🧑💻
보증기간이 지난 하드웨어, 업데이트 미비로 쌓인 '보안 부채'는 대규모 침해 사고로 이어질 수 있습니다.
특히 관리가 까다로운 온프레미스 환경은 지능화되는 위협 앞에 보안 공백이 생기기 쉬운데요.
카카오클라우드 SECaaS를 통해 보안 부채를 해결하고 인프라 안전성을 확보하는 방법을 알아봅니다.
안녕하세요. 카카오클라우드입니다.
그동안 IT 산업의 ESG 경영은 주로 데이터센터 인프라의 전력 소모와 같은 환경(Environmental) 측면에 집중되어 왔습니다. 하지만 2025년 발생한 AWS 글로벌 마비 사태부터 3,300만 건의 데이터 유출 사고에 이르기까지 대형 보안 사고가 잇따르면서, 이제는 디지털 보안과 데이터 거버넌스를 아우르는 사회적 책임(Social) 및 지배구조(Governance)의 중요성까지 폭넓게 부각되고 있습니다.
사실 기업이 자체적인 인프라만으로 이러한 복합적인 ESG 지표를 완벽히 관리하기란 쉽지 않습니다. 하지만 클라우드 도입만으로도 ESG 실천이 훨씬 수월해진다는 사실, 알고 계셨나요? 카카오클라우드의 전문적인 서비스를 통해 기업의 ESG 경영을 어떻게 혁신할 수 있는지 그 구체적인 방안을 [ESG와 클라우드] 특집을 통해 살펴봅니다.
[ESG와 클라우드]
[ESG와 클라우드 ①] TCO는 낮추고 ESG는 높이고: 온프레미스 vs 클라우드, 당신의 선택은?
[ESG와 클라우드 ②] 나도 모르는 사이 쌓이는 보안 부채, SECaaS로 스마트하게 대응하세요!
🤝 Social | 사회적 책임을 위한 클라우드
최근 통신사 및 주요 유통 플랫폼의 잇따른 정보유출 사태가 터지면서 기업 내부정보 및 고객 정보에 대한 보안에 대한 중요성이 그 어느때보다 강조되고 있는데요. 그리고 화재 및 자연재해로 인한 운영 중단이 사회적으로 큰 영향을 주면서 인프라 재해복구 체계를 포함한 안정적인 서비스 운영이 요구되고 있는 상황입니다. 기업 자체의 손해 뿐 아니라 서비스 중단으로 인한 사회적 영향까지 책임져야 하는 것입니다. 통신기업 S사의 사례가 대표적인데요, 이미 해결된지 오래된 취약점에 대한 업데이트가 늦어져 결정적인 침해 사고로 이어진 경우입니다.
‘업데이트만 제 때 했어도’, S사 개인정보 유출 사례
2025년, S사는 해킹으로 인해 2,300만명분의 USIM인증키, 단말기식별번호IMEI 등 25종에 달하는 고객 개인정보 유출이 발생하였고, 사고 이후 무려 100일 간 929만 명이 USIM을 교체하는 등 큰 사회적 비용과 2차 피해 우려에 따른 혼란이 이어졌습니다. S사는 이 사태로 인해 과징금 1,348억원을 부과받았습니다. 거기에 더해 개인별 보상 금액은 총 2조 3,000억원에 달할 전망이며 (인당 10만원 기준) 협의에 따라 그 금액은 더 커질 수 있습니다.
해커들은 2021년 S사의 관리망 서버에 원격조종 프로그램을 심으며 내부에 침투한 후 더티카우(Dirty Cow)라 불리는 보안 허점을 통해 관리자 권한을 획득하여 BPFDoor라는 악성 프로그램을 설치해 외부에서 서버를 몰래 조종할 수 있었습니다. 그런데, 더티카우는 이미 2016년에 취약점이 알려져 보안 패치가 나온 상태였으나 S사는 5년 넘게 해당 업데이트를 적용하지 않아 취약점에 노출된 것이 밝혀졌습니다. 여러 단계에 걸친 해킹 중 결정적인 단계였던 ‘관리자 권한’ 해킹이 단순히 업데이트를 적용하지 않아 발생한 것입니다.
(출처: '국민 절반 해킹 피해' 과징금 1348억원...역대 최대 이유는 (BBC, 2025.08.28)
잠깐의 틈만 보여도 증가하는 ‘보안 부채’
앞서의 사례와 같이, 업데이트 누락 및 제품 지원 종료로 인한 대응 지연은 침해 사고로 쉽게 이어집니다. KISA 한국인터넷진흥원에 의하면 DDoS, 악성코드(랜섬웨어 포함), 해킹 등 모든 종류의 침해 사고가 매년 높은 증가세에 있습니다. 지난 해 침해 사고 건 수는 2,383건으로 2023년의 1,277건의 거의 두 배에 가까울 정도입니다. 이렇게 증가하는 침해 시도는 전문 보안 인력이나 최신 보안 솔루션에 대한 투자가 부족한 경우 적절히 대응하기가 어렵습니다. 특히 온프레미스 환경을 구축한 기업의 경우 조직의 전담 인력이 업데이트를 포함한 모든 과정을 관리해야 하는데요. 이 작업이 지연되거나 최악의 경우 누락되면 앞선 사례와 같이 서버의 취약점을 노린 공격에 쉽게 노출될 수 있습니다.
그리고 이렇게 쌓인 보안 위협에 따른 잠재비용은 ‘보안 부채’(Security Debt)라고 불립니다. 적합한 기술로 해결되었어야 할 문제가 임시방편으로 대응되어 결함이 쌓이고 ‘기술 부채’로 이어지는 것과 유사합니다. 제 때 대응하지 못한 보안 문제가 쌓여 나중에 더 큰 규모의 ‘부채’로 다가오는 것입니다. KISA 한국인터넷진흥원의 보고서 <25년 사이버 위협 동향 및 26년 전망>에 따르면 구형 서버 OS 환경을 비롯한 EOS* 제품 사용 및 레거시 시스템에 대한 방치 (보안 업데이트 지연 포함) 등이 곧 높은 보안 부채*로 이어질 수 있습니다.
이렇게 지원이 종료된 제품을 사용하지 않는 것이 보안의 상식임에도, 가장 기본적인 운영체제 조차 EOS 제품이 여전히 폭 넓게 쓰이고 있습니다. 오픈소스 솔루션 기업 OpenLogic의 보고서 <2026 State Of Open Source Report>에 따르면 2024년 6월 모든 지원이 종료된 바 있는 ‘CentOS’ 구 버전이 아직 13.35%의 점유율로 5위를 차지하고 있는데요. 특히, 아시아 지역에서는 28.13%의 점유율을 차지하고 있어 지원 종료로 인한 보안 공백이 우려되는 상황입니다.
EOS 제품 사용과 업데이트 지연으로 높아진 보안 부채는 사고 발생 시 높은 대응 및 복구 비용의 발생으로 이어지게 되어 관리가 필요한데요. 하지만 침해 사고를 방지하기 위해 24시간 보안 관제 구축, 서비스 전체 전수조사 등을 직접 수행하는 것은 부담스러운 일입니다. 반면 클라우드 환경에서는 상당수의 보안 업무를 클라우드 기업(CSP)에서 수행하여 많은 부담을 줄일 수 있습니다. 그렇다면 카카오클라우드의 보안 안정성 수준은 어떨까요? 카카오클라우드의 보안 인증과 SECaaS(Security-as-a-service)에 대해 함께 알아봅니다.
*보안부채(Security Debt) : EOS 제품 운영 및 보안 조치 지연으로 인한 장애 및 침해에 따른 잠재적 비용
*EOS(End Of Service) : SW 개발사나 HW 제조사가 더 이상 기술지원을 하지 않는 제품
모든 사용자에게 금융기관 레벨의 보안 서비스를, 카카오클라우드
카카오클라우드의 보안 수준은 어느 정도일까요?
카카오클라우드는 높은 보안 수준을 입증하기 위해 CSAP 인증은 물론 다양한 국내외 보안 인증을 획득하고 유지 중에 있습니다. 과학기술정보통신부의 클라우드 서비스 보안인증(CSAP), 정보보호 관리체계 인증(ISMS)과 정보보호 관리체계에 대한 국제 표준 검증(ISO/IEC 27001, 27017, 27018, 27701, 27799), 국제 클라우드 서비스 정보보호 인증(CSA STAR: Gold) 등을 획득하였습니다. 또한, 카카오클라우드는 2023년 11월, 금융보안원 CSP안전성 평가에서 ‘전 영역 평가 만족’으로 금융기관급의 뛰어난 보안성을 제공합니다. 금융존에 국한되지 않고 퍼블릭 영역 전체에 인증을 받아 카카오클라우드를 이용하는 모든 사용자가 금융기관 레벨의 보안으로 보호받을 수 있습니다. 거기에 더해 클라우드 서비스 운영의 핵심인 데이터 센터의 물리적 보안, 그리고 장애 및 자연재해 발생 시의 대응 체계까지 철저히 점검하여 대비하고 있습니다.
카카오클라우드 보유 보안 인증 현황
| 금융보안원 CSP 안전성 평가 금융 기업의 클라우드 도입을 위한 CSP 건전성 및 안전성 평가 *퍼블릭 영역(일반 고객) 포함 전 영역 평가 만족 |
 |
| ISMS-P 정보보호 및 개인정보보호 관리체계 인증 |
 |
| CSAP 공공기관에 클라우드 서비스 제공을 위한 정보보호 수준 평가·인증 |
 |
| ISO/IEC 27701 개인정보 관리체계에 대한 국제 표준 검증 |
 |
| CSA STAR : Gold 국제 클라우드 서비스 정보보호 인증 |
 |
| ISO/IEC 27018 클라우드 서비스 개인정보 관리체계에 대한 국제 표준 검증 |
 |
| ISO/IEC 27017 클라우드 서비스 정보보호 관리체계에 대한 국제 표준 검증 |
 |
| ISO/IEC 27799 의료정보보호 관리체계에 대한 국제 표준 검증 |
 |
| ISO/IEC 27001 정보보호 관리체계에 대한 국제 표준 검증 |
 |
표1. 카카오클라우드 정보보호인증 현황
내게 맞는 SECaaS로 더 안전하게, 카카오클라우드 마켓플레이스
클라우드 환경의 보안을 더 견고하게 만드는 글로벌 파트너들의 보안 서비스! 카카오클라우드는 시장의 수많은 솔루션 중 엄격한 기술 검증과 실무 테스트를 거친 87종의 보안 솔루션만을 엄선하여 클라우드 고객에게 제공합니다. 마켓플레이스를 통해 SECaaS 형태로 유연하게 활용할 수 있습니다.
카카오클라우드와 함께라면 금융기관급의 정보보호 관리체계로 안심할 수 있는 클라우드 보안은 물론, 목적에 맞는 SECaaS 구성을 통해 합리적으로 글로벌 수준의 전문 보안 서비스를 구축할 수 있습니다.
안전한 인프라 운영이 곧 기업의 사회적 책임으로 이어지는 지금, 카카오클라우드와 함께 안전한 클라우드 환경 구축에 대해 상담해 보세요!
📒 참고기사 및 문헌
그림 1. KISA 25년 사이버 위협 하반기 동향 및 26년 전망 (KISA한국인터넷진흥원, 2026)
그림 2. AI 생성 이미지 (Gemini)
그림 3. 2026 State of Open Source Report (Open Logic, 2026)
그림 4. AI 생성 이미지 (Gemini)
그림 5. 카카오클라우드 마켓플레이스 서비스 : Security (카카오엔터프라이즈, 2026)
표 1. 카카오클라우드 정보보호인증 현황 (카카오엔터프라이즈, 2026)
❍ KISA 25년 사이버 위협 하반기 동향 및 26년 전망 (KISA한국인터넷진흥원, 2026.02.06)
❍ 2025 Data BreachInvestigations Report (Verizon Business, 2025.06.06)
❍ '국민 절반 해킹 피해' 과징금 1348억원...역대 최대 이유는 (BBC, 2025.08.28)
✅ 함께 읽으면 좋은 콘텐츠를 소개합니다.
❍ [ESG와 클라우드 ①] TCO는 낮추고 ESG는 높이고: 온프레미스 vs 클라우드, 당신의 선택은?
❍ 금융보안원 CSP 안전성 평가 완료로 금융 클라우드 시장 공략
❍ <현장 스케치> 🔐카카오 주요 계열사를 위한 클라우드 보안 세미나
✅ 최신 IT업계 동향과 클라우드 인사이트를 놓치고 싶지 않다면?!
카카오클라우드의 뉴스레터 '카클레터'를 구독하세요! 👉 '카클레터' 구독하러 가기
댓글