급성장하는 SaaS 서비스 업체에서 흔히 벌어지는 상황을 가정해 보자. 가상의 SaaS 업체 델타사이트는 야심 찬 멀티클라우드 마이그레이션에 착수해 AWS, 마이크로소프트 애저, 구글 클라우드 전반에 핵심 워크로드를 배치했다. 델타사이트 이사회는 AI 기반 모니터링과 자동화된 컴플라이언스 프레임워크를 포함한 최신 클라우드 보안 도구에 수백만 달러 규모의 투자를 승인했으며, 이를 통해 사실상 보안이 보장될 것이라고 믿었다.
하지만 서비스를 가동한 지 6개월 만에 델타사이트는 대형 침해 사고를 겪었다. 잘못 설정된 스토리지 버킷 1개가 민감한 고객 데이터를 공용 인터넷에 노출한 것이다. 첨단 도구에 투자했지만, 기본적인 실수를 발견하지 못하고 방치한 결과였다.
델타사이트가 처한 상황은 업계 전반에서 날로 커지는 문제를 그대로 드러낸다. 이런 상황은 너무 많은 기업이 기술에 신뢰를 쏟는 반면, 숙련되고 충분히 훈련된 클라우드 보안 인력의 중요성을 간과하고 있다.
도구가 좋아져도 보안 사고는 증가
2025년 클라우드 보안 사고는 61% 급증했고, 기업의 약 2/3가 최소 1건의 중대한 사건을 보고했다. 겉으로 보면 클라우드 환경의 규모와 복잡성을 탓하거나, 점점 정교해지는 기법을 쓰는 공격자를 희생양으로 삼기 쉽다. 하지만 헤드라인과 침해 보고서를 자세히 들여다보면 다른 패턴이 드러난다.
근본 원인은 놀라울 정도로 익숙하다. 지속적인 설정 오류, 탈취된 자격 증명, 통제되지 않은 섀도우 IT의 확산이 반복된다. 이런 사고는 기술이 부족해서 일어나는 것이 아니다. 원인은 내부 전문성 구축을 희생한 채 도구에 과도하게 의존한 데서 비롯됐다. 자동 스캐너와 대시보드는 위험을 식별하지만, 전문 지식이 있는 인력이 없으면 기업이 경고를 무시하거나 잘못 해석한다. 기업이 사람에 대한 투자 없이 멀티클라우드 도입을 서두르면서 이런 패턴이 곳곳에서 나타난다.
해결책은 도구가 아니라 인재다
지난 5년 동안 클라우드 보안 인력 공급은 급격히 감소했다. 클라우드 전환 러시는 인재 병목을 만들었고, 인재 병목은 아직 완전히 해소되지 않았다. 숙련된 팀을 채용하는 대신 AI 기반 도구에 의존했지만, 사람의 실수는 계속됐고 자동화는 판단을 개선하기보다 실수를 증폭시키는 역할을 했다. 설정 오류는 데이터 유출과 침해로 이어지고, 공격자는 탈취한 자격 증명을 활용해 설정 오류를 점점 더 적극적으로 악용한다. 기업은 IT의 감독 밖에서 클라우드 사용을 확대하는 경우가 많다. 섀도우 IT와 신규 서비스가 늘면서 설정 문제는 불가피해졌고, 역량이 부족한 팀은 설정 문제를 방치하는 경우가 잦다.
현재 시장에는 수준 높은 기술이 부족하지 않다. 클라우드 보안 플랫폼이 약속하는 효과는 매력적이다. 대시보드는 실시간으로 위험을 식별할 수 있고, 자동화된 컴플라이언스 프레임워크는 취약점을 구조화해 보여주며, AI 기반 이상 탐지는 다음 공격자를 앞서갈 준비가 돼 있다. 하지만 기술만으로는 직원의 미숙함을 보완할 수 없고, 교육에 투자하지 않은 기업에 올바른 클라우드 위생을 강제할 수도 없다.
당면 과제는 위험을 발견하는 것이 아니라 해석하고 통제하고 실행하는 것이다. 진짜 보안은 클라우드 서비스가 어떻게 상호작용하는지 이해하고 정책 위반을 조사할 수 있으며, 변화하는 규제·운영 요구에 맞춰 보안 통제를 조정할 수 있는 숙련 실무자에서 나온다. 전문성이 없으면 가장 발전한 도구도 활용되지 않거나 오해하기 좋은 정보만 드러낼 뿐이다. 설정 오류가 유발한 데이터 유출이 이런 요점을 잘 보여준다. 침해는 도구 실패가 아니라 인재 실패에서 비롯된다.
기업이 취해야 할 실행 단계
지금 상태는 지속 가능하지 않다. 클라우드 사고는 급증하고 규제 당국의 감시는 강화되며, 침해로 인한 손실은 계속 누적되고 있다. 기업은 가장 중요한 투자가 또 하나의 대시보드가 아니라 인재의 지속적인 개발이라는 사실을 인식해야 한다. 사람을 희생하며 기술에 과도하게 의존하는 악순환은 끊어야 한다. 기업은 설정 오류 위협의 확대에 대응하고 클라우드 보안 복원력 약화를 더는 방치하지 않기 위해 구체적인 조치를 취해야 한다.
첫째, 기업은 모든 클라우드 보안 실무자를 대상으로 역할별 지속 교육에 전념해야 한다. 역할별 지속 교육은 자격증을 넘어서며, 변화하는 플랫폼에서 학습·연습·현장형 문제 해결을 위한 시간이 필요하다.
둘째, 기업은 클라우드 도입, 구성, 감독에 대해 단일한 책임 권한을 보장할 수 있도록 부서 간 거버넌스를 강화해야 한다. 부서 간 거버넌스는 섀도우 IT를 억제하고 책임을 올바른 지점에 집중시킨다.
셋째, 기업은 일회성 감사에 그치지 말고, 지식을 이전하고 베스트 프랙티스를 팀에 이식하는 협업 형태로 외부 컨설턴트를 정기적으로 참여시켜야 한다.
넷째, 지속적 개선 문화가 필수이며, 보안 사고는 단순한 복구뿐 아니라 팀 교육과 진화하는 프로세스에 피드백을 제공하는 구조화된 사후 검토로 이어져야 한다.
클라우드 보안은 디지털 현대화에서 가장 어려운 영역이 됐고, 기업 리더가 숙련 인재의 중요성과 진정한 가치를 다시 발견하지 못하면 난도는 더 높아질 뿐이다. 침해, 컴플라이언스 실패, 규제 조치가 늘어나는 현실은 도구만으로는 본질적으로 사람 문제인 결함을 고칠 수 없다는 사실을 보여준다. 번창하는 기업은 숙련되고 호기심이 많으며 충분히 지원받는 실무자를 보안 전략의 핵심에 두는 조직이다. 결국 최고의 투자는 제품만이 아니라 사람에 대한 투자다.
dl-itworldkorea@foundryco.com
David Linthicum editor@itworld.co.kr
저작권자 Foundry & ITWorld, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.