수년간 클라우드 컴퓨팅은 혁신적 변화의 대명사였고, 아마도 더 중요하게는 견고한 보안의 상징이었다. 많은 클라우드 서비스 업체가 자사의 플랫폼을 기업 IT가 감히 따라올 수 없는 수준으로 더 안전하고 복원력이 뛰어나다고 홍보했다.

클라우드 서비스 업체는 진화하는 사이버 위협에 대응하기 위해 통합된 방어 체계와 규모의 경제를 무기로 신뢰와 보호의 역할을 자임했다. 그러나 최근의 조사에 따르면, 이런 믿음에 균열이 드러나고 있다. 사이버보안 업체 테너블(Tenable)과 클라우드 보안 연합(Cloud Security Alliance, CSA)이 함께 실시한 “2025년 클라우드 및 AI 보안 현황(State of Cloud and AI Security 2025)” 보고서는 한때 최고 수준이라 여겨졌던 클라우드 보안이 점점 더 분절되고 정렬되지 못해 기업을 취약하게 만들고 있다고 지적했다.

문제는 자원 부족이나 예산 부족이 아니다. 클라우드 서비스 업체의 우선순위가 변했기 때문이다. 투자와 혁신 에너지가 AI 및 하이브리드 클라우드 개발에 더 쏠리면서, 보안 노력이 뒤처지는 모습이다. 만약 이런 보안 경시가 지속된다면, 클라우드 플랫폼은 기업 IT의 ‘신뢰받는 기반’이라는 지위를 잃을 수도 있다.

보안은 기반이다

기업이 퍼블릭 클라우드로 열정적으로 이전한 데서 보안이 맡은 역할은 과장할 수 없을 정도로 중요했다. DDoS 공격, 랜섬웨어, 내부자 위협 같은 문제에 직면한 기업은 기술적 정교함과 확장 가능한 내재적 보안 프레임워크를 제공하는 대형 클라우드 서비스 업체에 의존했다. 뛰어난 제어와 선제적인 방어, 책임 공유 모델에 대한 약속이 기업으로 하여금 안심하고 이들 플랫폼을 선택하게 했다.

하지만 CSA/테너블 보고서에 따르면, 82%의 기업이 온프레미스 시스템과 클라우드 시스템을 결합한 하이브리드 환경을 운용 중이며, 63%는 둘 이상의 클라우드 서비스 업체를 사용하고 있다. 이런 멀티클라우드 전략으로 기업은 평균 2.7개의 클라우드 환경을 사용하며, 그 결과 전통적 보안 도구로 방어하기 힘든 크고 분절된 인프라 구조가 만들어졌다.

보고서는 클라우드 보안의 가장 약한 고리는 ID 및 액세스 관리라고 지목했다. 응답자의 거의 59%가 안전하지 않은 ID와 위험한 권한을 가장 큰 우려사항으로 꼽았으며, 과도한 권한과 부실한 ID 위생이 보안 침해의 주요 원인으로 나타났다. 놀랍게도 IAM이 하이브리드 시스템 전반에 걸쳐 제대로 적용되지 못하고 분산되어 있으며, ID 관리팀과 클라우드 운영팀 간 차이가 흔한 문제라고 밝혔다. 최소 권한 원칙의 적용이나 ID 관련 KPI 모니터링 같은 베스트 프랙티스를 따르는 데 많은 기업이 고전하고 있다.

이런 실패의 결과는 기업의 클라우드 보안 태세가 사후 대응 중심으로 기울고 있다는 점에서 점점 더 뚜렷하게 나타나고 있다. 보고서에 따르면, 기업이 가장 흔하게 추적하는 클라우드 보안 지표는 사건 발생 빈도와 심각도(severity)로, 공격자가 이미 취약점을 이용한 후 피해를 측정하는 지표다. 놀랍지 않게도 응답자들은 지난 18개월 동안 평균 2번의 클라우드 관련 침해를 경험했으며, 그 원인으로는 잘못 구성된 시스템과 과도한 권한이 가장 많이 꼽혔다. 이 결과는 기업이 위기에 대응하는 데 집중하고 있으며, 선제적 회복력을 위해 충분한 자원을 투입하고 있지 않다는 점을 시사한다.

AI에 대한 과도한 집중

눈여겨봐야 할 조사 결과는 침해 증가나 ID 관리의 실패가 아니다. 클라우드 생태계의 최고 의사결정권자가 내리는 전략적 판단이다. 보고서에 따르면, 기업의 55%는 이미 AI 워크로드를 적극적으로 활용 중이며, 34%는 AI 기반 시스템을 실험하고 있다. AI에 대한 투자와 혁신이 클라우드 서비스 업체의 핵심 의제로 자리 잡은 반면, 보안은 뒷전으로 밀려난 분위기다. 이들 워크로드는 제대로 파악되지도 않고 적절하게 대응할 수도 없는 위험을 수반한다.

실제로 AI를 업무에 활용하는 기업의 34%는 이미 소프트웨어 취약점, 내부자 위협, 잘못된 환경 구성으로 인해 AI 관련 침해를 경험한 바 있다. 데이터는 뚜렷한 모순을 드러낸다. 기업은 모델 조작이나 악의적 AI 활용 같은 새로운 AI 기반 위협을 우려하면서도, 실제 침해는 방심과 부실한 보호 체계 같은 익숙한 취약점에서 비롯되고 있다. 업계가 이런 위험을 인지하고 있음에도 불구하고, AI 데이터 암호화나 MLOps에 대한 보안 테스트 같은 기본 기술 조치를 우선시하는 조직은 거의 없다.

AI에 집착하는 현재 흐름은 클라우드 서비스 업체가 워크로드 중심의 기술 로드맵과 마케팅 전략에 치우쳐 있고, 보안은 부차적인 요소로 전락했다는 점을 보여준다. 단기적으로는 AI 붐 덕분에 이런 전략이 사업적으로 타당해 보일 수 있지만, 장기적으로는 기업을 취약하게 만들고 퍼블릭 클라우드 플랫폼의 기반이었던 신뢰를 약화시킨다.

많은 기업이 전략적 정렬과 전반적인 위험 관리의 중요성을 강조하고 있지만, 보안을 최우선으로 하는 사고방식에서 멀어지고 있다는 사실은 수치에서도 드러난다. 조사 결과, 응답자의 단 20%만이 통합 위험 평가를 우선시하고 있으며, 도구 통합에 초점을 맞춘 기업은 13%에 불과했다. 권한 남용이나 비정상적인 접근 같은 구체적 지표를 추적하고 사일로를 해체하려는 노력이 부족한 상황에서는 예방 가능한 침해 위험이 계속해서 커질 수밖에 없다. 하이브리드 클라우드 구성이 일반화되면서 이런 환경 간 분절된 가시성은 공격자에게 더 많은 기회를 제공한다.

바로잡아야 할 우선순위

AI에 집중하느라 보안을 뒷전으로 미루는 것은 클라우드 서비스 업체의 도박처럼 보이지만, 기업이 이 경로를 끝까지 따를지는 알 수 없다. CSA/테너블 보고서는 응답자의 31%가 자사 경영진이 클라우드 보안의 복잡성을 제대로 이해하지 못한다고 응답했으며, 다수는 클라우드 서비스 업체가 기본으로 제공하는 도구만을 무비판적으로 신뢰하고 추가 보호책을 마련하지 않았다고 밝혔다. 과거에는 클라우드 서비스 업체의 강력한 보안 보장이 이런 신뢰를 가능하게 했다. 하지만, 위협 환경이 급격히 확대되고 있는 지금, 그 보장이 더 이상 현실과 부합하지 않는다는 증거가 쌓이면서 많은 기업이 다른 대안을 찾거나 퍼블릭 클라우드 의존도를 재고할 가능성이 높다.

불편하지만 명확한 진실이 있다. 보안을 뒷전으로 미룬다면, 그것이 클라우드 서비스 업체의 몰락으로 이어질 수 있다. AI는 분명 흥미롭고 수익성도 높지만, 보안은 여전히 기업 신뢰의 핵심축이다. 신뢰를 잃는 순간, 그것을 되찾기란 쉽지 않다.

경고는 이미 울렸다. 빠른 혁신은 중요하지만, 보안을 소홀히 하면 신뢰도와 경쟁력을 동시에 잃는다. 지금 바로 조치하지 않으면, 퍼블릭 클라우드는 기업의 최우선 플랫폼이라는 지위를 잃을 수 있다. 뛰어난 보안성 확보를 다시 최우선 과제로 삼지 않는다면, 퍼블릭 클라우드가 과연 온프레미스 시스템보다 더 안전한 선택인지 의문을 품는 기업이 늘어날 것이다.

dl-itworldkorea@foundryco.com