Article at a Glance

2025년 SK텔레콤, 롯데카드, Salesloft-Drift 등 국내외 대형 보안 사고가 연이어 발생하면서 클라우드 보안에 대한 우려가 커지고 있다. 그러나 미국 병원 5400여 개를 6년간 추적한 실증 연구는 다른 관점을 제시한다. 클라우드 도입 직후에는 외부 해킹과 우발적 내부 침해가 늘지만 시간이 지나면 외부 해킹 증가 효과가 사라지고 우발적 내부 침해는 오히려 줄어든다. 문제는 클라우드 기술 자체가 아니라 전환 과정에서의 ‘주의력 분산’이다. 그리고 클라우드 전환기에 보안 리더십이 적절히 작동하면 단기적인 보안 악화를 막을 수 있다. 클라우드는 본질적으로 더 안전하거나 위험한 기술이 아니다. 전환기에 주의력과 책임 구조가 관리되지 않으면 위험해지고 반대로 이를 통제하면 장기적으로는 보안 취약성을 줄이는 방향으로 작동할 수 있다.

---

2025년, 보안 사고의 해부학

2025년 4월 SK텔레콤에서 최대 약 2300만 명의 유심 정보가 유출됐다. 해커가 가입자 인증 서버(HSS)에 침투해 IMSI 등 핵심 가입자 식별·인증 정보를 탈취하면서 정부 당국이 유심 교체를 권고하는 초유의 사태가 벌어졌다. 같은 해 롯데카드에서는 297만 명의 개인정보가 유출됐는데 유출된 정보에는 고객의 카드번호, 비밀번호 일부, 유효기간, CVC 등 결제정보까지 포함돼 있었다. 특히 롯데카드의 경우 국내 최고 수준의 보안 인증인 ISMS-P를 보유한 상황에서 대규모 해킹 사고가 터졌다는 점이 충격을 자아냈다.

피해는 대기업에 국한되지 않았다. 넷마블에서는 611만 명의 개인정보가 유출됐고 휴면 ID 3100만 개까지 포함하면 장기 보관 데이터가 오히려 보안 리스크로 작용했다. Yes24는 랜섬웨어 공격으로 수일간 사실상 전면 마비돼 금전적 및 비금전적 손실을 입었다. SGI서울보증에서는 며칠간 전산·보증 업무가 중단됐으며 이는 국내 보험·보증업계에서 첫 대형 랜섬웨어 마비 사례로 평가된다.

글로벌 상황도 다르지 않다. 매년 전 세계 수만 건의 실제 침해 사고 데이터를 조사하는 버라이즌(Verizon) 2025년 보고서(DBIR)1 1Verizon (2025). 2025 Data Breach Investigations Report. 닫기 에 따르면 제3자(클라우드 벤더, SaaS 파트너 등)와 관련된 침해가 전년 대비 두 배로 증가해 전체의 30%를 차지했다. 2025년 8월에는 세일즈포스 연동 서비스인 Salesloft-Drift를 통한 공급망 공격이 발생해 수백 개, 최대 700개 이상의 조직이 영향을 받은 것으로 보고되기도 했다. 주요 공격 경로는 일종의 디지털 출입증인 OAuth 토큰의 탈취와 그 악용이었다. 공격자는 이 토큰을 정상적인 애플리케이션 간 연동처럼 보이게 만들어 데이터에 접근했다. 즉 클라우드 서비스 간의 신뢰 관계를 악용해 보안사고를 일으킨 것이다. 이 사건에는 ‘SaaS판 솔라윈즈’라는 오명까지 붙었다. 2020년 일어난 역사상 최악의 공급망 공격 사건 ‘솔라윈즈’에 빗댄 이름이다. 그리고 이는 클라우드 보안 논의를 촉발하는 전환점이 됐다.

“가장 위험한 공격은 뚫고 들어오는 것이 아니라 신뢰를 악용하는 것이다(The most dangerous attacks did not break in—they abused trust).”

— Verizon DBIR 2025

일련의 사고들을 보면 ‘클라우드는 위험하다’는 결론을 섣불리 내리기 쉽다. 하지만 잠깐, 한 가지 질문을 던져보자. 이 사고들의 공통점은 무엇인가? SK텔레콤은 내부 서버 침해였고, 롯데카드는 결제 서버 취약점이었다. Salesloft-Drift 사건은 OAuth 토큰 관리 실패였다. Yes24와 SGI서울보증은 백업 체계 미비로 피해가 확대됐다. 이들 사고의 근본 원인은 클라우드 기술 자체의 결함이 아니다. 클라우드 환경으로의 전환 과정에서 발생한 ‘관리 공백’이 문제였다. 새로운 시스템에 적응하는 동안 조직의 주의력이 분산되고, 책임 경계가 모호해지고, 기존 보안 습관이 통하지 않는 상황에서 사고가 터진 것이다.

이 지점에서 바로 실증 연구가 의미를 갖는다. 필자가 연구진으로 참여한 최근 한 연구는 미국 병원 5400여 개의 6년간 데이터를 분석했다.2 2Li, H., Kettinger, W. J., & Yoo, S. (2024). Dark clouds on the horizon? Effects of cloud storage on security breaches. Journal of Management Information Systems, 41(1), 206–235. 닫기 그 결과 클라우드 보안은 ‘기술’의 문제가 아니라 ‘시간’의 문제임이 확인됐다.




연구가 말하는 것:
단기 진통, 장기 안정

이 연구는 2013년부터 2017년까지 미국 병원들의 클라우드 스토리지 도입과 보안 침해 간의 관계를 추적했다. 의료 산업은 개인정보보호법(HIPAA)의 엄격한 규제를 받으면서도 클라우드 도입이 활발하게 진행되는 분야다. 또한 보안 침해 발생 시 그 사실을 의무적으로 보고해야 하기 때문에 사고를 은폐하기 어렵다. 데이터의 신뢰성이 높다는 얘기다.

연구진은 기존 문헌을 따라 보안 침해를 외부 해킹(External Breach), 우발적 내부 침해(Accidental Internal Breach), 악의적 내부 침해(Malicious Internal Breach)의 세 가지 유형으로 구분했다. 외부 해킹은 조직 외부의 공격자가 시스템에 침입해 데이터를 탈취하는 경우다. 우발적 내부 침해는 직원의 실수로 인한 정보 유출이다. 노트북 분실, 이메일 오발송, 잘못된 접근 권한 설정 등이 여기에 해당한다. 셋째, 악의적 내부 침해는 직원이 의도적으로 정보를 유출하거나 파괴하는 유형이다.

클라우드 도입 기업과 미도입 기업의 보안을 단순 비교하기는 어렵다. 애초에 IT 역량이나 보안 투자 여력이 다른 병원들이 클라우드를 먼저 도입했을 가능성이 있어 선택 편향이 발생하기 때문이다. 이를 통제하기 위해 연구진은 클라우드를 도입한 병원 196개와 규모, 지역, IT 인프라 수준 등 관측 가능한 특성이 유사하지만 클라우드를 도입하지 않은 병원 1290개를 매칭해 비교했다.3 3성향점수매칭(Propensity Score Matching, PSM) 방법 닫기 아울러 다양한 사양·시차·대체 변수·서브샘플을 활용해 여러 방식으로 결과를 반복 검증함으로써 분석 조건이 달라져도 결론이 유지된다는 점을 확인했다. 그 결과 다음과 같은 패턴이 나타났다. (표1)



핵심 발견은 세 가지다. 첫째, 클라우드 도입 직후에는 외부 해킹과 우발적 내부 침해가 모두 증가했다. 클라우드 보안에 대한 우려가 근거 없는 기우는 아니라는 의미다. 둘째, 그러나 시간이 지나면 상황이 달라진다. 외부 해킹 증가 효과는 약 3년 후 통계적으로 사라져 클라우드 미도입 기업과 차이가 없어졌다. 우발적 내부 침해는 오히려 낮아졌다. 셋째, 악의적 내부 침해는 클라우드 도입과 무관하게 일정하게 유지됐다. 이는 내부자의 악의는 기술로 통제하기 어렵다는 점을 시사한다.

물론 이 결과만으로 클라우드가 근본적으로 더 안전하다거나 외부 해킹을 줄이는 데 효과적이라고 주장할 수는 없다. 이는 본 연구만의 문제가 아니라 사이버보안 실증 연구 전반의 도전 과제다. 특히 IT 보안 예산 투입의 효과는 학계에서도 논쟁 중인 주제다. 가령 2023년 발표된 한 연구는 미국 상장기업을 대상으로 8년간 패널 데이터를 분석해 IT 투자와 보안 침해의 관계가 항상 일관되게 나타나는 것은 아님을 발견했다.4 4Kwon, J., & Johnson, M. E. (2023). Where is IT in information security? The interrelationship among IT investment, security awareness, and data breaches. MIS Quarterly, 47(1), 281-308. 닫기 이 연구에 따르면 이 관계는 ‘위협 인식(threat awareness)’에 의해 달라졌다. 즉 단순히 투자를 늘린다고 보안 침해 사고가 줄어든 것이 아니라 투자가 어떤 맥락에서 이뤄지느냐가 중요하게 작용한 것이다. 가령 조직이 사이버 위협을 실제 경영 리스크로 인식하고 조직 차원의 문제로 여길 때에만 IT에 투자를 했을 때 실제 보안 사고가 의미 있게 감소했다. 악의적인 내부 침해가 클라우드 도입과 무관하다는 발견 역시 내부자 위협 연구의 일관된 결론과 부합한다. 악의적 내부자는 기술적 요인보다 개인의 동기, 조직문화, 심리적 요인에 의해 좌우되기 때문이다.

그렇다면 과거, 그것도 미국 데이터에 기반한 발견들이 오늘날 한국의 상황에도 의미가 있을까? 2022년 연구는 미국 연방 정부 기관 데이터를 분석한 결과 기업이 클라우드로 이전하면 보안 사고 발생 확률이 감소한다는 결과를 내놨다.5 5Pang, M.-S., & Tanriverdi, H. (2022). Strategic roles of IT modernization and cloud migration in reducing cybersecurity risks of organizations. Journal of Strategic Information Systems, 31(1), 101707. 닫기 이 결과는 장기적으로는 클라우드 전환이 보안에 해롭지 않다는 주장을 뒷받침한다. 다만 필자가 수행한 연구는 ‘단기 악화’와 ‘장기 회복’이라는 동태적 패턴을 분리함으로써 클라우드 전환에 동반되는 ‘진통기’가 존재함을 실증적으로 규명한 것이다.

버라이즌의 DBIR 2025의 데이터 역시 유사한 패턴을 보여준다. 보고서에 따르면 전체 보안 침해 사고 60%는 여전히 ‘인간 요소(Human Element)’와 관련돼 있다. 설정 오류, 피싱, 자격 증명 관리 실패 등이다. 클라우드 기술 자체가 뚫리는 것이 아니라 클라우드 환경에서 인간이 실수하는 것이 더 큰 문제라는 얘기다. 그리고 이 실수는 시간이 지나면서 학습을 통해 줄어들 수 있다.

실제로 학습의 징후가 나타나고 있다. 같은 보고서에 따르면 자격 증명 도용을 통한 침해 비율이 전년 38%에서 31%로 감소했다. MFA(다중 인증) 도입이 확산되고 피싱 대응 훈련이 일상화되면서 가장 기본적인 인간 실수는 점차 줄어들고 있는 모습이다. 물론 공격자들도 진화해 MFA 우회 기법을 고도화하고 있지만 전체적인 추세를 보면 조직들이 클라우드 환경의 보안 원칙을 학습하고 있음을 알 수 있다.


왜 이런 패턴이 나타나는가:
주의력의 경제학

이렇게 클라우드 전환기에 보안이 취약해졌다가 궁극적으로는 회복하는 현상을 어떻게 설명해야 할까? 이는 ‘주의력 기반 관점(Attention-Based View)’으로 해석할 수 있다. 이 설명의 핵심 전제는 조직의 주의력이 유한하다는 점이다. 경영진과 IT팀이 한번에 관심을 기울일 수 있는 이슈의 수는 제한적이다. 그리고 새로운 기술 도입은 필연적으로 조직의 주의력을 재배분하게 만든다. 이는 보안 실패가 대체로 기술 역량 부족의 문제가 아니라 조직이 무엇을 먼저 보느냐의 문제, 즉 전략적 주의력 배분의 문제임을 의미한다.

1. 단기: 기능 우선의 선택적 주의
(Selective Attention)

클라우드 도입 초기, 조직의 주의력은 데이터 마이그레이션·시스템 통합 등 기능적 성공에 집중되기 쉽다. 자연히 보안은 후순위로 밀리고 책임 분산 심리까지 더해져 ‘벤더가 알아서 하겠지’라는 방심으로 이어진다. AWS의 유명한 문구 ‘클라우드의 보안(Security of the Cloud)은 AWS가, 클라우드 안에서의 보안(Security in the Cloud)은 고객이’는 보안이 기본적으로 공동 책임이라는 것을 보여준다. 클라우드 서비스를 쓰거나 인증을 받으면 기본적으로 안전하고 책임으로부터 자유롭다고 생각하기 쉽지만 현실에서의 사고 대부분은 고객 책임 영역에서 터지기 때문이다. 기본적인 API키, OAuth 토큰 유출이나 연동 SaaS 설정 오류 등이 대표적이다. 이 문구는 너무나도 유명하지만 실제로 얼마나 잘 이해되고 실천되는지는 별개의 문제다.

2025년 국내에서 발생한 사례들은 이런 책임의 전가, 회피 메커니즘이 여전히 작동하고 있음을 시사한다. 예를 들어 2025년에 보고된 미국 대형 생명보험사 알리안츠생명의 사례 역시 내부 서버가 뚫린 사건이 아니라 ‘신뢰하고 맡긴 제3자 클라우드 CRM 시스템’의 취약으로 140만 고객 정보가 유출된 사건이었다. 내부 시스템은 멀쩡했지만 벤더 관리가 허술했기 때문에 연동 계정이 공격 경로가 됐던 것이다. 한국의 롯데카드 사고도 유사한 패턴을 보인다. ISMS-P 인증이라는 엄격한 보안 인증 체크리스트를 통과한 것과 실제 운영 환경에서 보안을 유지하는 것은 전혀 다른 문제였다.

2. 장기: 학습을 통한 주의 유연성과 경계성

과도한 낙담도 경계해야 한다. 초기 과제가 해결되면 자연히 조직들도 보안에 주의력을 재배분할 여유를 갖게 되기 때문이다. 초기 사고는 고통스럽지만 피드백으로 작용해 주의 재배분을 촉진할 수 있다. 2017년 발표된 한 논문은 미국 의료기관 데이터를 분석한 뒤 IT 보안 투자가 언제나 효과적인 것이 아니라 조직이 처한 제도적 맥락에 따라 달라짐을 증명했다.6 6Angst, C. M., Block, E. S., D’Arcy, J., & Kelley, K. (2017). When do IT security investments matter? Accounting for the influence of institutional factors in the context of healthcare data breaches. MIS Quarterly, 41(3), 893-916. 닫기 이 연구에 따르면 보안 투자가 침해 위험을 줄이는 효과는 조직이 처한 규제 압력, 업계 표준, 동종 기관의 침해 경험 등에 의해 강해진다. 즉 규제 환경이 더 강력해지고 외부의 감시, 감독이 강화되고 평판 리스크, 업계 표준 준수 압력 등이 생기면 강해진다는 것이다. 이는 필자 연구의 발견과도 일치하며 현재 한국의 상황과도 맥을 같이한다. 클라우드 전환 초기의 진통을 겪은 조직이 점차 시간이 지나면서 보안에 주의력을 재배분하고, 업계의 사고로부터 학습하며, 제도적 압력에 반응하는 과정이 장기적 보안 개선으로 이어지는 것이다. 핵심은 ‘지속적 학습 과정’에 있다.

클라우드로 이전하기 전 온프레미스(자체 서버) 환경의 보안 습관은 클라우드에서 통하지 않는 경우가 많다. 과거 IP를 기반으로 접근을 제어하고, 회사 내부나 정해진 공간만 접속을 허용하고 외부 접속은 차단하던 습관은 이제 달라져야 한다. 방화벽 뒤에 숨어 있던 시스템은 클라우드 환경에서 인터넷에 노출되기 때문이다. IP 기반 접근 제어 대신 ID와 권한 관리가 새로운 핵심이 된다. 이런 패러다임 전환을 학습하는 데는 시간이 걸릴 수밖에 없다.

우발적인 내부 침해도 장기적으로는 줄어든다. 여기에는 구조적 이유도 있다. 클라우드로 전환하면 물리적 저장 장치(노트북, 외장하드, USB) 사용이 줄어든다. 데이터가 중앙에 집중되므로 민감한 정보를 들고 다닐 필요가 없어지기 때문이다. 필자의 연구에서 클라우드 미도입 병원의 우발적 내부 침해 대부분은 노트북·외장하드 분실 등 물리적 장치와 관련된 사고였다. 그런데 클라우드 도입 후 물리적 장치 의존도가 줄어들면서 우발적 침해의 구조적 위험도 감소했다. 또한 클라우드 환경에서는 접근 로그가 자동으로 기록되고 이상 접근 탐지가 쉬워진다. 온프레미스 환경에서는 별도로 구축해야 했던 모니터링 시스템이 클라우드에서는 기본 기능으로 제공되는 경우도 많다. 이런 도구들을 활용하는 법을 배우는 데 시간이 걸리지만 일단 익숙해지면 보안 수준이 향상될 수 있다.


CISO의 존재가 만드는 차이

연구진이 추가 분석을 진행하는 과정에서 특히 눈에 띄는 결과도 확인됐다. 보안 전담 리더십의 존재 여부였다. CISO(최고정보보호책임자)나 이에 준하는 보안 책임자가 있는 조직에서는 클라우드 도입 직후 나타나는 단기적 보안 악화 현상이 통계적으로 뚜렷하게 나타나지 않았다. 이는 보안 책임자가 있을 경우 초기 위험이 실제로 줄어들었거나 적어도 조직 차원에서 효과적으로 관리·흡수됐을 가능성을 보여준다.

이 발견의 의미를 생각해보자. 보안 전담 리더십의 존재는 조직 내에서 주의력 배분 구조를 재구성할 가능성이 있다. 최근 학계에서도 CISO의 전략적 역할에 대한 관심이 급증하고 있다. CISO 문헌 리뷰에 따르면7 7Sahin, Z., & Vance, A. (2025). What do we need to know about the Chief Information Security Officer? A literature review and research agenda. Computers & Security, 148, 104063. 닫기 CISO는 단순한 기술 관리자를 넘어 C레벨 경영진(C-Suite) 내부에서 보안 투자에 대한 정당성을 확보하고 보안을 전사적 의사결정에 통합시키는 역할을 한다. 2023년 미국 증권거래위원회(SEC)가 상장기업에 사이버보안 책임자 지정과 이사회 보고 여부 공시를 의무화한 것도 이런 흐름을 반영한다.

연구 결과에 따르면 CISO가 있는 조직은 클라우드 도입 초기에 나타날 수 있는 보안 성과의 일시적 악화 현상까지도 사실상 막아내는 것으로 나타났다. 이는 보안 책임자의 존재가 실제로 의미 있는 차이를 만든다는 근거가 된다. CISO가 있으면 클라우드 전환 과정에서도 보안 문제가 뒤로 밀리지 않는다. 시스템을 옮기기 전 단계부터 보안 점검이 함께 진행되고, 기존 데이터 처리 방식이 명확히 정리되며, 새 환경에서의 접근 권한 구조도 미리 설계될 가능성이 높기 때문이다.

최근 SK텔레콤 사고 이후 한국에서도 보안 거버넌스 강화에 대한 정책적·사회적 논의가 확산되고 있다. 그중에서도 CEO가 보안 사고에 직접 책임지는 구조, 보안 인력에 대한 투자 확대가 화두다. 학계의 연구 결과도 이런 방향이 실효성이 있을 수 있음을 뒷받침한다. 보안은 IT 부서의 기술적 과제가 아니라 경영진의 주의력 배분 문제다. 보안 책임자의 존재는 조직이 새로운 기술 도입 과정에서도 보안에 대한 주의력을 유지하게 만든다. 이는 개별 보안 기술의 문제가 아니라 조직 차원의 의사결정 구조와 책임 배분에 관한 거버넌스 문제에 가깝다.

DBR mini box I 체크리스트: 전환 단계별 점검 사항

아래는 필자 연구의 발견(전환기 주의력 관리, CISO의 역할, 기존 저장매체 관리)과 2025년 보안 동향을 종합해 구성한 점검 사항이다. 도입 전 • 클라우드 벤더와 보안 책임 분담을 계약서/SLA에 명시했는가? • 벤더의 하청업체(sub-processor) 관리 방안이 포함돼 있는가? • 보안책임자(CISO 또는 이에 준하는 인력)가 클라우드 전환 TF에 포함돼 있는가? • 마이그레이션 계획에 보안 체크포인트가 명시적으로 포함돼 있는가? • 클라우드 로그 모니터링 대시보드가 구축돼 있는가? 도입 초기 (1년 이내) • 기존 저장매체의 데이터 현황을 파악하고 안전한 삭제 계획을 수립했는가? • 클라우드 서비스의 기본 보안 설정을 검토하고 강화했는가? • 전 직원 대상 클라우드 보안 교육을 실시했는가? • 제3자 OAuth 연동 현황을 파악하고 있는가? 정착기 이후 (3년 이상) • 정기적인 권한 검토와 미사용 액세스 키 정리를 수행하고 있는가? • 클라우드 벤더와의 보안 책임 분담을 변화된 환경에 맞게 재검토했는가? • 새로운 클라우드 서비스 도입 시 보안 검토 절차가 작동하고 있는가? • Shadow IT 사용 패턴을 정기적으로 분석하고 있는가?

실무적 제언: 연구에서 해석으로

그렇다면 실무적으로 어떤 해결책을 찾을 수 있을지 알아보자.

첫째, 전환기에 보안 리더십을 투입하라

클라우드 전환 TF에 보안 책임자를 명시적으로 포함시키는 것이 바람직하다. 마이그레이션 일정에 쫓겨 보안 검토를 건너뛰는 일이 없어야 한다. 보안 책임자가 존재하는 조직에서는 클라우드 도입 직후의 보안 악화 효과가 상대적으로 관찰되지 않았다. 일련의 정보 유출 사고로 한국에서도 CEO의 보안 책임을 강화하는 논의가 진행 중인데 보안 사고가 경영진 인사에 직접적 영향을 미치는 시대가 됐음을 받아들여야 한다. 전담 리더십의 강화는 단순히 문제가 발생했을 때 책임 소재를 추궁하기 위함이 아니라 조직 차원의 보안 주의력 유지에 기여하기 위함이다.

둘째, 기존 기기 관리를 잊지 마라

클라우드 도입 직후 우발적인 내부 침해가 증가하는 현상은 기존 데이터 저장 매체에 대한 관리가 이 기간 상대적으로 소홀해질 가능성과 연관이 있을 수 있다. 클라우드로 데이터를 이전하는 데 집중하느라 기존의 노트북, 외장하드, 로컬 서버의 데이터 삭제가 뒷전으로 밀리기 쉽다. Yes24 사고나 SGI서울보증 사례에서도 백업 및 기존 데이터 관리 미비가 사고 대응을 어렵게 만든 요인으로 지적된 바 있다. 마이그레이션 완료 후 기존 기기의 데이터를 안전하게 삭제하는 절차가 반드시 포함돼야 한다.

셋째, 제3자 관리가 핵심이다

버라이즌 DBIR 2025 보고서가 보여주듯 지난해 전체 보안 사고 중에 제3자 관련 침해가 30%를 차지했다. 이는 전년과 비교해도 두 배 증가한 수치다. Salesloft-Drift 사건에서 공격자들은 회사의 취약점을 직접적으로 겨냥해 뚫지 않았다. 오히려 SaaS 서비스 간의 OAuth 연동, 즉 신뢰 관계를 악용했다. 이는 클라우드 환경에서 서비스 간 연결 구조 자체가 주요 공격 표면이 될 수 있음을 보여준다. 따라서 제3자와의 계약 단계에서부터 보안 책임 분담, 접근 권한 관리, 사고 대응 절차, 하청업체 관리에 대한 명확한 합의가 필요하다.

넷째, 설정 오류를 자동으로 탐지하라

최근 글로벌 보안 사고들의 공통점 중 하나는 잘못된 설정(Misconfiguration)이었다. 공개된 스토리지 설정, 과도한 접근 권한, 장기간 방치된 액세스 키 등이 반복적으로 지적됐다. 테너블(Tenable)의 보고서8 8Tenable (2024). Cloud Risk Report 2024. 닫기 에 따르면 기업의 74%가 공개적으로 노출된 스토리지를 보유하고 있다.

이러한 설정 오류는 주의력 분산의 결과물로 볼 수 있다. 클라우드 환경은 변화가 빠르기 때문에 수동으로 점검하는 것만으로는 한계가 있다. 따라서 CSPM(Cloud Security Posture Management) 같은 자동화 도구를 도입해 설정 오류를 실시간으로 탐지하고 교정하는 것이 하나의 현실적인 방안이 될 수 있다. 클라우드 환경은 시시각각 달라지기 때문에 어제 안전했던 설정이 오늘은 새로운 취약점이 될 수 있다는 데 주의해야 한다.




전환기를 넘어서

핵심 메시지는 명확하다. 클라우드가 위험한 것이 아니라 전환 과정의 과도기가 위험하다. 그리고 이 위험은 다행히 관리 가능하다. 장기적으로 클라우드는 보안에 해롭지 않으며 클라우드 도입 후 시간이 지나면 우발적 내부 침해의 경우 오히려 감소할 수. 전환 초기에 보안이 악화되는 것은 기술의 본질적 문제가 아니라 새로운 환경에 적응하는 과정에서 발생하는 전환 비용이다. 보안 전담 리더십을 전환 프로젝트에 투입하고 제3자 관리에 주의를 기울인다면 이 비용을 줄일 수 있다. 클라우드 전환은 거스를 수 없는 흐름이다. 문제는 그 과정에서 보안에 얼마나 주의력을 배분하고 기업의 우선순위로 격상시키느냐다. 단순히 기능적 성공에만 집중하면 보안은 후순위로 밀리고 그 빈틈을 공격자가 파고든다. CISO의 존재만으로 이런 부정적인 효과가 상쇄된다는 연구 결과는 보안이 실질적으로 기술 투자의 문제가 아니라 주의력 투자의 문제임을 보여준다. 클라우드는 본질적으로 더 안전하거나 위험한 기술이 아니다. 전환기에 주의력과 책임 구조가 관리되지 않으면 위험해지고 반대로 이를 통제하면 장기적으로는 특정 보안 취약성을 줄이는 방향으로 작동할 수 있다.

인기기사