꼬리를 무는 클라우드 보안 문제…해법은 '제로 트러스트'

멀티·하이브리드 클라우드 채택…특정 CSP 종속성 피하고, 효율성 높여
데이터 주권, CSP별 상이한 보안 체계, 복잡한 개별 관리 등 문제 직면
CSPM, 제로 트러스트 등 클라우드 보안 강화 전략 도입
인재 확보＆즉각적인 안정성 확보를 위해 MSP·MSSP 협력

[포인트경제] IT 인프라가 하이브리드와 멀티 클라우드 환경으로 표준화되면서 효율성은 극대화됐으나, 여러 플랫폼의 경계를 넘나드는 데이터에 대한 보안 유지와 데이터 주권 확보가 기업의 생존을 위협하는 문제가 됐다. 기업들은 클라우드 종속성을 피하고 신뢰 기반 성장을 이루기 위해 '제로 트러스트(Zero Trust)' 등 첨단 보안 전략을 도입하고 있다.

클라우드 AI 이미지 (포인트경제)

기업들이 하이브리드와 멀티 클라우드 전략을 채택하는 이유는 특정 클라우드 서비스 제공업체(CSP)에 대한 종속성을 피하고, 각 CSP가 제공하는 강점 서비스를 취사선택해 효율성을 극대화하기 위함이다. 그러나 이처럼 분산된 환경은 데이터가 국경과 플랫폼을 수시로 이동하게 만들었고, 새로운 차원의 문제를 만들었다.

이 복잡한 환경에서 가장 대두되는 것이 데이터 주권 문제다. 데이터 주권은 데이터가 저장되고 처리되는 국가 또는 지역의 법률과 규제에 종속되는 개념을 의미한다. 데이터가 여러 클라우드와 국경을 넘나들 때, 어느 국가의 법률을 따라야 하는지 경계가 모호해지면서 그 중요성이 더욱 커지고 있다.

또한 멀티 클라우드를 도입한 기업들은 보안과 운영 전반에서 새로운 리스크에 직면하고 있다. 각 CSP마다 보안 모델과 설정 체계가 달라 일관된 기준을 적용하기 어려워지면서 플랫폼 간 보안격차가 발생하고 취약점 노출 가능성이 커진다. 여기에 여러 CSP의 정책과 도구를 각각 관리해야 하는 복잡성이 더해져 보안 설정 오류 등 휴먼 에러가 늘어나고, 이는 실제 사고로 이어질 위험을 높인다.

나아가 데이터가 국가별 규제를 벗어나 관리될 경우, GDPR(General Data Protection Regulation), 국내 개인정보보호법 등 주요 데이터 보호 법규 위반으로 이어질 수 있어, 기업은 막대한 벌금과 신뢰도 하락이라는 결과를 초래할 수 있다.

△ "보안은 인프라다" 기업의 생존 전략

복잡한 멀티 클라우드 환경을 효율적으로 관리하기 위해 CMP(Cloud Management Platform)의 역할이 부각된다. CMP는 여러 클라우드에 분산된 자원의 프로비저닝, 모니터링, 비용 관리를 통합된 단일 창구에서 처리해 운영 효율성을 높이고, 일관된 거버넌스와 보안 정책을 적용하는 기반을 마련한다.

이 기반 위에 CSPM(Cloud Security Posture Management) 솔루션이 클라우드 환경 전반의 보안 설정을 지속적으로 모니터링하고 규제 준수 여부를 점검한다. 최근에는 클라우드 환경의 워크로드 보호(CWPP)와 인프라 권한 관리(CIEM) 기능까지 CSPM에 통합돼, 설계부터 운영까지 모든 영역을 포괄하는 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)으로 발전하고 있다.

'제로 트러스트' AI 이미지 (포인트경제)

또한 기업들이 클라우드 보안을 강화하기 위해 제로 트러스트 모델을 도입하고 있다. "절대 신뢰하지 않고 항상 검증한다"는 원칙 아래 ▲네트워크를 세밀하게 분리하는 마이크로 세그멘테이션, ▲ID와 역할 기반으로 접근을 통제하는 ID 기반 접근 제어, ▲필요한 권한만 부여하는 최소 권한 원칙이 핵심 기술로 꼽힌다.

실제로 구글은 사내 네트워크를 제로 트러스트 기반으로 전환한 '비욘드코프(BeyondCorp)' 모델을 공개하며 업계 표준을 제시했으며, 최근 국내에서도 제조·통신·유통 기업을 겨냥한 해킹·랜섬웨어 사고가 연달아 발생하자 SKT, LG유플러스 등 주요 기업들이 제로 트러스트 기반 접근 통제를 확대 도입하며 보안 체계 강화에 나서고 있다.

단순히 외부 침입을 막는 전통적인 방어 시스템만으로는 한계가 있다. 기업들은 이제 클라우드 환경에서 발생하는 모든 이벤트를 수집·분석하고, AI·머신러닝 기반으로 잠재적 위협을 예측하고 대응하는 위협 탐지·대응 시스템 구축에 집중하고 있다.

△ 클라우드 보안 전문가 수요↑, 정부·기업의 대응

첨단 클라우드 보안 전략과 솔루션의 도입은 결국 이를 운영하고 관리할 전문 인력의 손에 달려 있다. 멀티 클라우드 환경의 복잡성을 이해하고, CSPM, 제로 트러스트 아키텍처를 설계하며, 위협 탐지 시스템을 운영할 수 있는 전문 인력에 대한 수요가 증가하고 있다.

이에 따라, IT 기업들이 우수 보안 인재 확보에 나서며 경쟁이 갈수록 치열해지고 있다. 파격적인 보상과 복지를 내세우는 동시에, 자체 부트캠프·인턴십 등 교육 프로그램을 통해 클라우드 보안 전문 인력을 직접 양성하는 움직임도 활발하다. 각국 정부 역시 민간 기업·대학과 협력해 전문 교육 과정을 확대하며 인력 부족 해소에 드라이브를 걸고 있어, 공공과 민간이 함께 보안 인재 공급 확대에 나서는 흐름이 뚜렷해지고 있다.

나아가, 즉각적인 보안 역량 확보를 위해 MSP(Managed Service Provider)나 MSSP(Managed Securiy Service Provider)와의 협력도 중요한 전략으로 떠오르고 있다. 숙련된 외부 전문 기업에게 복잡한 멀티 클라우드 환경의 24/7 보안 운영과 모니터링을 위탁함으로써, 기업은 인재 확보 부담을 줄이고 보다 안정적인 보안 체계를 신속하게 구축할 수 있게 된다.

궁극적으로 복잡성이 일상이 된 멀티 클라우드 시대에서 기업의 경쟁력은 데이터를 지키는 보안 역량을 얼마나 신속하고 정교하게 갖추느냐에 따라 결정될 것으로 보인다.