고 있는 것으로 나타났다. 클라우드 기반의 애플리케이션이나 SW 등은 치명적 보안 취약점을 안고 있다는 얘기다.
많은 기업들은 지난 한 해 동안 보안 침해나 사고를 겪었음에도 불구하고, SaaS 보안 태세에 대해 나름대로 자신감을 갖고 있다. 그러나 실상은 전혀 다르다는 지적이다. 실제로 각종 믿을만한 조사나 연구에 따르면 SaaS는 기업 공격 표면에서 가장 적극적으로 공격받는 계층 중 하나다.
특히 각계의 보안 책임자나 의사 결정권자들의 경우 이에 관한 인식이 빈약한 편이란 지적이다. “SaaS 영역이 산업 전반에 걸쳐 가장 방어가 취약한 영역 중 하나”라는 경고도 따른다.
웬만한 기업들, 수 십개, 수 백개 앱 사용
예를 들어 보안업체 ‘키퍼 시큐리티’는 수천 개의 기업과 수백만 명의 회원들을 대상으로 이런 조사를 실시, 그 실태를 조명했다. 이에 따르면 많은 기업들이 SaaS 시장이 지속적으로 성장하면서, 이같은 위험이 더욱 커지고 있다. 웬만한 규모를 가진 기업들은 대부분 수십 개, 심지어 수백 개의 애플리케이션을 사용하고 있다는 사실도 이를 뒷받침하고 있다.
또 다른 보안업체 ‘앱옴니’의 조사 결과도 이와 대동소이하다. 예를 들어, 해당 조사에 참여한 기업의 절반 이상이 최소 50개의 SaaS 솔루션을 사용하고 있다. 또 3분의 1 이상이 100개 이상의 SaaS 솔루션을 사용하고 있다.
특히, 지난 12개월 동안 기업의 4분의 3(75%)이 SaaS 데이터 유출이나 보안 사고로 피해를 입은 것으로 나타났다. 그럼에도 이들 중 89%는 “SaaS 환경에 대한 적절한 가시성을 확보하고 있다”고 생각하는 것으로 나타났다.
앱옴니의 CEO인 브렌던 오코너는 “이런 결과는 기업이 직면한 위협과 문제 해결 능력 간의 괴리가 커지고 있음을 보여준다”면서 “대부분의 보안 책임자들은 SaaS 관련 사고를 겪고 있음에도 불구하고, 오히려 SaaS 보안 시스템에 나름의 자신감을 갖고 있다”고 ‘사이버시큐리티 인사이더’에 밝혔다. 이를 두고 그는 ‘우려스러운 통제의 환상’을 보여준다고 했다.
이처럼 오늘날의 SaaS 위험은 이론적인 것이 아니라 실체적인 것이다. 이는 현재의 많은 기업들에 해당되는 현상이란 지적이다.
‘SaaS 보안’의 주요 화두…데이터 및 지재권 유출
앞서 ‘키퍼 시큐리티’ 조사에 따르면, 데이터 보안은 분명 기업의 주요 관심사이긴 하다. 많은 기업들이 데이터 유출과 지적 재산권 유출 가능성을 가장 큰 걱정거리로 꼽았다. 또한 고객 데이터 유출에 대한 우려도 컸다. 특히 “AI가 보안 환경에 큰 변화를 가져올 것”이란 경고다. 실제로 응답자들 상당수는 내년에 “AI가 SaaS 보안 논의에서 주요 화두가 될 것으로 예상한다”고 답했다. 또 SaaS 애플리케이션 내에서 인격적 신원과, 생성 AI 도구 접근에 대한 강력한 감독 체계의 필요성이 크게 증가하고 있다.
툴 격차 또한 여전히 크다. 전용 SaaS 보안 태세 관리(SSPM) 솔루션을 사용하고 있는 비율은 매우 적다. 그러면서도 많은 기업들은 SSPM 솔루션의 필요성엔 공감하고 있어 모순적이다.
이른바 기본적인 ‘보안 위생’도 크게 미흡하다는 지적이다. 이는 보안시스템의 구성이나 책임 소재, 통제권이나 인증과 접속 권한 등을 일컫는다. 예를 들어, 많은 보안사고가 권한 문제에서 발생했고, 그 못지않게 많은 사고는 잘못된 구성으로 인해 발생했다.
SaaS 공급업체에 대한 과도한 신뢰 ‘금물’
또한 위험을 관리하는 관행도 문제라는 지적이다. 많은 기업들은 SaaS 관련 보안 위험을 평가하기 위해 경우 정기적인 검토에만 그치고 있다. ‘앱옴니’는 “그로 인해 잘못된 구성과 위협이 감지되지 않고, 지속될 수 있는 심각한 공백이 발생한다”고 덧붙였다. 반면에 적잖은 기업들은 지속적이거나 실시간에 가까운 감독을 시행하고 있다.
SaaS 보안에 대한 과도한 믿음도 문제다. 이는 앞서 조사기관들의 설문조사에서도 가장 우려를 사는 요소로 떠올랐다. 많은 경우 내부 검증보다는 SaaS 공급업체에 대한 신뢰에 기반, 확신을 표명하고 있습니다.
소수의 기업들만 SaaS 보안을 보안팀에만 할당할 뿐, 다수 기업은 이를 다양한 (비전문적인) 부서에 떠맡기는 실정이다. 특히 SaaS 공급업체에 대한 과도한 신뢰는 매우 위험하다는 지적도 따른다.