클라우드 보안은 하나의 실체가 아니며, 클라우드에 있는 데이터와 애플리케이션을 보호하는 IT 관리자, 클라우드 프로세스 및 정책, 보안 솔루션으로 구성된 생태계 전체를 의미합니다. 이러한 보안 조치는 데이터 보호뿐만 아니라 규제 준수 지원, 고객의 개인 정보 보호, 인증 규칙 설정 등을 지원하기 위해 마련됩니다.
이러한 방식으로, 기업의 고유한 요구 사항을 충족하기 위해 클라우드 보안을 맞춤 구성할 수 있습니다. 물론, 구성 및 인증 규칙은 한곳에서 변경하고 관리할 수 있습니다. 따라서 기업이 신뢰할 수 있는 클라우드 보안 전략을 수립한 경우, 클라우드 환경을 관리하는 데 소중한 시간을 사용할 필요가 없습니다.
민감한 고객 데이터와 비즈니스 데이터가 클라우드에 저장되고 전반적으로 클라우드로 이동하는 기업이 증가하고 있으므로 클라우드 보안 전략을 도입하는 일은 필수 과제가 되었습니다. 수년에 걸쳐 보안 범죄자들은 더욱 정교하고 탐지하기 어려운 공격을 조직에 감행하면서 진화해왔습니다. 조직이 어떤 클라우드를 선택하든, 공격자들은 가장 큰 기업의 클라우드도 침해할 수 있는 수준으로 영리해졌습니다.

적절한 클라우드 보안 전략이 마련되어 있지 않으면 기업의 클라우드 컴퓨팅 아키텍처에 심각한 보안 문제가 발생하기 쉽습니다. 아래 항목들은 기업이 직면할 수 있는 가장 흔한 보안 위협과 위험의 예를 보여줍니다.
- 민감한 데이터 손실: 클라우드에 저장된 데이터 중 다수는 민감한 정보, 개인 정보 또는 지적 재산을 포함합니다. 기업의 클라우드 서비스가 침해되면 사이버 공격자는 쉽게 이러한 데이터에 액세스할 수 있습니다. 그러나 공격이 발생하지 않은 경우에도 특정 서비스는 위험을 제기할 수 있습니다. 이러한 서비스의 약관에서 업로드된 데이터에 대한 소유권을 주장하는 경우에 그러합니다.
- 최종 사용자에 대한 통제력 상실: 적절한 가시성과 통제력을 확보하지 못하면 회사의 최종 사용자는 자신도 모르게 또는 고의로 조직을 위험에 빠뜨릴 수 있습니다. 한 가지 예를 알려드리겠습니다. 퇴사하려는 영업사원이 고객 연락처에 관한 보고서를 다운로드한 후 개인용 클라우드 스토리지 서비스에 이러한 데이터를 업로드하기로 합니다. 이 영업사원이 경쟁사에 의해 채용되는 경우, 이 사람은 이러한 데이터를 활용할 수 있습니다.
- 맬웨어: 클라우드 서비스는 데이터 유출 또는 사이버 공격자가 컴퓨터에서 무단으로 확보한 데이터를 전송하는 프로세스의 주된 표적입니다. 안타깝게도, 이러한 사이버 범죄자들은 개방형 및 은폐형 방법을 포함하여 탐지하기 어려운 새로운 데이터 유출 방법을 개발해왔습니다.
- 계약 관련 침해: 비즈니스 당사자가 계약을 체결할 경우, 이러한 계약에 따라 데이터 사용 방식과 데이터 액세스 주체가 제한되는 경우가 많습니다. 그러나 직원이 승인을 받지 않고 제한된 데이터를 클라우드로 이동할 경우, 계약이 위반되어 법적 보복을 유발할 수 있습니다.
- 평판 훼손: 데이터가 침해되면 필연적으로 고객이 조직을 신뢰할 가능성이 낮아집니다. 적절한 수준의 신뢰가 형성되지 않으면 조직은 수익 손실을 감수해야 할 수 있습니다. 안타깝게도, 매우 잘 알려진 카드 데이터 침해가 Target에 발생했습니다. 사이버 공격자가 4,000만 개 이상의 신용 카드 및 직불 카드 정보를 훔쳤고, 그 결과 이 회사는 신뢰를 잃게 되었습니다. 고객의 신뢰를 잃은 경우 “고객 이탈” 현상이 흔히 발생합니다. 고객 이탈은 침해 이전에 충성도와 만족도가 높았던 고객까지 다른 회사로 이동하는 현상을 말합니다.
- 수익 손실: 궁극적으로, 데이터 침해 후에 고객이 직면할 수 있고 직면하게 되는 가장 타격이 큰 결과 중 하나는 수익 손실입니다. 기업이 민감한 재정적 정보를 보호할 수 없다고 생각하여 기업에 대한 신뢰를 잃게 되면, 충성도 높은 고객이 다른 회사로 이동하게 되므로 침해를 당한 회사에 막대한 비용이 발생합니다. 데이터 침해의 평균 비용은 약 400만 달러라고 합니다. 이러한 금액을 대가로 치를 수 있는 기업은 많지 않습니다.
모든 클라우드 모델은 위협에 취약합니다. 지금까지 효과적으로 통제 및 관리할 수 있고 높은 수준의 보안이 유지되는 것으로 알려진 온프레미스 아키텍처도 마찬가지입니다. 안타깝게도, 사이버 범죄자들이 공격을 개선하고 강화하고 있으므로 기업들은 데이터 도난, 유출, 손상, 삭제를 방지할 수 있는 강력하고 확실한 클라우드 보안 전략을 수립해야 합니다.
과거에는 보안 침해를 방어하려면 인간이 개입하는 전통적인 IT 보안으로 충분했습니다. 그러나 요즘에는 24시간 일하는 인간 작업자에게 사용할 시간과 자금이 거의 없으며, 이러한 보안 업무는 매우 지루하기 때문에 불가피하게 실수와 보안 프로토콜의 허점을 유발합니다. 클라우드 보안은 전통적인 IT 보안 기능을 수행하고, 기업이 보안을 유지하고 개인 정보 보호 및 규정 준수 요구 사항을 충족하는 동시에 클라우드 컴퓨팅의 강력한 이점을 활용하도록 지원하여 이러한 우려를 해소합니다.
클라우드 보안은 프라이빗부터 퍼블릭까지 어느 클라우드 모델에든 유용하지만, 멀티클라우드 환경에 특히 더 유용합니다. GigaOm에 따르면, 유연성과 확장성 때문에 기업 중 92%가 이미 하이브리드 또는 멀티클라우드 전략으로 이동한 것으로 나타났습니다.
기본적으로, 멀티클라우드 환경은 다른 클라우드 운영 시스템보다 더 복잡하지는 않지만, 일반적인 장애 없이 멀티클라우드 환경이 실행되려면 "단일 인터페이스"를 통해 상당한 수준의 통제력과 가시성을 확보해야 합니다.

그러나 멀티클라우드 환경에 대한 완전한 가시성을 유지하는 일은 복잡할 수 있기 때문에 많은 경우 기업들은 클라우드 전담 전문가를 선택해야 합니다. 복잡성이 증가할수록, 환경 관리로 인해 발생하는 비용도 증가합니다.
가시성을 확보하지 못하면 통제되지 않은 보안 위험이 멀티클라우드에 발생할 수 있습니다. 전문가를 활용하는 경우에도, 인적 오류가 발생할 수 있고 사이버 공격이 점점 더 정교화되고 있으므로 24시간 보안을 유지하는 일은 거의 불가능해집니다. 멀티클라우드 전문가로 구성된 전담 팀을 유지하면서 발생하는 부담과 비용을 최소화하는 동시에 멀티클라우드 시스템의 안전성을 달성하려면 자동화된 클라우드 보안 조치를 반드시 실행해야 합니다.