데이터보안 기업 탈레스 “클라우드로 옮기지만, 키 관리는 못 믿겠다”
[디지털데일리 최민지기자] 한국에서 클라우드 사용이 점차 확대되고 있지만 이용 기업들은 클라우드 공급업체가 생성·관리하는 키를 주로 사용하지 않은 것으로 나타났다. 아직까지는 기업 자체적으로 암호화를 위한 키 관리를 수행하는 편을 더 신뢰하고 있는 모습이다.
22일 데이터보안 전문기업 탈레스는 서울에서 기자간담회를 열고 ‘2018 한국 암호화 동향 보고서’를 공개했다. 탈레스가 암호화 동향 보고서에 한국 버전을 넣은 것은 이번이 처음이다.
이 보고서에 따르면 62% 응답자들은 한 개 이상의 클라우드 서비스 제공업체를 이용 중이며, 75%가 2년 내 이용할 예정이다. 88% 응답자들이 민감 또는 비민감 어플리케이션·데이터 저장을 위해 클라우드를 사용 중이거나 2년 내 사용할 계획이라고 답했다.
65% 응답자들은 자신의 조직이 현재 민감·기밀 데이터를 클라우드로 이동하고 있다고 했다. 응답자들은 클라우드 공급업체가 클라우드로 이동되는 민감·기밀 데이터 보호에 가장 책임이 크다고 보고 있었다.
하지만 클라우드 공급업체가 생성·관리하는 키를 사용해 클라우드에서 암호화를 수행한다고 답한 응답자는 36%에 불과했다. 44%는 클라우드로 데이터를 전송하기 전 자체적으로 생성·관리하는 키를 사용해 온프레미스에서 암호화를 진행했다.
15%는 자체적으로 생성·관리하는 키를 사용해 클라우드에서 암호화를 실시했고, 13%는 클라우드로 데이터 전송 전 온프레미스에서 토큰화를 수행한다고 말했다.
이와 관련 김기태 탈레스 이시큐리티 영업이사는 “정보가 대량으로 생산되면서 어느 곳에 민감한 데이터가 있는지 찾는 것 자체가 암호화의 첫 번째 고민거리가 됐다”며 “키 관리는 여전히 문제점으로 꼽히며, 특히 클라우드용 키 관리에 가장 어려움을 느끼고 있었다”고 설명했다.
이어 “키 관리는 적어도 본인이 생성하고 관리해야 한다고 생각하고 있는 것으로 알 수 있다”며 “클라우드 사업자를 믿지 못하겠다는 것”이라고 부연했다.
또한, 한국 조직들은 복수의 클라우드 서비스 제공업체 사용 및 키 관리 전문 인력에 대한 수요가 증가함에 따라 늘어나는 암호화 구현법 대응에 어려움을 겪고 있었으며, 클라우드 데이터 보안에 대해 클라우드 서비스 제공자에게 세계에서 가장 많은 책임 부여하는 국가인 것으로 나타났다.
현재 점점 더 많은 조직들이 증가하는 데이터 보안 수요에 대응하기 위해 암호화를 도입하고 있다. 41% 국내 기업들이 암호화 전략을 전사적으로 일관성 있게 적용하고 있다. 조사에 참여한 12개국 중 5위에 해당하며, 세계 평균인 43%보다는 조금 낮은 수치이다.
국내에서 암호화가 가장 많이 도입된 분야로는 ▲SSL 인터넷 통신(68%) ▲데이터베이스(64%) ▲노트북 하드드라이브(63%) 등이 있다. 한국은 세계에서 데이터 센터 스토리지(50%)와 도커 컨테이너(32%)에 암호화가 많이 적용됐다.
암호화 도입의 주요 동기로는 지적 재산 보호(61%), 외부 위협으로부터의 데이터 보호(54%)가 가장 큰 비중을 차지했다. 고객 개인정보 보호(50%)와 정책 준수(48%)도 뒤를 이었다.
이와 함께 민감 데이터에 대한 가장 중대한 위협은 직원 과실(55%)이었다. 또한 계약직 근로자의 실수(32%) 외부 서비스 제공자의 실수(29%)가 각각 세계 평균보다 10% 높았다.
탈레스는 하드웨어 보안 모듈(HSM)과 보안 어플리케이션은 데이터 보안 이니셔티브에서 중추적 역할을 담당한다고 강조했다. 암호화 사용이 증가하면서 성과, 정책 시행, 알고리즘 지원 및 키 관리에 대한 중요성이 높아지고 있기 때문이다.
한국에서 HSM이 가장 일반적으로 통용되는 사례는 BYOK(Bring Your Own Key)를 포함한 퍼블릭 클라우드 암호화, 데이터베이스 암호화 및 어플리케이션 암호화 등이 있다.
김기태 영업이사는 “최근의 위협 환경에 대응하기 위해서는 신속하고 측정 가능한 데이터 보안 및 기업과 이들의 클라우드 사용 사례들을 아우르는 강력한 정책 관리가 필수적”이라며 “암호화 전략을 최대한 간소화하고, 키 관리와 HSM 사용 중요성을 이해하는 것도 필요하다”고 제언했다.
또 “암호화를 올바르게 구현해야 데이터를 보호할 수 있다”며 “탈레스는 국내 조직들이 이들의 가장 민감한 데이터를 보호할 수 있도록 강력한 암호화 솔루션을 지속적으로 지원할 것”이라고 덧붙였다.
<최민지 기자>cmj@ddaily.co.kr
[알려드립니다]
'2018 금융·엔터프라이즈 차세대 엔드포인트 보안 'EDR·EPP' 전략 컨퍼런스'에 여러분을 초대합니다.
최근 고도화되고 지능화된 위협들이 더욱 범람함에 따라 기존의 엔드포인트 보안 시스템만으로는 기업의 자산을 방어하기에는 한계에 직면했다는 지적이 제기되고 있습니다.
관련하여 국내 금융권 등 주요 기업들은 올해 하반기와 2019년의 주요 보안 강화 사업으로 새로운 '엔드포인트 보안 인프라 고도화'에 적극적으로 나설 것으로 예상되고 있습니다.
<디지털데일리>는 오는 9월5일(수) 은행연합회관(서울 명동) 국제회의실에서 최신 엔드포인트 위협 탐지·대응(EDR)과 엔드포인트 보호 플랫폼(EPP) 전략 마련을 위한 컨퍼런스를 개최합니다.
아울러 클라우드 및 지능형 표적공격, IoT공격 등 각종 보안위협으로부터 기업을 효율적으로 지킬 수 있는 방안, 금융권의 보안 투자전략 등을 소개하는 자리를 마련하고자 합니다.관심있는 독자 여러분의 많은 관심 부탁드립니다. 감사합니다.
[IT백과] 생성형AI의 진화 ‘AI 에이전트’, 기존 AI 비서와 뭐가 다를까?
2024-12-21 13:27:59[종합] AI 초격차 확보 공고히 한 오픈AI…12일간 여정 끝엔 ‘쩐의전쟁’ 남았다
2024-12-21 11:15:25오픈AI, o1보다 더 강력한 o3 예고…개발자·연구자 대상 사전 테스트 실시
2024-12-21 08:02:48