[아이티데일리] 아시아태평양(APAC) 지역 기업의 64%가 지난 12개월 동안 한 번 이상 클라우드 보안 사고를 겪었다는 조사가 나왔다. 같은 기간 62%의 기업들은 에지(Edge) 보안 사고를 경험한 것으로 나타났다.

4일 수세(SUSE)는 이 같은 내용을 담은 ‘2024년 클라우드 보안 APAC 동향 보고서’를 발표했다.

수세는 이번 보고서를 통해 생성형 인공지능(AI) 및 에지 컴퓨팅이 클라우드 보안에 미치는 영향을 중점으로 APAC 지역의 클라우드 보안 문제를 살펴봤다. 보고서 설문조사는 중국, 싱가포르, 인도, 일본, 한국, 인도네시아, 호주의 IT 리더들을 대상으로 진행됐다.

“보안이 클라우드 채택의 장벽”

보고서에 따르면, IT 의사 결정자의 57%가 생성형 AI와 클라우드 보안의 개인정보 보호 및 데이터 보안을 우려하고 있는 것으로 나타났다. 실제 지난 12개월 동안 설문조사에 응한 IT 팀의 64%와 62%가 각각 클라우드 또는 에지 보안 사고를 경험한 것으로 조사됐다.

또한 데이터 보안이 보장되는 경우 클라우드나 에지로 워크로드를 더 많이 마이그레이션하겠다는 의지(84%)가 높게 나타났다. 이는 APAC 시장에서 클라우드 채택이 증가할 수 있는 잠재력을 보여준다. 하지만 이런 의지는 효과적인 보안 조치의 보장에 크게 의존하며, 여전히 보안이 APAC 지역의 클라우드 채택에서 주요 장벽으로 작용한다는 게 회사 측 설명이다.

특히 응답자의 34%가 보안 문제로 랜섬웨어 공격을 가장 많이 우려했으며, 제로데이 취약점을 이용한 공격(27%) 및 클라우드에서 접근하는 민감한 데이터의 가시성 제어(23%)가 뒤를 이었다. 이에 IT 의사 결정자의 33%가 보안을 강화하고자 소프트웨어 공급망을 검토할 계획을 세운 것으로 조사됐다.

수세 비샬 가리왈라(Vishal Ghariwala) APAC 최고 기술 책임자는 “보고서가 강조하듯이 생성형 AI 및 에지 컴퓨팅의 급격한 변화로 디지털 환경의 복잡성이 증가하면서 APAC 전역의 조직을 대상으로 전례 없는 새로운 보안 문제가 발생하고 있다”며 “이런 추세는 APAC 지역의 지속적인 투자 및 맞춤형 보안 전략의 필요성을 강조한다”고 설명했다.

이어 “규제 및 기술 격차가 보안 리스크를 인식하고 우선순위를 정하는 데 얼마나 큰 영향을 미치는지도 확인할 수 있었다”며 “수세는 이런 새로운 디지털 환경에서 보안을 보장하는 맞춤형 오픈소스 솔루션으로 비즈니스를 지원하기 위해 노력하고 있다. 오픈소스를 활용하면 조직은 역동적인 APAC 시장 전역에서 클라우드 보안 관행의 보호와 개선에서 앞설 수 있다”고 덧붙였다.

국가별로 주요 보안 리스크 차이 보여

보고서에 따르면 APAC 내 국가별로 우선순위와 우려 사항에 있어 큰 차이를 보였다. 생성형 AI 및 클라우드 보안에서 가장 큰 우려 요인으로 꼽힌 사항은 개인정보 보호 및 데이터 보안(57%), AI 기반 사이버 공격(55%)이다.

전반적으로 시장에서 가장 심각한 리스크에 대한 인식은 큰 격차를 보였다. 개인정보 보호 및 데이터 보안은 인도네시아(79%), 싱가포르(66%), 중국(62%), 한국(55%), 호주(52%)에서 가장 큰 리스크로 인식했고, AI 기반 사이버 공격은 인도(63%)와 일본(39%)에서 가장 큰 위험으로 인식했다.

또한 젊은 세대의 IT 전문가들이 생성형 AI 관련 보안 리스크를 가장 크게 인식하고 있는 것으로 조사됐다. 18~54세 응답자 중 리스크가 없다고 생각한 비율은 4%였지만 55세 이상은 10%가 리스크를 인식하지 못했다.

APAC 지역 전반에서 클라우드 및 에지 보안 사고 빈번

보고서에 따르면 APAC 지역의 IT 의사결정자는 지난해 평균적으로 2.6건의 클라우드 관련 보안 사고를 경험했다. 그중 인도(4.4)와 인도네시아(3.8)가 가장 큰 영향을 받았고 호주(1.2)와 일본(1.8)이 가장 적은 영향을 받았다.

응답자의 64%가 지난 12개월 동안 클라우드 보안 사고를 경험한 것으로 확인됐으며, 대부분 응답자(62%)는 에지 관련 보안 사고를 최소 한 건 이상 겪은 것으로 답했다. 인도와 인도네시아가 가장 심각한 영향을 받아 각 응답자의 35% 및 31%가 5건 이상의 에지 관련 보안 사고를 보고했다.

아울러 보고서는 다양한 시장의 보안 관행에 큰 격차가 있음을 시사한다. 현재 가장 일반적인 보안 관행은 보안 자동화(39%), 도스(DoS) 또는 디도스(DDoS) 보호(36%), 클라우드(CPSM, CWPP, CNAPP) 솔루션(34%) 등이다.

쿠버네티스 네트워크 정책은 중국(33%)과 싱가포르(32%)에서 인기 있는 솔루션이지만, APAC 지역 전체 관점에서는 15% 비중으로, 아직 인기가 덜한 것으로 나타났다. 또 IT 예산 중 상당 부분을 클라우드 네이티브 보안에 할당한다는 응답의 비율은 30.9%로 조사되며, 대체로 운영 전략에서 보안이 높은 우선순위를 차지한다는 점이 지속적으로 나타났다.

“랜섬웨어 공격 방어가 가장 큰 과제”

글로벌 시장과 마찬가지로 APAC 국가의 클라우드 보안 문제 중 가장 큰 과제로 랜섬웨어 공격이 꼽혔다. 보고서에 따르면 IT 전문가 중 34%가 랜섬웨어 공격을 가장 중요한 보안 문제로 응답했다. 다음으로는 알 수 없는 취약성(제로데이)을 사용해 서비스를 실행하는 공격을 꼽았다(27%).

여러 보안 문제에 대한 우려는 시장마다 격차가 크게 나타나기도 했다. 랜섬웨어 공격은 한국(48%)과 호주(44%)에서 상당히 높은 보안 문제로 평가된 반면, 중국에서는 비율이 20%에 불과했다. 또 중국과 싱가포르의 IT 이해관계자들은 에지에서 데이터의 보안을 관리하는 과정의 문제를 각기 다르게 바라봤다. 중국에서는 에지 솔루션과 기존 IT 시스템과의 통합(37%), 자동화된 메커니즘 관리 및 배포 구현(37%)을 가장 중요한 문제로 꼽았다. 싱가포르에서는 제로 트러스트 보안 조치 구현(44%)을 가장 중요한 문제로 답했다.

소프트웨어 공급망 보안 중요성 대두

아울러 IT 의사 결정자 4명 중 1명은 향후 12개월 동안 정부에서 인정하는 공급망 관련 보안 인증이 더 중요해질 것으로 예상했다(24%). 특히 공급망 리스크를 완화하기 위해 APAC IT 의사 결정자들은 벤더 지원 소프트웨어 활용(44%) 및 소프트웨어 구축 프로세스 인증(39%)이 중요하다고 답했다.

반면 일본의 IT 전문가 중 4분의 1은 공급망 위험에 대한 어떤 조치도 취하지 않고 있다고 응답해(24%) 다른 시장과 큰 차이를 보였다.