예산, 리소스, 전문인력과 지식 등 부족, 사이버공격의 먹잇감
안전하고 평판좋은 CSP, 계정보안, 안전한 API, 데이터 백업 등 필요
[중소기업투데이 이상영 기자] 중소기업들도 클라우드 서비스를 도입하는 사례가 늘고 있으나 ‘보안’이 문제다. 이는 중소기업들의 디지털 전환(DX)의 가장 큰 걸림돌로 지적된 정도로 심각한 사안으로 떠오르고 있다.
그러나 중소기업들은 예산이나 리소스 부족으로 완벽한 보안 시스템을 갖추는게 쉽지 않다.
국내의 한 보안업체 관계자는 “더욱이 중소기업의 경우 용도를 정확히 분석하지 않은채 클라우드 서비스에 가입하는 경우가 많다보니, 보안 시스템을 제대로 이해하지 못하고 있는 사례가 많다”고 지적했다. 그렇다보니 해커들은 중소기업의 허술한 클라우드 구성이나, 액세스 제어의 허점 등 약점을 활용, 광범위한 공격을 펼치곤 한다.
그렇다면 중소기업이 직면하고 있는 구체적인 위험은 어떤 것이 있을까. 최근 영국 국립사이버보안센터(NCSC)가 최근 클라우드 및 온라인 서비스를 사용하는 중소기업을 위한 새로운 사이버 지침을 제시했다.
NCSC는 “중소기업이 스스로를 보호하기 위해 사용할 수 있는 기본적인 사이버 보안 조치에 대한 실질적인 조언”이라고 의미를 부여했다. 이 기관은 중소기업의 가장 큰 문제 중 하나는 클라우드는 날로 복잡해지는 반면, 보안을 적절하게 해결하기 위한 예산과 리소스가 부족하다는 점을 지적했다.
특히 “중소기업이 대규모 기업에 비해 재정적, 인적 자원이 적을 수 있다”면서 “특히 사내 전문 사이버 보안 팀이 없을 가능성이 크다. 다시 말해 대기업만큼 신속하게 위협이나 침해에 대응하기가 어려울 수 있다는 의미”라고 기술매체 기술매체 IT프로에 밝혔다.
이에 따르면 소규모 기업은 전반적인 사이버 보안 전략이 부족한 경우가 많다. 보안을 위한 네트워크 제어가 단편적인 방식으로 구현돼, 일부 영역은 잘 보호되지만 또 다른 영역은 취약점을 그대로 노출할 수도 있다. 한 마디로 중소기업의 가장 큰 사이버보안 취약점은 클라우드 환경의 허술한 구성과 불충분한 액세스 제어기술로 요약된다. 그래서 “민감한 정보의 무결성과 기밀성을 유지하는데 심각한 위협을 초래한다”는 것이다.
더욱이 미래에는 AI 위협과 같은 기술이 현실화되면서 이러한 위험이 더욱 커질 전망이다. 날이 갈수록 AI가 거의 모든 사람에 의해 사용되고, 해커들은 기존의 사이버보안 기술을 회피하기 위해 AI를 활용하는 사례가 크게 늘어날 것으로 보인다.
또 안전하지 않은 API도 날로 증가하며, 취약점을 노출하고 있다. 특히 “API 보안 프로세스는 사람이 가장 실수할 확률이 높은 분야”라는 지적이다.
앞서 이글루코퍼레이션 관계자는 특히 “중소기업들도 원격 회의나 업무를 많이 활용하면서, 한층 사이버 범죄자의 먹잇감이 될 가능성이 커지고 있다”면서 “예를 들어 이메일로 침투하던 피싱 메시지가 이젠 다양한 사내 공동 작업 툴을 통해 침투하기도 한다”고 우려했다.
클라우드 보안 강화 조치들
그렇다면 중소기업으로선 이런 사이버 위협을 어떻게 예방하거나 대처해야 할까. NCSC는 “무엇보다 클라우드 기술을 안전하게 설정하고 관리하는 것이 중요하다”고 전제했다. 특히 평판이 좋은 공급업체(CSP)의 클라우드 솔루션을 사용하는게 안전하다. 그래야만 안전하고 적절한 설정, 유지 관리가 보장되며, 행여 문제가 발생할 경우에도 충분히 대처할 수 있다는 것이다.
클라우드에 대한 적절한 전문 지식도 중요하다. 하지만 중소기업에선 이런 점이 부족하다보니, 복잡한 클라우드 환경을 제어, 관리하는 데 어려움을 겪게 된다.
책임 소재, 즉 “누가 무엇을 책임지고 있는지 아는 것”도 중요하다. 클라우드 컴퓨팅에서 보안에 대한 책임은 클라우드 서비스 제공업체와 고객이 공유하는게 원칙이다. 특히 “공급업체는 인프라를 보호하고 업계 표준을 준수할 책임이 있는 반면, 고객은 클라우드 환경 내에서 데이터, 애플리케이션 및 구성을 보호할 책임이 있다.”고 NCSC는 규정했다.
또 데이터 암호화, 액세스 제어, 사고 대응 프로토콜을 포함, 클라우드 공급자의 보안 관행을 늘 검검하는 것도 중요하다. 그래서 클라우드 제공업체의 공동 책임 모델을 이해하는 것이 중요하다는 조언이다.
흔히 퍼블릭 클라우드의 경우 그 옵션이 거의 100개에 달한다. 그래서 “모든 서비스에 대해 공을 들여 설정을 검토해야 하며, 직원들 모두 자신이 수행하는 작업을 이해하고 적절하게 보안이 유지되는지 확인해야 한다”는 것이다.
또한 중소기업은 클라우드 서비스의 계정 보안이 중요하다는 조언이다. NCSC는 “기업들은 강력한 비밀번호를 사용해 다단계 인증(MFA)을 시행하고, 계정이 공유되지 않고 최소한의 필수 권한이 할당되었는지 확인할 수 있어야 한다. 이를 통해 클라우드 서비스 계정 보안에 철저를 기하며 그 기능 역시 꾸준히 향상시켜야 한다”고 권했다.
국내 보안업체 E사 “소규모 기업에서는 흔히 IT 보안을 담당하는 인력이 적기 때문에 직원들이 클라우드 위협을 감지할 수 있는 충분한 수준의 지식과 이해를 갖도록 하는 교육이 필수”라고 강조했다. 그는 또한 “취약성 관리나 평가에 과감히 비용을 투자하고, API가 완벽한지도 수시로 확인해 침투를 예방할 수 있다”면서 “특히 경영진은 정기적인 데이터 백업과 함께 하이브리드 백업 전략을 구현하고, 강력한 복구 계획을 수립해야 한다”고 주문했다.