보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

클라우드 산업 현황 및 보안 이슈

2022.05.04

19,649


 

 

 

 

01. 개요

 

기업의 인프라와 데이터가 온프레미스에서 클라우드로 이동하면서 온프레미스와 클라우드 서비스를 융∙복합하거나 다수의 퍼블릭 클라우드를 조합한 하이브리드 클라우드 그리고 멀티 클라우드가  생겨나는 등 클라우드 시장에 변화의 바람이 찾아왔다.

 

정보기술(IT) 분야의 가장 중요한 환경·사회·지배구조(ESG) 과제는 개인 정보 보호와 보안 강화다. 특히 유례없는 코로나 확산의 영향으로 빠르게 비대면 사회로 이행하며 기업과 각국 정부 기관이 클라우드 채택을 늘리면서 클라우드 서비스를 안전하게 사용할 수 있는 철저한 보안 전략과 대비책 구축이 요구되고 있다.

 

이번 호에서는 급격하게 변화하고 있는 국내외 클라우드 시장을 비교·분석하여 향후 발전 방향을 점검해 보고 변화에 따라 클라우드 보안에서 고려되어야 할 핵심 이슈를 알아보고자 한다.

 

 

 

[그림 1] 클라우드 서비스의 특징과 모델 

(참고:NIST(National Institute of Standards and Technology, 미국 국립표준기술연구소) - 클라우드 컴퓨팅에 대한 정의

 

 

02. 국내외 클라우드 시장 현황

 

클라우드 서비스 모델은 크게 세가지 SaaS(서비스형 소프트웨어), IaaS(서비스형 인프라), PaaS(서비스형 플랫폼)로 구분되어 진다. 대표적으로 SaaS는 세일즈포스, IaaS는 아마존(AWS) 및 구글 클라우드, PaaS는 마이크로소프트(Azure) 등이 점유율을 차지하고 있다. 국내 클라우드 기업으로는 KT와 네이버가 지속적으로 점유율을 높이고 있다.

 

 

 

[그림 2] 2021년 클라우드 기업 별 점유율 현황 (참고 : Synergy Research Group)

 

 

 

[그림 3] 2021년 4분기 클라우드 시장 점유율 (참고 : canalys)

 

 

1) 국내 클라우드 시장

 

코로나19 이후 지속해서 금융, 공공, 교육 등 다양한 조직의 클라우드 전환이 가속화되면서 향후 클라우드 환경으로 도입되는 IT 인프라는 전체 시장의 50%를 넘어설 것으로 전망된다. 

국내 기업은 인프라-서비스가 완성된 종량제 기반 및 구독 비용 기반으로 서비스를 제공하는 SaaS의 수요를 확대하여 성장하고 있다.

 

공공부문의 클라우드 전환은 초기 단계이며 제도적, 재정적 지원이 부족하여 국가 전반의 클라우드 확산에 한계가 있다. 

 

정부가 클라우드 산업의 이용환경을 조성하기 위해 클라우드컴퓨팅법 제정(‘15.3)으로 산업육성 기반을 마련하고, 전자금융감독규정 개정(‘19.1)으로 금융회사 및 전자금융업자가 클라우드 서비스를 이용하고자 할 경우 요구되는 세부절차를 안내하고 금융시스템 안전성 및 금융소비자 보호를 위해 필요한 보안사항을 권고하는 것을 목적으로 하는 "금융분야 클라우드컴퓨팅서비스 이용 가이드라인" 을 배포하여 금융기관의 클라우드 활용 저변을 확대했다

또한 과학기술정보통신부 주관 ‘제14차 정보통신전략위원회’에서 ‘제3차 클라우드 컴퓨팅 기본계획(2022~2024)’을 의결했다. 이를 통해 향후 3년간  공공 이용 디지털 서비스 300개 확충, 국내 클라우드 전문 기업 수 3,000개 달성, 클라우드 인재 1만 명 양성이라는 목표를 세웠다. 

 

실제로 디지털 전환에 보수적이던 국내의 금융권에 클라우드 열기가 고조되는 분위기다.

금융감독원이 은행 22곳, 증권사 21곳을 포함해 금융회사 110곳을 상대로 진행한 조사에 따르면 금융권 클라우드 도입은 확대일로다. 2017년 12월에만 해도 23개 사 47개 시스템에 클라우드가 적용되었고 2020년 6월에는 42개사 145개 시스템으로 늘었다.  

 

 

 

[그림 4] 2021년 국내 클라우드 IT 인프라 시장 전망 (참고 : 한국IDC)

 

 

2) 국외 클라우드 시장

 

AWS를 주축으로 MS, Google 등이 클라우드 서비스 시장을 과점 중이다. 세계적인 디지털 전환 속에서 미국, 유럽 등은 데이터 경제의 주도권 확보를 위해 클라우드 활성화 정책을 병행하고 있다. 

 

국외 기업들은 이미 자신들의 서비스를 클라우드 형태로 전환 및 제공하고 있다. 

이 점을 이용하여 클라우드 인프라 기반 위에 자신들의 서비스를 개발하기 위해 IaaS와 PaaS의 수요를 확대하며 성장하고 있다.

 

하이브리드 및 멀티클라우드는 법적 규준 준수상태 유지와 서비스 속도, 가용성 극대화의 이점을 활용할 수 있어 차세대 통합 클라우드 서비스 환경으로 전환하고 있다.

 

 

국가

주요 내용

  

미국

클라우드 선제 도입(Cloud First)정책에서 클라우드 스마트(Cloud Smart) 정책으로 전환하고, 클라우드 확산을 위해 규정 및 조달체계 정비

민간의 고품질〮첨단 서비스 기반 공공서비스 혁신에 주력하며, 높은 보안을 요구하는
    
기관(국방부, CIA )에서도 보안규정에 따라 민간 서비스 이용

미국은 FedRAMP 기준 충족 시 全 영역 클라우드 도입 가능(비밀 등 보안정보 포함)

  

영국

디지털서비스 전문계약제도 운영 및 마켓 제공을 통해 공공 부문 클라우드 유통〮활용을 촉진하고, ‘Public Cloud First’ 정책 추진

영국 정보화예산은 우리나라 2배 규모이며, 공공부문 12,150개의 SaaS 이용 가능

디지털 마켓플레이스를 통해 5,224개 기업 38,000여개 서비스 제공, 거래실적 949천만
   
 파운드(149천억원) (‘20.9월 기준)

  

EU

클라우드를 중점 산업으로 지정(‘20)하고, 유럽 내 데이터 생산〮저장〮분석〮처리 및 공유〮교환을 위한 기반을 구축하는 GAIA-X 프로젝트 추진

AWS, MS, 구글 등 글로벌 기업에 대한 의존도를 줄이고 데이터 주권을 확보하기 위한 유럽
   
클라우드 생태계 구축 프로젝트

 

호주

‘Secure Cloud’ 전략을 발표(’17)하고, 공공 부문의 클라우드 전환을 위한 7대 원칙을 제시하여 민간 클라우드 우선 활용 촉진

클라우드 보안 적용 시 위험분석에 기반한 접근, 클라우드에 적합하도록 서비스 설계, ③ 퍼블릭 클라우드 서비스가 기본, ④ 클라우드를 최대한 사용,

커스터마이징을 지양하고 서비스를 그대로 사용, ⑥ 클라우드 자동화 기술을 최대한 사용, ⑦ 서비스 상태 및 사용을 실시간으로 모니터링

  

중국

2025년까지 디지털 경제 핵심산업을 GDP10%까지 끌어올린다는 145개년 계획(2021~2025)(‘21)’을 발표하고, 디지털전환을 위한 7가지 핵심분야 중 하나로 클라우드 컴퓨팅을 선정하며 적극 확산 중

 

[그림 5] 세계 각국의 클라우드 관련 정책 (참고 : 과학기술정보통신부)

 

 

03. 국내외 클라우드 시장 비교 분석

 

국내 기업의 클라우드 전환이 본격화되기 시작한 단계이며, 산업 활성화 저해요인으로 1위 도입비용, 2위 보안, 3위 성능 불확실성, 4위 서비스모델 정보 부족으로 나타났다.

민간 클라우드 이용을 위해 제도를 개선해왔으나, 여전히 클라우드 강국에 비해 허용 범위 제약이 있으며, 재정적 지원 미흡 및 인식 부족 등으로 민간 클라우드 전환은 초기 단계이다. 

 

국외 기업의 클라우드는 보편화되어 있으며 전 세계로 영향력을 확대 중이다.

주요 클라우드 기업들이 모두 국내에 데이터센터를 개소하고 공격적인 영업을 추진하면서 클라우드 시장 경쟁 구도의 다변화를 일으켰다.

 

공통으로 클라우드 시장은 저렴한 도입 비용, 뛰어난 접근성, 신기술 적용의 용이성이 있는 SaaS 중심으로 개편되고 있다.

국외 클라우드 시장은 SaaS(63.6%), IaaS(21%), PaaS(15.4%)로 구성되어 있으며, 국내 클라우드 시장은 SaaS(51.4%), IaaS(39.4%), PaaS(9.1%)로 구성되어 있다. 

  

구분

국외 시장

국내 시장

공공

중앙정부 민간 클라우드 우선 도입
영역 제한 없는 민간 클라우드 이용
공공기관 민간 클라우드 우선 도입
대국민 서비스 위주 민간 클라우드 이용

산업

원활한 SaaS 중심 전환으로 클라우드 시장 구조 변화
미흡한 SaaS 중심 전환
SaaS 전환의 기술적 어려움 및 기업 수익 구조 변경에 대한 부담

생태계

데이터, 인공지능, IoT 등 첨단 기술
융합 서비스를 플렛폼에서 제공하여 IaaSPaaS의 경계를 허물고, 자사 생태계 확대
클라우드 인프라 기업을 중심으로 다수의 클라우드 기업이 협력하여 다양한 서비스를 개발하는 클라우드 플래그십 프로젝트를 통해 SaaS를 확대하고 인프라-서비스 기업 간 협력 생태계를 강화

 

[표 1] 국내외 클라우드 시장 비교표 (참고 : 과학기술정보통신부)

 

 

04. 클라우드 도입 시 고려사항

 

클라우드 산업의 주요 고려사항은 다음과 같다.

 

① 클라우드 서비스를 제공하는 기업이 자체적인 서비스 종료, 재해복구 등을 고려해 멀티 클라우드 사용과 같은 대안방법이 필요로 한다.

 

② 클라우드 서비스를 공급하는 기업이 인력 채용 시 필요 역량 비중이 가장 높은 부분이 클라우드 서비스를 지원하는 정보기술로 클라우드 전반에 걸친 고수준의 인력이 부족함을 시사하고 있다.

SW 혹은 정보시스템 한 분야의 기술을 가지고 있는 인력보다는 클라우드 전반을 이해하고 해당 역량을 갖춘 고수준의 인력이 필요한 상황이다.

 

③ 클라우드 서비스를 공급하는 기업과 고객 간 보안의 책임 범위에 대한 구분이 명확해야 한다.

IaaS, PaaS에 따라 각각 책임 범위가 달라지며, IaaS의 경우에는 물리적 보안 이외의 대부분 보안에 관한 책임을 고객이 갖게 되지만 SaaS의 경우 IT인프라 운영과 직결되는 보안에 관한 책임은 대부분 클라우드 서비스를 공급하는 기업에 있다. 하지만 최근 클라우드 활용이 하이브리드 및 멀티클라우드 형태로 발전하고 있으므로 지능화된 솔루션이 요구되고 있다.

 

④ 클라우드 컴퓨팅은 복잡한 네트워크상에 다양한 업체의 플랫폼들로 구성되어 운영되는 인프라 구조에 기반을 두고 있다. 

복잡성과 다양성으로 인한 시스템의 취약성을 해결하기 위해서는 기존 온프레미스 컴퓨팅과는 차별화된 보안기술이 필요하다. 

 

데이터 보안은 여전히 클라우드 산업의 가장 큰 장벽으로 등장하고 있다. 많은 조사에서 클라우드 도입 시 최우선 고려사항을 꼽으라면 ‘보안’을 드는 데 대부분 주저함이 없다.

퍼블릭 클라우드로의 전환뿐만 아니라 프라이빗 클라우드를 도입하는 경우도 마찬가지이다. 자원관리의 자동화 및 퍼블릭 클라우드와의 워크로드 분산 배치 등 클라우드의 기본 속성을 고려하면 확실히 보안 이슈에 대해서는 기존 온프레미스 컴퓨팅과는 다소 다른 접근이 필요하다. 

결론적으로 온프레미스와 클라우드의 큰 차이점은 서비스를 제공함에 있어 사용하는 IT 자원의 관리 여부이다. 온프레미스의 경우 서비스를 공급하는 제공자가 직접적으로 IT 자원을 관리하는 주체가 되고, 클라우드의 경우 서비스를 공급하는 제공자는 IT 자원을 사용할 뿐, 자원 관리는 클라우드 서비스 제공자(CSP)가 주체가 된다.

 

 

05. 주요 보안 이슈 

 

포스트 코로나를 거쳐 성장하고 있는 디지털 뉴딜 사업의 핵심 인프라인 클라우드 활성화를 위해 정부가 생태계 조성에 적극적으로 나서고 있으며, 클라우드는 디지털 뉴딜의 핵심과제인 데이터·AI 고도화의 기반이 되는 만큼 클라우드 보안이슈에 관심을 두는 자세가 필요하다.

 

클라우드에서의 주요 보안 이슈는 다음과 같다.

 

① 비 인가된 접근

대부분 IT 인프라 운영에서 가장 위협적인 보안 이슈다. 보안등급별로 권한 범위가 명확하게 정의되는 내부 운영자들 사이에서도 발생할 수 있는 문제이며, 특히 물리적으로 제한된 범위를 벗어나 개인 PC, 스마트폰, 태블릿과 같이 다양한 기기에서의 운영자 권한 접근이 허용되는 경우 더욱 보안이 취약해질 수밖에 없다. 기업에서 퍼블릭 클라우드를 활용할 경우, 기업 내부에서 클라우드 운영자를 두거나, 혹은 외부의 전문 서비스를 통해 클라우드 운영을 하는 경우도 많다. 클라우드 서비스 업체 수준에서의 관리자 접근 권한과는 별개로 다양한 수준의 접근 권한이 필요한 이유이며, 접근 경로 또한 다양할 수밖에 없다. 따라서 비인가 접근으로 인한 클라우드 보안 이슈가 온프레미스 컴퓨팅보다 더욱 다양해진다. 

 

② 클라우드 애플리케이션의 가시성 문제

퍼블릭 클라우드 내 데이터를 다루는 애플리케이션의 경우 권한 범위를 넘어선 데이터에 대한 접근이 있게 된다면 이에 따른 데이터의 변형, 삭제가 발생해도 이를 검증해 낼 방법이 없다. 결국, 데이터 접근 패턴, 결과물 등을 바탕으로 보안 침해 이슈를 판단해야 한다. 기업에서 클라우드를 도입하는데 가장 발목을 잡을 수 있는 부분도 바로 여기다.


③ 애플리케이션 인터페이스(API)의 취약성

클라우드 기반 서비스를 개발할 때 클라우드에서 제공하는 다양한 백엔드 기능을 API 호출을 통해 활용함으로써 개발 효율 및 서비스 런칭 시 확장성을 높일 수 있다. 클라우드에서 제공하는 기능뿐만 아니라 사용자가 직접 개발하는 기능들도 API를 통해 상호 연동함으로써 개발의 유연성을 높이는 것이 요즘 추세다. MS의 마이크로 서비스 아키텍처가 주목을 받는 이유이다. 이런 유연함의 이면에는 각 API 호출이 보안 위협에 노출되어 있다는 점을 간과할 수 없다. 모든 API 호출이 해커의 공격 포인트가 될 수 있기에 API 호출을 위한 승인 및 실제 호출 시 암호화가 필수 요건이다. 

 

④ 컴플라이언스 이슈

산업별, 기업별, 각기 다른 컴플라이언스 요건이 존재한다. 특히 공공부문에서의 컴플라이언스 요구사항은 정부나 공공기관들의 클라우드 도입에 가장 큰 장애물로 여겨지고 있다. 클라우드를 도입하려는 조직에서는 우선 이런 컴플라이언스 이슈를 분석하여, 규정에 부합하는 데이터 등급, 접근 권한 정의 등 사전 준비가 필요하다. 

 

 

06. 주요 보안 이슈 대응방안 

 

클라우드 시장이 성장하면서 관련 보안 시장도 확대되고 있다. 

클라우드 서비스 제공사(CSP)가 컴퓨팅·스토리지·데이터베이스·네트워크 등 인프라 부문 보안을 담당하고는 있지만, 데이터·애플리케이션·운영 체제, 네트워크 및 방화벽 설정 등에 대한 보안은 이용 기업·기관이 책임을 지고 있는 상황이다. 

 

클라우드 보안 강화를 위한 방안으로는 SASE, CASB, CWPP, CSPM, CIEM, KSPM 등이 있으며, 

크게 CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리), CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼) 2가지로 요약된다.

 

① CWPP (Cloud Workload Protection Platform)

사이버 보안에 대한 중요성이 커지면서 클라우드 환경을 보호하기 위한 클라우드 워크로드 보호 플랫폼(CWPP)이 가장 급부상하고 있다.

CWPP는 하이브리드, 멀티 클라우드 환경에서의 서버 워크로드를 보호하고 워크로드에 대한 가시성 확보 및 공격 방어가 주요 목적이다. 가트너에 따르면 CWPP는 물리적 컴퓨터, 가상 머신, 컨테이너, 서버리스 워크로드 등에 대한 일관적인 제어 및 가시성을 제공한다. 또한, 시스템 무결성 보호, 접근 영역을 세분화하는 마이크로 세그먼트, 메모리 보호, 사용자 행동 모니터링, 호스트 기반 침입 방지 및 멀웨어 방지 등을 통해 프로그램이 실행 중인 영역에서 발생하는 공격으로부터 워크로드를 사전 대응하는 방안으로 떠오르고 있다.

 

② CSPM (Cloud Security Posture Management)

CSPM은 클라우드 서비스 구성에 대해 위험 요소를 평가 및 관리하는 것이 목표이다.

잘못된 보안 구성이나 컴플라이언스 위험을 자동으로 식별해 경고한다. 가트너는 CSPM에 대해 보안을 자동화하고 컴플라이언스에 대해 보증하는 보안 제품이라고 설명한다. 이를 통해 데이터 유출 가능성을 줄이고, 클라우드 환경을 보호할 수 있다.

 

 

07. 정리 및 시사점

 

여기까지 클라우드 산업 현황에 대해서 알아보았다. 국내와 국외의 클라우드 산업을 비교하여 전반적인 흐름을 파악할 수 있고, 매년 증가하는 시장 점유율을 통해 전 세계가 클라우드 

산업에 관한 관심이 높다는 것을 파악할 수 있다. 

 

앞으로 클라우드를 도입하거나 확산하는 기업은 하이브리드 및 멀티 클라우드로 가는 것을 피하기 어렵게 됐다. 기존 클라우드 서비스 업체들이 제공하는 인공지능 및 빅데이터 기술, 그리고 다양한 백엔드 기능들을 최대한 활용하면서 공공기관의 컴플라이언스 요건이나 주요 보안 이슈들까지 동시에 수용하려면 전용 프라이빗 클라우드와 다수 퍼블릭 클라우드 업체를 혼용하게 될 수도 있다. 

클라우드 시장 성장과 보안 위협은 비례한다. 클라우드 보안을 위해서는 클라우드 도입과 동시에 보안이 적용되어야 한다. 

 

국내 클라우드 시장의 경우 클라우드 도입을 비용 절감이 아닌 비즈니스 투자로 인식하면서 클라우드 시장이 성숙해지고 있다는 것을 살펴볼 수 있다. 

앞으로 국내 기업들이 클라우드 전면 전환을 통해 데이터∙인공지능 경제를 가속화하고 본격 디지털 선도국가로 도약할 것으로 기대된다. 

 

IT산업에서 핵심 키워드가 되어버린 클라우드의 현황을 명확히 알고 조직,문화,기술,거버넌스 등 IT를 둘러싸고 있는 모든 환경의 변화를 준비하고, 차세대 클라우드 산업의 지속성장을 위한 경쟁력을 갖춰 새롭게 시장을 주도하는 것이 중요하다.

 

 

08. 참고자료

 

[KDI 경제정보센터]

https://eiec.kdi.re.kr/publish/reviewView.do?idx=44&ridx=4&fcode=000020003600002

 

[4차산업혁명위원회]

https://www.4th-ir.go.kr/article/detail/1142?boardName=internalData&category=agenda

 

[CCVT 뉴스]

https://www.cctvnews.co.kr/news/articleView.html?idxno=203902

 

[한국IDC]

https://www.idc.com/getdoc.jsp?containerId=AP46328421

 

[KDB산업은행 미래전략연구소 산업기술리서치센터 산은조사월보 ‘디지털뉴딜의 핵심인프라, 클라우드 산업 생태계 동향’ 조윤정 선임연구원 2021. 1 제782호]

https://file.mk.co.kr/meet/2021/02/pdf_readtop_2021_128118_1612748713.pdf 

 

[과학기술정보통신부]

https://www.msit.go.kr/bbs/view.do?sCode=user&mId=113&mPid=112&pageIndex=2&bbsSeqNo=94&nttSeqNo=3180688&searchOpt=ALL&searchTxt=

 

[Canalys]

https://canalys.com/newsroom/global-cloud-market-Q121

 

[CWPP]

https://www.kcloudnews.co.kr/news/articleView.html?idxno=10730

 

[금융분야 클라우드 컴퓨팅 서비스 이용 가이드 - Kim & Chang / 김·장 법률사무소]

https://www.kimchang.com/ko/insights/detail.kc?sch_section=4&idx=19064