[칼럼] ‘섀도우IT’ 클라우드 보안문제 해결사로 등판한 ‘CASB’
한 기업에서 사용하고 있는
클라우드 애플리케이션(앱)은 몇 개나 될까요?
평균 ‘928개’. 이렇게나 많다니, 믿어지십니까?
실제 조사결과에서 본 수치입니다. 2만여 개의 클라우드 앱과 1억7600만개의
클라우드 문서, 13억통의 이메일을 조사·분석했다는 글로벌
보안업체가 몇 달 전 발표한 리포트였습니다.
현재 기업에서 실제 사용하는
클라우드 앱과 예상치 사이에는 너무 큰 차이가 존재합니다. 한 기업이 실제로 사용하고 있는 클라우드
앱의 평균 숫자는 928개인데, 기업에서는 평균 40여개의 클라우드 앱을 사용하는 것으로 인식(예상)하고 있다고 합니다. 당초 예상한 수준보다 무려 20배 이상 많은 클라우드 앱을 기업에서 실제로 사용하고 있다는 얘기입니다.
관리되지 않은 채 클라우드에
저장·공유되는 데이터 비율은 25%, 이메일은 27%를 차지하고 있었습니다. 이처럼 무분별하게 저장·공유되는 데이터와 이메일 중 사내 보안정책을 위반하는 내용이 전혀 없을까요? 그럴
가능성은 충분합니다.
이같은 조사결과는 기업
사용자들의 클라우드 앱과 데이터 사용 현황을 조직 차원에서 제대로 파악하지도, 관리하지도 못하고 있는
상황을 보여줍니다.
클라우드 서비스 사용 증가로
나타나는 이같은 문제를 ‘섀도우 IT’라고 표현합니다. 기업 조직에서 구성원들이 사용하는 클라우드 서비스와 데이터 사용 현황에 대한 가시성과 통제력이 떨어지면 보안위험성은
커집니다.
중요한 내부정보가 고의든
실수든 외부로 마구 유출될 수 있고, 보안위협에 노출될 수도 있습니다.
사이버범죄자들은 매우 작은 허점이라도 귀신같이 찾아냅니다.
그렇다고 “클라우드 사용은 위험하니 쓰지 않겠다”고 할 수는 없습니다.
기업이 비즈니스를 영위하는데
많은 혜택을 가져다주니까요.
현업에서 이제는 더 이상
기업 IT부서에 서비스 개발이나 테스트에 필요한 인프라를 IT 부서에
요청하고 기다릴 필요가 없습니다. 필요할 때 직접 클라우드 서비스를 이용하면 됩니다. 내부 동료들, 외부 협력업체들과 협업할 때에도 클라우드 서비스를
이용하면 무척 편리합니다.
대책이 없다면 모를까, 다행스럽게도 클라우드 가시성 부재와 보안 문제를 해결할 수 있는 방안은 이미 제시되고 있습니다.
대표적인 것이 바로 ‘CASB(Cloud Access Security Broker)’입니다. 클라우드
서비스 확산과 함께 기업의 클라우드 앱과 내부 데이터 사용 가시성과 정책 제어, 데이터 보호 방안을
제공할 수 있는 기술입니다.
CASB는 클라우드 서비스를 위해 필요한 보안·통제요소를 상당부분
충족시켜줄 수 있는 방안으로 최근 주목받고 있습니다.
기업 구성원들이 허가받지
않고 클라우드에 접속해 사용하는 단말과 앱을 파악해 모니터링을 수행해 가시성을 확보할 수 있게 합니다. 보안정책에
따른 통제 기능도 적용할 수 있도록 해줍니다.
컴플라이언스를 위반하는
행위도 걸러내는 기능도 제공합니다. 클라우드 서비스에서 사용·보관되는
데이터를 내부 보안규정이나 법규제에 부합할 수 있게 운영할 수 있는 기능이 포함돼 있습니다.
승인 없이 내부 중요정보를
무단으로 클라우드 서비스로 전송하는 경우를 막는 데이터유출방지(DLP)도 공통적인 CASB 솔루션이 제공하는 기능입니다.
비정상 사용자와 단말의
행위를 모니터링하고 분석하는 UEBA(User and Entity Behavior Analytics) 기능도
필수 기능으로 제시됩니다.
기업들은 기존에 물리적
환경에서 사용하는 보안 제품, 여기에 적용했던 보안정책을 클라우드까지 확장하고 싶어합니다. 이같은 기능도 CASB가 지원한다고 소개되고 있습니다.
악성코드로 인한 보안위협을
막는 솔루션도 이미 나와 있습니다.
더욱이 CASB는 초창기엔 SaaS(Software as a Service)만
지원해 왔는데, 최근에는 IaaS(Infra as a Service)와
PaaS(Platform as a Service)까지 지원할 수 있도록 지원범위가 넓어지고 있는 추세입니다.
보안 우려 때문에 클라우드
서비스 사용을 꺼리는 것은 “마치 테러 공격이나 추락 사고가 무서워 비행기를 타고 해외로 가지 못하고, 주식시장 붕괴될까 두려워 투자하지 못하는 것과 같다”고 지적하는
한 보안전문가의 말을 들은 적이 있습니다.
막연한 두려움으로 변화를
거부하기 보다는 먼저 실제 위협과 문제가 무엇인지 직접 파악해 대비하라는 얘기였습니다.
내 삶과 비즈니스를 편리하고
윤택하게 해주는 첨단 기술과 서비스 혜택을 누리면서도 안전하게 이용할 수 있다면, 그게 바로 ‘금상첨화’일 것입니다.
물론 ‘100% 완벽한 보안’ 대책은 없습니다. 클라우드 서비스와 클라우드 보안 기술이 적극적으로 개발되고 활용하기 시작된 지도 그리 오래되지 않았다고 볼
수 있습니다. 그러나 상대적으로 오랜기간 아무렇지 않게 사용해온 ‘물리적’ IT 인프라 환경도 보안성이 완벽하지 못한 것은 마찬가지입니다.
함께 읽어보세요>>
글. <이유지 기자>yjlee@byline.network
이유지 기자는 전문기자들의 멀티채널네트워크(MCN)인 바이라인네트워크에서 활동하고 있습니다.
Tags:
