댓글 0
기사입력 : 2024.11.04 10:03
엔터프라이즈 오픈 소스 솔루션 기업인 수세(SUSE)가 ‘2024년 클라우드 보안 APAC 동향 보고서’(이하 2024년 APAC 보고서)를 발표했다.
이번 보고서는 생성형 AI(Gen AI) 및 엣지 컴퓨팅이 클라우드 보안에 미치는 영향을 중점으로 아시아 태평양(APAC) 지역의 클라우드 보안 문제를 살펴본다.
2024년 APAC 보고서는 중국, 싱가포르, 인도, 일본, 한국, 인도네시아, 호주의 이해관계자를 대상으로 한 설문조사에 기반한다. 점점 더 복잡해지는 클라우드 및 엣지 환경을 보호하기 위해 IT팀이 직면하는 시급한 문제를 조명하고, 클라우드를 채택할 때 가장 중요한 과제를 파악한다.
보고서는 아시아 태평양에서 IT 의사 결정자들이 독특한 기회와 도전에 직면하고 있다고 설명하며, 아시아 태평양 국가별로 우선순위 및 우려 사항이 얼마나 달라지는지 강조한다. 주요 내용은 아래와 같다.
· 생성형 AI 관련 개인정보 보호 및 데이터 보안 우려: IT 의사 결정자의 57%가 생성형 AI 클라우드 보안의 개인정보 보호 및 데이터 보안을 걱정하고 있다.
· 높은 수준의 클라우드 및 엣지 보안 침해 발생률: 지난 12개월 동안 설문조사에 응한 팀의 64%와 62%가 각각 클라우드 또는 엣지 보안 사고를 경험했으며, 이것은 아시아 태평양 지역에 만연한 보안 문제를 강조한다.
· 크라우드 마이그레이션에 대한 조건적인 의지: 데이터 보안을 보장하는 경우 클라우드나 엣지로 워크로드를 더 많이 마이그레션하겠다는 의지(84%)가 높다는 사실은 클라우드 채택이 증가할 수 있는 강한 잠재력을 시사한다. 하지만 이런 의지는 효과적인 보안 조치의 보장에 크게 의존하며, 이는 보안이 여전히 아시아 태평양 지역의 클라우드 채택에서 주요 장벽으로 작용함을 시사한다.
· 랜섬웨어 공격을 가장 크게 우려: 응답자의 34%가 보안 문제로 랜섬웨어 공격을 가장 많이 선택했으며, 제로데이 취약점을 이용한 공격(27%) 및 클라우드에서 접근하는 민감한 데이터의 가시성 제어(23%)가 그 뒤를 이었다.
· 공급망 보안에 집중: IT 의사 결정자의 33%가 보안을 강화하기 위해 소프트웨어 공급망을 검토할 계획이다.
수세 아시아 태평양 최고 기술 책임자 비샬 가리왈라(Vishal Ghariwala)는 보고서 결과에 대해 “보고서가 강조하듯이 생성형 AI 및 엣지 컴퓨팅의 급격한 변화로 디지털 환경의 복잡성이 증가하면서 아시아 태평양 전역의 조직을 대상으로 전례 없는 새로운 보안 문제가 발생하고 있다”며 “이런 추세는 아시아 태평양 지역의 지속적인 투자 및 맞춤형 보안 전략의 필요성을 강조한다”고 설명했다.
이어 “규제 및 기술 격차가 보안 리스크를 인식하고 우선순위를 정하는 데 얼마나 큰 영향을 미치는지도 확인할 수 있었다”며 “수세는 이런 새로운 디지털 환경에서 보안을 보장하는 맞춤형 오픈 소스 솔루션으로 비즈니스를 지원하기 위해 노력하고 있다. 오픈 소스를 활용하면 조직은 역동적인 아시아 태평양 시장 전역에서 클라우드 보안 관행의 보호와 개선에서 앞설 수 있다”고 덧붙였다.
생성형 AI, 아시아 태평양 국가 IT 의사 결정자 사이에서 주요 보안 문제로 드러나
보고서에 따르면 아시아 태평양의 우선순위와 우려 사항은 국가별로 큰 차이를 보인다. 특히 일본의 이해관계자 중 25%는 생성형 AI가 지역 전체의 주요 위협으로 부상하는 중에도 생성형 AI 관련 보안 리스크가 없다고 생각한다. 그 외 주목할 만한 사항은 다음과 같다.
· 개인정보 보호 및 데이터 보안(57%), AI 기반 사이버 공격(55%)이 생성형 AI 클라우드 보안에서 가장 큰 우려 요인이다.
· 전반적으로 시장에서 가장 심각한 리스크에 대한 인식은 격차가 크다. 개인정보 보호 및 데이터 보안은 인도네시아(79%), 싱가포르(66%), 중국(62%), 한국(55%), 호주(52%)에서 가장 큰 리스크로 인식했고, AI 기반 사이버 공격은 인도(63%)와 일본(39%)에서 가장 큰 위험으로 인식했다.
· 젊은 세대의 IT 전문가들이 생성형 AI 관련 보안 리스크를 가장 잘 인식하고 있다. 18~54세 응답자 중 리스크가 없다고 생각한 비율은 4%였지만 55세 이상은 10%가 리스크를 인식하지 못했다.
보고서에 따르면 작년 평균적으로 아시아 태평양 지역의 IT 의사결정자는 2.6건의 클라우드 관련 보안 사고를 경험했다. 그중 인도(4.4)와 인도네시아(3.8)가 가장 큰 영향을 받았고 호주(1.2)와 일본(1.8)이 가장 적은 영향을 받았다. 그 외 주목할 만한 사항은 다음과 같다.
· 응답자의 64%가 지난 12개월 동안 클라우드 보안 사고를 경험했다고 확인했으며, 대부분 응답자(62%)는 엣지 관련 보안 사고를 최소 한 건 이상 보고했다.
· 인도와 인도네시아가 가장 심각한 영향을 받아 각 응답자의 35% 및 31%가 5건 이상의 엣지 관련 보안 사고를 보고했다.
· 보고서는 다양한 시장의 보안 관행에 큰 격차가 있음을 시사한다. 현재 가장 일반적인 보안 관행은 보안 자동화(39%), DoS 또는 DDoS 보호(36%), 클라우드(CPSM, CWPP, or CNAPP) 솔루션(34%)이다.
· 쿠버네티스 네트워크 정책은 중국(33%)과 싱가포르(32%)에서 인기 있는 솔루션이지만, 일반적으로는 인기가 덜하다(아시아 태평양 지역 전체에서 15%).
· IT 예산 중 상당 부분을 클라우드 네이티브 보안에 할당한다는 응답의 비율(30.9%)은 대체로 운영 전략에서 보안이 높은 우선순위를 차지한다는 것을 반영한다.
랜섬웨어 공격, 글로벌 시장과 마찬가지로 APAC에서도 큰 문제
보고서에 따르면 IT 전문가 중 34%가 랜섬웨어 공격을 가장 중요한 보안 문제로 확인했다. 그 다음으로 알 수 없는 취약성(제로데이)을 사용해 서비스를 실행하는 공격을 선택했다(27%). 그 외 주목할 만한 사항은 다음과 같다.
· 여러 보안 문제에 대한 우려는 시장마다 격차가 크다. 랜섬웨어 공격은 한국(응답자의 48%가 가장 큰 보안 문제로 인식)과 호주(44%)에서 상당히 높은 보안 문제로 평가된 반면, 중국에서는 비율이 20%에 불과했다.
· 중국과 싱가포르의 IT 이해관계자들은 엣지에서 데이터의 보안을 관리하는 과정의 문제를 각기 다르게 확인했다. 중국에서는 엣지 솔루션과 기존 IT 시스템과의 통합(37%), 자동화된 메커니즘 관리 및 배포 구현(37%)을 가장 중요한 문제로 확인했고, 싱가포르에서는 제로 트러스트 보안 조치 구현(44%)을 가장 중요한 문제로 확인했다.
소프트웨어 공급망 공격 리스크 완화하는 데 가장 중요한 요소는?
보고서에 따르면 IT 의사 결정자 4명 중 1명은 향후 12개월 동안 정부에서 인정하는 공급망 관련 보안 인증이 더 중요해질 것으로 예상한다(24%). 그 외 주목할 만한 사항은 다음과 같다.
· 공급망 리스크를 완화하기 위해 아시아 태평양 IT 의사 결정자들은 벤더 지원 소프트웨어 활용(44%) 및 소프트웨어 구축 프로세스 인증(39%)이 중요하다고 생각한다.
· 일본의 IT 전문가 중 4분의 1은 공급망 위험에 대한 어떤 조치도 취하지 않고 있다고 응답해(24%) 다른 시장과 큰 차이를 보였다.
