7년 전, 클라우드 보안 설정 오류로 인해 기업 데이터가 위험에 처하고 있다는 분석이 제기됐다. 당시 아마존 저장소 버킷이 공용으로 노출돼 수백만 건의 민감 정보가 유출됐다. 클라우드 서비스는 도입 초기 단계였고, 서비스 제공업체도 체계적 보안 구성을 쉽게 지원하지 않았다.

그로부터 시간이 흘렀지만, 기업의 클라우드 자산은 여전히 완전히 보호되지 못하고 있다.

보안 기업 퀄리스(Qualys)의 4월 보고서에 따르면, 조사 대상 기업의 28%가 최근 1년 내 클라우드 또는 SaaS 관련 침해 사고를 겪었다고 답했다. 또 24%는 잘못된 서비스 설정이 인적 오류와 사이버 공격에 이어 세 번째로 큰 위협 요인이라고 응답했다.

퀄리스는 퍼블릭 클라우드 환경에서 운영 중인 가상머신 4,400만 대를 조사했다. 그 결과, 아마존웹서비스(AWS)의 45%, 구글 클라우드 플랫폼(Google Cloud Platform)의 63%, 애저(Azure)의 70%가 잘못된 설정을 포함한 리소스를 보유하고 있었다.

또한 조사 대상 공용 가상머신의 63%는 연결된 EBS 스토리지에 암호화 기능이 적용되지 않은 상태였다.

SaaS 도구 확산이 만든 설정 오류의 함정

기업의 SaaS 도입이 늘어나면서 설정 실수의 가능성도 함께 커지고 있다. 최근에는 블루쉴드 캘리포니아(Blue Shield California) 가입자 470만 명의 데이터가 구글 애널리틱스 설정 오류로 유출됐다.

베트코어(Vetcor) 최고보안책임자 앤드루 와일더는 “마이크로소프트, 구글, 아마존이 문제를 남겼다”라고 지적했다. “기본 설정이 모두 비보안 상태이며, 이후 사용자가 보안을 추가해야 한다. 보안 기능이 기본으로 내장된 환경을 제공해야 한다. 잠금장치가 없는 자동차를 누가 사겠는가?”

와일더는 “보안을 설계 단계부터 내장해야 한다”며 “기본적으로 안전한 서비스를 제공하면 써드파티 도구에 의존할 필요가 없다”라고 덧붙였다. 베트코어는 현재 하이퍼스케일러의 기본 보안 도구를 사용 중이며, “지금으로서는 그 수준으로 충분하다”라고 밝혔다.

보안팀 배제된 빠른 도입 문화가 문제

EY 미주 사이버보안 리더 아얀 로이는 “지난해 가장 많은 침해 사고는 공유형 클라우드 저장소에서 발생했다”라고 설명했다. “대량의 데이터 유출이 공유 클라우드 저장소와 SaaS 애플리케이션에서 비롯됐다”라고 말했다.

로이에 따르면, 대다수 기업은 클라우드 보안 정책과 거버넌스 프로세스를 보유하고 있음에도 불구하고, 섀도 IT로 인해 문제를 겪는다. 비즈니스 부서가 새로운 클라우드 서비스를 도입하면서 로그·모니터링 기능, 다중 인증(MFA), 접근 제어를 제대로 설정하지 않는 경우가 많기 때문이다.

“비즈니스 부서는 신속한 출시와 가치 창출 속도를 중시하지만, 보안팀이 초기 단계부터 참여하지 못한다. 사이버보안은 사후 대응으로 밀려나며, 결국 문제는 거기서 시작된다.”

기업이 취할 수 있는 가장 실질적인 예방책은 검증된 안전한 플랫폼 사용 인식 제고다. 이를 위해 직원 교육 강화와 내부 커뮤니케이션 개선이 필요하다.

또한 로이는 인수합병 과정의 보안 검증 부재도 큰 리스크라고 지적했다. “인수 시에는 반드시 사이버보안 실사와 투자 계획을 포함해야 한다”라고 말했다.

클라우드 설정 오류, 기업 규모 따라 편차

애스퍼리타스(Asperitas)의 클라우드 컨설팅 리드 스콧 휠러는 “기업 규모가 크고 규제 감시가 엄격할수록 설정 오류가 줄어드는 경향이 있다”라고 분석했다. 반면 “규제 압박이 약한 중소 제조업체 등은 보안보다 속도를 우선시하는 경향이 강하며, 그 과정에서 오류가 자주 발생한다”라고 밝혔다.

소규모 기업은 보안 인력과 관리 도구가 부족해 노출된 저장소나 웹 서비스, 과도한 권한 설정 문제를 겪는다.

휠러는 “제로 트러스트 개념은 최소 권한 원칙을 전제로 하지만, 실제로는 구현이 어렵다”라고 지적했다. 개발 중 임시로 권한을 늘려놓고, 운영 환경으로 전환할 때 원상 복구하지 않는 사례가 많다는 것이다.

가장 흔한 실수는 데이터베이스나 자산이 보안 네트워크가 아닌 공용 네트워크를 통해 통신하는 경우다. 휠러는 “기본 설정만으로는 사설 네트워크 통신이 적용되지 않는 서비스가 많다”며 “이 때문에 내부 환경 침해가 빈번하게 발생한다”라고 말했다.

다중 인증 미적용도 또 다른 위험 요소다. 탈레스(Thales)에 따르면, 기업이 보유한 민감 데이터의 51%만 암호화되어 있으며, 80% 이상 암호화하는 기업은 8%에 불과하다고 보고됐다.

데이터 노출을 줄이기 위한 9가지 설정 원칙

1. 모든 접근에 다중 인증 적용
   사용자 일부가 아닌 전체 계정에 MFA를 적용해야 한다. 예를 들어 세일즈포스(Salesforce) 계정 탈취 사고 중 상당수가 MFA 설정 미비에서 비롯됐다.
2. 서비스 간 통신을 사설 네트워크로 제한
   데이터베이스와 클라우드 서비스는 공용 인터넷이 아닌 사설 네트워크 기반 통신으로 설정해야 한다. 휠러는 “이 항목이 침해 사고 조사에서 가장 빈번히 발견되는 오류”라고 밝혔다.
3. 데이터 전송·보관 시 모두 암호화 적용
   탈레스 보고서에 따르면 민감 데이터의 절반만 암호화돼 있다. 양자 컴퓨팅 시대를 대비해 양자 내성 암호화(Quantum-proof Encryption) 알고리즘 도입도 필요하다.
4. 최소 권한 원칙 적용
   사용자와 시스템에는 반드시 필요한 권한만 부여해야 한다. 과도한 권한은 데이터 유출 위험을 높이며, 제로 트러스트 보안 원칙의 근간을 훼손한다.
5. 인프라 변경은 코드 기반으로 관리
   콘솔에서 수동 변경을 하면 추적이 어렵다. 인프라 코드 관리(IaC) 도구를 사용해 변경 사항을 자동 추적·검증·롤백 가능하게 해야 한다.
6. 지속적 설정 점검 수행
   초기 설정 이후에도 구성 상태를 정기적으로 점검해야 한다. 클라우드 보안 상태 관리(CSPM) 도구가 다중 클라우드 모니터링에 유용하다.
7. 저장소 공개 접근 차단
   아마존 S3 버킷 노출은 여전히 주요 사고 원인이다. 버킷 정책과 접근 제어를 통해 기본 비공개로 설정하고, 테스트 목적으로 공개한 경우 반드시 원복해야 한다.
8. 모든 배포 환경에 로그·모니터링 활성화
   주요 클라우드 서비스 외에 섀도 IT 영역에서도 로그와 모니터링이 적용돼야 한다. 부서 간 소통을 강화하고 기업 단위 기술 배포 표준화가 필요하다.
9. 보안을 설계 단계부터 포함
   클라우드 아키텍처 설계 초기에 보안을 반영해야 한다. 사후 보안 강화는 훨씬 어렵고 비효율적이다.

AI가 문제를 해결할 수 있을까

최근 많은 보안 기업이 인공지능이 보안을 자동화·효율화할 것이라고 주장하고 있다. 그러나 현실은 아직 다르다.

베트코어의 와일더는 “생성형 인공지능이 설정 문제를 해결할 가능성은 있지만, 단기간 내 실현되지는 않을 것”이라고 평가했다. “에이전트형 인공지능(agentic AI)이 보안팀의 역량을 보완하고 인력 부족 문제를 완화할 잠재력은 있지만, 기업 변화 관리와 운영 체계 정비가 선행돼야 한다”라고 분석했다.
dl-itworldkorea@foundryco.com