탈레스(Thales)가 37개 산업 분야의 18개국 약 3000명의 IT 및 보안 전문가를 대상으로 한 설문조사를 근거로 최신 클라우드 보안 위협, 동향 및 새로운 위험에 대한 연례 평가인 2024 탈레스 클라우드 보안 연구(2024 Thales Cloud Security Study)를 공개했다.
클라우드 사용이 많은 조직에서 전략적으로 계속 중요해짐에 따라 클라우드 리소스는 SaaS 애플리케이션(31%), 클라우드 스토리지(30%), 클라우드 관리 인프라(26%)가 주요 공격 범주로 언급되는 등 사이버 공격의 가장 큰 표적이 되었다. 그 결과, 클라우드 환경 보호가 다른 모든 보안 분야보다 먼저 최우선 보안 우선 순위로 떠올랐다.
이는 조직들이 클라우드 데이터 침해를 계속 경험함에 따라 발생한다. 조직들 중 44%가 클라우드 데이터 침해를 경험했으며, 14%는 지난 12개월 동안 사고를 겪었다고 보고했다. 인적 오류와 잘못된 구성이 계속해서 이러한 침해의 가장 큰 근본 원인(31%)을 차지했으며, 알려진 취약성 악용(28%), 멀티팩터 인증(Multi-Factor Authentication) 미사용(17%)이 그 뒤를 이었다..
기업 전반에서 클라우드 사용량이 증가함에 따라 위협 행위자의 잠재적 공격 표면도 함께 증가했는데, 조직의 66%가 25개 이상의 SaaS 애플리케이션을 사용하고, 기업 데이터의 거의 절반(47%)이 민감한 데이터이다. 클라우드의 민감한 데이터에 대한 위험이 증가하고 있음에도 불구하고 데이터 암호화율은 여전히 낮으며, 민감한 클라우드 데이터의 80% 이상을 암호화하는 기업은 10% 미만이다.
탈레스의 클라우드 보호 및 라이선싱 부문 수석 부사장인 세바스티앙 카노(Sebastien Cano)는 “클라우드가 제공하는 확장성과 유연성은 조직에 매우 매력적이기 때문에 보안 전략의 핵심이 되는 것은 놀라운 일이 아니다. 그러나 클라우드 공격 표면이 확장됨에 따라 조직들은 클라우드에 저장한 데이터, 데이터를 암호화하는 데 사용하는 키, 데이터에 액세스하는 사람과 데이터가 사용되는 방법에 대한 완전한 가시성을 확보해야 한다. 특별히 데이터 주권과 개인정보보호가 올해 연구에서 가장 큰 관심사로 떠올랐기 때문에 지금 이러한 문제를 해결하는 것이 중요하다”라고 말했다.
조직들이 클라우드 컴퓨팅 사용에 대한 더 많은 경험을 쌓으면서 많은 조직들이 새로운 보안 문제를 해결하기 위해 투자를 현대화했다. 디지털 주권을 새로운 보안 문제로 우선시하는 조직의 경우 클라우드 데이터를 논리적으로 분리, 보호, 저장 및 처리하기 위해 애플리케이션을 리팩터링(refactoring)하는 것이 작업부하를 온프레미스(on-premises) 또는 인테리토리(in-territory)로 다시 송환하는 것과 같은 다른 조치보다 앞서 주권 이니셔티브를 달성하거나 성취하는 가장 좋은 방법이었다. 미래를 대비하는(Future-proofing) 클라우드 환경(31%)이 디지털 주권 이니셔티브 이면의 가장 큰 동인이었으며, 규정 준수는 22%로 큰 차이로 2위를 차지했다.