클라우드 보안 관련조사 결과
클라우드 보안에 대한 실행 상황에서 “대책을 하지 않음”(4.6%)은 10% 이하에 머물렀습니다.
가장 많이 채택된 대책은 “데이터 백업”(46.9%), “사용자 ID와 권한 관리”(42.3%), “부정 접근 방지”(37.7%)였습니다.
보안을 강화하기 위해 클라우드용 솔루션 도입이 가장 빠른 방법이지만, 도입이 충분히 진행되지 않은 것으로 나타났습니다.
실제로 WAF나 SSO와 같은 클라우드 보안 대책에 효과적인 솔루션 도입 상황을 보면, “도입 완료”(37.1%)가 “도입 예정 없음”(24.2%)을 상회했습니다.
“검토 중”(24.2%)과 “도입 예정”(7.3%)을 합치면 약 30%가 되어, 앞으로 도입률 증가가 기대됩니다.
보안 솔루션 도입 상황은 직원 규모에 따라 차이가 뚜렷하게 나타났습니다. 직원 5,000명 이상인 기업에서는 과반수가 도입을 완료한 반면, 직원 500명 이하의 중소·중견 기업에서는 30% 이하에 그쳤습니다. 이러한 기업들에서는 “도입 예정 없음”이라는 응답도 많았고, 이로 인해 중소·중견 기업에서의 클라우드 보안 리스크가 크게 드러났습니다.
솔루션을 도입하지 않은 이유로는 “도입 및 운영 예산 부족”(46.7%)과 “대응 가능한 인력 부족”(43.3%)이 많았으며, 특히 직원 500명 이하의 기업에서는 이 두 가지 이유가 70% 이상을 차지했습니다.
보안 대책의 필요성은 인식하고 있지만, 제한된 예산과 인력으로 인해 대응하지 못하는 상황이 있다는 것을 보여줍니다.
도입된 클라우드 보안 대책 솔루션의 종류에 대해 보면, “다중 인증”(MFA, 42.6%)과 “싱글 사인온”(SSO, 41.5%)과 같은 인증 관련 솔루션에 대한 응답이 많았습니다. 제로 트러스트 보안의 도입이 진행되고 있는 것으로 보입니다.
그 다음으로 “WAF”(30.9%)와 “SWG”(21.3%)와 같은 불법 접근 및 사이버 공격 대책 솔루션이 이어졌습니다.
“CASB”(13.8%), “CSPM”(Cloud Security Posture Management, 8.5%), “CWPP”(Cloud Workload Protection Platform, 6.4%)와 같은 클라우드 서비스에 특화된 가시화, 모니터링, 제어, 암호화 등을 수행하는 서비스는 여전히 사용률이 낮았습니다.
도입된 솔루션에 대한 만족도를 물은 결과,
“어느 정도 만족한다”(26.6%)와 “만족한다”(6.4%)를 합쳐 33.0%로 나타났습니다.
“약간 불만이다”와 “불만이다”를 합한 응답은 10.7%로 전체의 약 10%에 불과했지만, 그 이유로는 “운영 비용이 높다”(55.7%)나 “도입 비용이 높다”(37.5%) 등 비용 면에서의 불만이 집중되었습니다.
요약
이번에는 클라우드 보안에 관한 조사 결과에 대해 알려 드렸습니다.
● 클라우드 보안대책의 도입 상황
클라우드 보안 대책의 중요성은 인식되고 있지만, 도입이 활발히 이루어지고 있다고 보기는 어렵습니다.
특히 중소기업에서는 도입률이 낮으며, 주요 이유로는 예산 부족과 인력 부족이 꼽힙니다.
● 도입되고 있는 솔루션
현재 도입된 솔루션은 주로 인증 관련(MFA, SSO) 및 부정 접근 방지 대책(WAF, SWG)에 집중되고 있습니다.
그러나 클라우드 서비스에 특화된 CASB, CSPM, CWPP 등의 솔루션 도입은 아직 미흡한 상황입니다.
● 도입에 대한 만족도
도입된 솔루션에 대한 만족도는 전체적으로 33.0%로, 반드시 높은 수준이라고 볼 수는 없습니다.
특히, 운영 비용과 도입 비용의 높이에 대한 불만이 주를 이루고 있습니다.
IDC Japan에 따르면, 2023년 일본 내 클라우드 시장은 2022년 대비 29.6% 증가한 7조 8,250억 엔(매출 기준)으로 예상되며, 2023년~2028년의 연평균 성장률은 16.3%로 전망됩니다. 이는 클라우드 서비스가 사용하기 편리하며, 사용자 기업에 큰 이점을 제공하고 있음을 반영합니다.
앞으로 클라우드 활용 확대와 함께 보안 대책도 함께 진전될 수 있도록, 인력 부족 상황에서도 운영 가능한 저렴한 솔루션(엑소스피어와 같은)이 요구될 것으로 보입니다.
Appendix 2024년 주목의 제품・서비스
소프트 크리에이트, 클라우드 보안 설정을 정기적으로 조사하고 개선점을 지적하는 서비스 제공시작
소프트크리에이트는 보안 서비스인 “SCSmart 클라우드 설정 감사 서비스”를 출시했습니다.
이 서비스는 퍼블릭 클라우드의 보안 설정을 정기적으로 점검하여 문제점을 발견하고 개선 방안을 제안하는 서비스입니다.
클라우드 패트롤이라는 모니터링 기능은 클라우드 보안 강화를 지원하는 CSPM(Cloud Security Posture Management) 및 ASM(Attack Surface Management) 서비스입니다. Microsoft Defender for Cloud(MDfC)를 활용해 Azure, AWS, Google Cloud 등 주요 퍼블릭 클라우드 환경을 60분 간격으로 모니터링하며, 보안 사고로 이어질 수 있는 설정상의 취약점이나 의심스러운 경고를 알립니다. 또한, SOC 서비스에서 축적된 지식과 사이버 공격 트렌드 및 위협 정보를 기반으로 개선 방안을 포함한 정기 보고서를 제공합니다.
서비스 요금은 월 7만 5,000엔으로 클라우드 테넌트 수나 리소스 수에 상관없이 동일한 가격으로 제공됩니다.
CSC, 클라우드 보안 서비스가 3대 클라우드에 대응
사이버 보안 클라우드(CSC)의 “CloudFastener”는 퍼블릭 클라우드 환경의 보안 조치를 사용자 대신 운영하는 관리형 보안 서비스입니다. 이번에는 AWS, Google Cloud에 Azure를 추가하여 멀티 클라우드 보안 운영을 가능하게 했습니다.
보안 툴과 CSC의 전담 팀이 제공하는 보안 서비스를 함께 제공하며, 클라우드 상의 IT 자산과 리스크를 파악하는 동시에, 사이버 공격에 대한 방어 설정, 공격의 탐지 및 대응, 공격으로부터의 복구까지 원스톱으로 처리합니다.