기업의 클라우드 전환 바람이 거센 가운데 데이터 유실 책임 소재를 놓고 사용자와 클라우드서비스업체(CSP) 간 파열음도 덩달아 커지고 있다. 사용자들은 “업체가 보안까지 책임져야 한다”고 인식하는 반면 CSP들은 약관을 근거로 “공동 책임”이라고 맞서는 모양새다.
글로벌 보안회사 베리타스가 최근 전 세계 근로자 1만1500명을 대상으로 클라우드 보안 인식을 조사한 결과 응답자의 92%가 “클라우드 사용 중 발생하는 데이터 유실이나 해킹 피해를 CSP들이 복구해줄 것으로 생각한다”고 답했다. 클라우드상 서비스형 소프트웨어(SaaS)에 대한 보호 책임이 CSP에 있다고 인식한 것이다.
클라우드상에서 데이터 유실을 경험한 비율은 56%에 달했다. 소실 데이터는 보고서(42%)가 많았지만 금융 데이터(18%), 고객 주문(12%), 정보기술(IT) 코드(17%) 등 사업 관련 핵심 데이터도 포함됐다. 유실을 겪은 이들 중 35%는 “데이터 유실이 없었다”고 거짓 보고를 하는 경향까지 보였다. 최근 문제가 된 랜섬웨어 피해에 대해선 30%만이 정보기술 부서에 바로 보고한다고 답했다.
문제는 내부에서 “CSP를 통해 조용히 처리하겠다”는 계획을 가지고 있어도, CSP들이 계약상 복구 의무를 지는 경우가 드물다는 점이다. 이 때문에 한 해 동안 직원들이 유실하는 문서가 평균 29개에 이르는데도 응답자의 절반은 데이터 복구조차 할 수 없었던 것으로 나타났다. 이상훈 베리타스코리아 한국지사장은 “클라우드를 도입한 현장에서는 백업 솔루션을 따로 쓰지 않고 직원 교육도 없는 경우도 상당수”라고 말했다.
CSP들은 약관을 근거로 책임과는 거리가 있다고 주장한다. 통상 데이터 복구와 관련한 내용은 고객사와 CSP들이 서비스 수준 계약(SLA)을 체결할 때 포함된다. 클라우드업계 관계자는 “고객사는 ‘데이터 백업 책임은 고객사가 진다’는 조항을 대수롭지 않게 넘어가고, 계약을 끌어내야 하는 CSP 역시 이를 굳이 적극적으로 강조하지 않는다는 게 문제”라고 지적했다.
상황이 이렇다 보니 CSP들은 ‘공동 책임 모델’까지 강조하고 나서는 추세다. 최근 아마존웹서비스(AWS)가 ‘인프라에서 발생하는 문제는 CSP가, 고객의 과실로 생겨난 유실은 고객이 책임진다’는 조항을 알리는 것이 대표적이다. 고객사 역시 보안 인식을 환기하고, CSP가 보안 관련 상품을 다양화해야 한다는 목소리가 나온다.
이시은 기자 see@hankyung.com