“기업들이 업무 시스템으로 클라우드 서비스를 이용했다면 3·20 사이버테러 같은 일을 피할 수 있었을 거라 생각합니다.”

에란 파이겐바움 구글 엔터프라이즈부문 보안책임자(보안 총괄 디렉터)는 4일 조선비즈와 인터뷰에서 “클라우드는 보안이 강력한 은행과 같다”며 이 같이 주장했다.

파이겐바움 보안책임자는 기업용(B2B) 솔루션을 개발·판매하는 구글 엔터프라이즈 부문에서 포괄적인 보안 책임을 맡고 있다. 기업들이 사내 업무 시스템으로 도입하는 ‘구글 앱스’ 등에 포함된 보안 솔루션을 총괄하고 있다.

그는 “3·20 사이버테러는 보안업체의 서버에서 보안 소프트웨어(SW) 패치를 보내주는 패치매니지먼트시스템(PMS)의 취약점을 이용한 공격”이라며 “만일 기업들이 클라우드 서비스를 사용했다면 패치를 받을 필요가 없기 때문에, 악성코드 감염 위험을 줄일 수 있었다”고 말했다.

그러나 그의 주장과 달리 국내 기업들은 클라우드 환경의 보안성에 신뢰를 보내지 않고 있다.

파이겐바움 보안책임자는 “많은 기업들이 자사 보안 시스템이 잘 운영되고 있다고 오해하고 있다”며 “사이버공격이 주기적으로 발생하고 있으며 공격 형태가 진화하고 있어 더 수준 높은 보안 해결책이 필요하다”고 말했다. 

파이겐바움 보안책임자는 클라우드 서비스를 대형 은행에 빗대어 설명했다. 

“내 방 침대 밑에 현금을 보관하는 것과 튼튼한 금고와 경호원이 있는 은행에 현금을 보관하는 것 중, 어떤 쪽이 더 안전할까요?” 

그는 기업이 사이버공격을 받은 경우에 클라우드 서비스의 보안성이 기존의 자체 설치형서비스(On-premise)보다 더 믿을만하다고 말했다. 예를 들어 클라우드를 사용하지 않는 기업들은 쓰고 있던 보안 소프트웨어가 새 버전으로 업데이트되면, 해당 소프트웨어 제조사의 엔진에 접속해서 새 버전을 내려받아 설치한다. 공격자들은 이러한 업데이트의 빈틈을 노려 해킹을 시도할 수 있다. 3·20사이버테러가 이와 유사했다. 

반면 클라우드 서비스를 도입한 기업이라면 새 소프트웨어를 다운로드할 필요가 없다. 모든 소프트웨어와 데이터는 클라우드에 이미 올라가 있고 클라우드의 보안은 클라우드 공급업체가 담당하기 때문이다. 

기업들이 스스로 IT인력으로 자사 시스템의 보안을 해결하려고 하는 것보다, 시스템 자체를 클라우드 환경으로 전환하고 구글과 같은 대형 클라우드 공급업체의 보안 기술력에 맡겨놓은 것이 더욱 효율적이고 안전하다는 얘기다. 

그렇다고 ‘클라우드’라는 이름을 붙었다고 해서 무조건 안전한 것은 아니다. 그는 “클라우드는 점점 인기있는 ‘마케팅 용어’가 되고 있고, 많은 중소업체들이 클라우드 서비스 시장에 뛰어들고 있지만 그들이 보안에 투자하는 것에도 한계가 있다”며 “클라우드는 수준 높은 기술이 적용되기 때문에 많이 투자하는 만큼 안전하다”고 말했다. 구글은 전 세계에 300여명의 보안 전문 기술자를 두고 클라우드 보안에 힘쓰고 있다. 

그는 사내 직원들이 외부로 정보를 유출하면서 발생할 수 있는 위험도 클라우드로 어느 정도 해결이 가능하다고 말했다. 

“사내 전산망을 외부에서 접속할 수 없을 때 직원들이 회사의 보안을 피해서 문서를 USB에 담아가거나 다른 개인 메일로 포워딩하는 경우가 생기죠. 사내 보안시스템을 몰래 우회하는겁니다. 하지만 클라우드를 도입하면 내부 시스템에 그대로 정보를 둔 상태에서 직원들이 회사 밖에서 정보에 접근할 수 있습니다.”

센테니얼소프트웨어의 연구보고서에 따르면 USB드라이브 사용자의 66%는 USB를 분실한 경험이 있고 분실된 드라이브 가운데 60%는 기업 보안 정보를 저장하고 있었다. 이같은 분실 사건에 따른 정보 유실도 줄일 수 있다는 것이다. 

그는 “그렇다고 기업들이 100% 클라우드 환경으로 전환하는 시대는 오지 않을 것”이라고 덧붙였다. 그는 “기존의 설치형서비스는 특정 업무 용도로 사용되는 방식으로 남아있게 될 것”이라며 “기업 내 IT부서의 역량을 필요한 설치형서비스에 집중시키고 나머지는 클라우드로 전환하는 형태가 될 것”이라고 말했다.