탈레스 “클라우드 내 기업 민감 데이터 보안 미흡”

클라우드에 저장된 민감 데이터와 관련해 기업 보안 조치가 미흡하다는 지적이 나왔다.

탈레스는 포네몬 연구소와 2019 클라우드 보안 연구를 공동으로 했다. 미국, 영국, 일본, 호주, 프랑스, 독일, 브라질, 인도 IT 및 IT 보안 실무자 3667명이 참여했다.

연구에 따르면 클라우드에 저장되는 데이터는 급증하고 있지만, 이에 따른 기업의 보안 조치는 따라가지 못하는 것으로 확인됐다.

데이터 전체를 클라우드에 저장한다고 답한 기업은 48%였지만, 클라우드 데이터 저장 보안을 우선하는 접근 방식을 채택한 기업은 32%에 불과했다. 아울러 클라우드에 저장된 데이터를 보호하는 것이 자사 책임이라고 생각하는 기업은 31%에 그쳤다. 기업들은 클라우드 내 민감 데이터에 대한 가장 큰 책임은 클라우드 서비스 공급업체(35%)에 있다고 응답했다. 공동 책임이라는 응답은 33%였다.

탈레스 로고. 탈레스 제공
탈레스 로고. 탈레스 제공

기업 48%는 클라우드 상위 3개 업체인 △아마존웹서비스(AWS) △마이크로소프트 애저 △IBM을 통해 멀티 클라우드 전략을 실행하고 있는 것으로 나타났다. 조사에 따르면 기업은 평균적으로 3개의 클라우드 서비스를 사용하고 있으며 약 28%는 4개 이상 서비스를 사용하고 있다.

래리 포네몬 포네몬 인스티튜트 설립자 겸 회장은 “점점 더 많은 기업이 다수 클라우드 플랫폼 및 공급업체를 사용하고자 한다”면서 “무엇보다 중요한 것은 어떤 데이터가 어디에 저장돼 있는지 파악하는 것”이라고 말했다. 이어 “데이터 종류 및 저장된 위치에 대한 이해가 부족할 경우 민감한 데이터를 보호하는 것이 근본적으로 불가능하다”고 강조했다.

기업 51%는 클라우드 내 민감 데이터 암호화와 토큰화를 도입하지 않은 것으로 조사됐다. 데이터를 암호화했더라도 키 관리를 클라우드 제공업체에 맡겼다는 기업도 44%에 달했다. 또 기업 78%는 암호키 관리가 중요하다고 응답했지만, 직접 암호키를 관리하는 기업은 53%에 불과했다.

클라우드로 민감 데이터 보호에 어려움을 겪고 있다고 응답한 기업은 54%로 지난해 49%보다 증가했다. 70% 이상은 개인정보보호 및 데이터 보호 규제의 복잡성으로 클라우드 데이터를 보호하는 것이 어렵다고 답했으며, 67%는 기존 보안 방식을 클라우드에 적용하기가 어렵다고 밝혔다.

티나 스튜어트 탈레스 CPL 사업부 시장 전략 부문 부사장은 “이번 연구는 오늘날 기업이 클라우드가 제공하는 기회를 활용하고 있지만, 데이터 보안 문제는 적절하게 해결하지는 못하고 있다는 점을 보여준다”면서 “클라우드 공급업체가 클라우드 내 데이터 보안에 책임이 있다고 생각하면서도 실질적인 업체 선정 과정에서 보안을 주요 요소로 생각하지 않는다는 점은 매우 우려된다”고 말했다.

그러면서 ”클라우드 종류와 공급업체에 상관없이 클라우드 데이터 보안은 데이터 소유 기업에 귀결되고 데이터 유출이 발생할 경우 기업 평판이 위태로워질 수 있으므로 사내 보안 부서에서 보안 상태를 예의주시하고 암호키 관리를 제어하는 것이 매우 중요하다”고 했다.

오다인기자 ohdain@etnews.com