2023년 2월 미국 국방부의 군사 정보기관인 국방정보국(Defense Intelligence Agency)은 약 3테라바이트(TB)의 군 내부 이메일이 유출돼 약 2만600명에게 침해 통지 공지를 보냈다. 정부 고객용 클라우드 이메일 서버의 설정 오류로 암호 없이 데이터가 공개된 탓이다.
클라우드보안협회(CSA)가 2024년 발표한 '클라우드 컴퓨팅에 대한 주요 위협 보고서'에 따르면, 클라우드 보안 위협 1위는 잘못된 구성으로 인한 데이터 노출이다. 클라우드 전환이 가속화되면서 각 조직이 이에 대한 체계적인 관리가 쉽지 않기 때문이다.
클라우드 환경은 확장성이 뛰어나지만, 방대한 규모의 민감한 데이터가 저장되기 때문에 공격자에게 매력적인 대상이다. 공격자는 소셜 엔지니어링을 활용해 민감한 리소스에 접근을 시도하며, 노출된 자격 증명을 사용해 중요한 데이터에 접근한다. 이때 주로 클라우드 구성 오류나 패치되지 않은 소프트웨어(SW) 취약점을 악용한다.
국내 많은 기업과 조직은 온프레미스와 퍼블릭 클라우드를 함께 사용한다. 또 다양한 클라우드 서비스를 이용하는 멀티 클라우드 전략을 채택하면서 일관된 보안을 유지하기 어렵다. 이러한 위험을 식별하고 해결하는 것이 클라우드 보호의 핵심이다.
국내 공공기관을 포함한 다양한 조직은 운영비용 절감, 탄력적인 전산자원 활용, 업무 효율성 향상 등을 목적으로 클라우드 전환을 서두르고 있다. 정부는 2024년 국가망보안체계(N²SF)를 개선하면서 공공기관에 클라우드 활성화를 촉진하고 있다.
2024년 기준으로 행정 및 공공기관 정보시스템의 클라우드 전환율은 27.9%다. 예를 들어, 국세청은 클라우드 기반 전자세무 신고 시스템을 도입해 세무 신고 절차를 간편화했다. 국민건강보험공단은 클라우드를 통해 건강보험 신청과 처리를 진행하고, 국립기록원은 클라우드를 통해 기록 보존과 관리를 개선했다. 교육부는 학생 데이터 관리시스템을 클라우드로 이관했으며, 행정안전부는 2030년까지 클라우드 네이티브 전환을 목표로 하고 있다. 중요한 정보가 클라우드에 보관되는 사례가 늘어났다.
하지만, 변화한 인프라와 달리 기존 보안체계를 클라우드 환경에 적용하면서 보안 이슈가 부상하고 있다. 클라우드 인프라는 기존 보안 체계와 다르게 접근해야 한다.
각 클라우드 제공업체는 고유한 인프라 아키텍처와 보안 정책을 갖고 있다. 많은 조직은 내부에서 '어떤 클라우드 서비스를 사용하고 있는지' '누가 언제 어떤 변경을 했는지' '현재 어떤 보안 위험이 존재하는지' 등을 정확히 파악해야 한다.
여기에 규제 대응도 필수다. 각국은 다양한 데이터 보호 규제를 시행 중이다. 각국 정부와 기업은 PCI DSS(Payment Card Industry Data Security Standard), GDPR(General Data Protection Regulation), HIPAA(Health Insurance Portability and Accountability Act) 등 규제를 준수해야 한다. 나라마다 시시각각 변화하는 규제에 일일이 대응하는 것도 쉬운 일이 아니다.
클라우드 보안의 첫걸음은 시시각각 변화하는 클라우드 환경의 규정 준수 상태를 자동으로 점검하고, 위반 사항 발견 시 즉각적으로 조치하는 것이다. 보안 담당자는 이 과정을 CSPM(Cloud Security Posture Management)으로 자동화할 수 있다.
전통 보안 방식은 종종 개발 속도를 저해하는 요소로 여겨지기도 했다. 보안을 하려면 시간이 오래 걸리고 갖가지 제약이 따르기 때문이다.
현대 CSPM은 데브옵스(DevOps) 환경에 맞춰 설계돼, 보안팀과 개발팀 간 원활한 협업을 지원한다. 위험도에 따라 알림 우선순위를 설정하고 명확한 수정 가이드를 제공한다. 개발 단계부터 보안을 고려하게 지원해 생산성을 저해하지 않으면서도 필요한 보안 수준을 유지한다.
2024년 정부가 국가망보안체계를 개선하면서 공공기관에 클라우드 활용이 더욱 늘어날 전망이다. 클라우드 환경이 보편화되고 보안 위협이 고도화되는 현 시점에서, CSPM은 조직의 디지털 혁신을 안전하게 뒷받침하는 핵심 요소다. 국내 공공기관은 하이브리드와 멀티 클라우드 환경의 모든 규제와 보안을 대응하는 전문 기업과 함께 대응해야 한다.
양혁재 테이텀시큐리티 대표 hyukjae.yang@tatumsecurity.com
![[ISDP 2025] 홍석범 크래프톤 CISO “기업 보안 위한 핵심 전략” 제시](https://www.dailysecu.com/news/photo/202502/163970_192215_918.jpg)
![[기고] 수도권 위협하는 北 오물풍선, 우리의 대응은?](https://img.newspim.com/news/2025/02/11/2502110948402740.jpg)
