'해커 먹잇감' 클라우드, 보안인력은 태부족

■ 본지, 국내 대표 3사 공시 분석
데이터 유출피해 82% 차지 불구
정보보호 전담자 비중 한자릿수
기업과 '책임 공유'에 투자 소홀
전문가 "서비스 우선 관행 바꿔야"

[서울경제]

정부와 민간 기업의 클라우드 전환 움직임이 활발한 가운데 네이버클라우드 등 국내 대표 클라우드 업체의 정보보호 부문 전담인력이 총 임직원의 10%도 채 되지 않는 것으로 나타났다. 오픈소스를 활용하는 클라우드 특성상 날로 고도화하는 사이버 공격에 대비해 정보보호 부문 인력과 투자를 더 강화해야 한다는 목소리가 나온다.

17일 서울경제신문이 한국인터넷진흥원(KISA) 정보보호 공시 종합포털에 공시된 자료를 분석한 결과 지난해 네이버클라우드·NHN클라우드·KT클라우드 등 국내 대형 클라우드 회사 3곳의 정보보호 부문 전담인력은 총 임직원 대비 10%가 채 되지 않은 것으로 분석됐다.

네이버클라우드는 지난해 정보보호 전담인력을 직전 연도(70명) 보다 13명 늘렸지만 총 임직원 대비 비중은 8.9%로, 여전히 10%에 못미치는 것으로 집계됐다. NHN클라우드와 KT클라우드의 정보보호 전담인력은 각각 28명과 26명으로 총 임직원 대비 비중은 6.5%와 5.1%에 그쳤다. 정보기술 인력 중 정보보호 전담인력이 차지하는 비중을 살펴봐도 3사 모두 10%가 채 되지 않았다.

특히 클라우드사들의 정보보호 투자 규모는 정보기술 투자 대비 비중이 6% 내외로 크지 않았다. 네이버클라우드와 NHN클라우드는 각각 6.1%와 6.7%이며 KT클라우드는 4.2%다. KISA 관계자는 “정보보호 공시 의무 상장사들과 비교하면 클라우드 등 정보기술(IT) 업체들의 정보보호 투자 규모나 인력이 적은 편은 아니지만 정보보호 등이 이슈가 되는 상황을 고려하면 보안 투자를 늘리야 할 것"이라고 말했다.

전문가들은 클라우드를 비롯한 IT 업계의 정보보호 전담인력이 눈에 띄게 늘어나지 않는 이유로 ‘보안 책임 공유제’를 꼽았다. 클라우드 관리는 서비스 제공 업체뿐 아니라 도입 기업도 운영 책임이 있다보니 보안 이슈가 발생하면 책임 회피가 쉬운 구조라는 것이다. 한 글로벌 IT회사 임원은 “온프레미스(기업의 자체 설비로 보유·운영하는 서버)는 수십년 간 관리해온 방식이고 내부망에 검증된 사람들이 우선적으로 접근할 수 있다"면서 “클라우드는 오픈 소스 환경이다 보니 온프레미스 보다 보안 부분에서 신경 쓸 것이 더 많을 수 밖에 없다”고 했다. 이어 "클라우드 환경에서는 보다 세분화된 역할이 필요하기 때문에 정보보호 부문 인력은 중요할 수 밖에 없다"고 덧붙였다.

업계에서는 클라우드 시스템 전환이 가속화하는 만큼 보안에 더 신경쓸 필요가 있다는 목소리가 나온다. IBM시큐리티가 발표한 ‘2023 데이터 유출 비용 연구 보고서’에 따르면 데이터 유출의 82%가 클라우드 환경에서 이뤄졌으며 이 중 38% 이상은 멀티·하이브리드 클라우드를 사용하는 기업이다. 김영갑 세종대학교 정보보호학과 교수는 “클라우드 전환 과정에서 보안이 가장 기본이 돼야 하는데 지금까지는 서비스 개발에 치중한 것이 사실”이라면서 “이같은 관행을 바꿔나갈 필요가 있다”고 말했다.

윤지영 기자 yjy@sedaily.com