---
title: "클라우드 전환은 빨라졌는데, 보안은 아직 온프레미스 감성에 묶여 있음"
published: 2026-07-04T08:16:04.433Z
canonical: https://jeff.news/article/4599
---
# 클라우드 전환은 빨라졌는데, 보안은 아직 온프레미스 감성에 묶여 있음

국내 퍼블릭 클라우드 시장은 2024년 6조2000억원 규모로 커졌고, 2025년에는 9조원을 넘었다는 조사도 나왔다. 문제는 클라우드 보안 사고의 상당수가 고급 해킹이 아니라 설정 오류, 과도한 권한, 방치된 인증 키 같은 운영 실수에서 터진다는 점이다. 공공·금융 클라우드 전환과 생성형 AI 도입이 빨라질수록 CNAPP, SASE, CASB, GenAI Security 같은 통합 보안 체계가 더 중요해지고 있다.

## 클라우드는 이미 커졌고, 보안은 아직 뒤따라가는 중

- 국내 클라우드 시장은 이제 실험 단계가 아니라 본게임에 들어감
  - 2024년 국내 퍼블릭 클라우드 시장은 전년 대비 23.4% 성장해 약 6조2000억원 규모가 됨
  - 세부적으로는 PaaS가 39.5%, IaaS가 26.8%, SaaS가 15.8% 성장함
  - 2025년 클라우드 시장 규모가 전년 대비 25.2% 늘어 처음 9조원을 넘었다는 조사도 나옴

- 재미있는 변화는 국내 사업자 존재감이 커지고 있다는 점임
  - AWS는 여전히 강자지만, 삼성SDS가 마이크로소프트를 제치고 2위에 올랐고 네이버와 KT도 순위권에 들어옴
  - 공공과 금융권이 클라우드 문을 열기 시작하면서 글로벌 사업자만 보던 시장 구도가 조금씩 바뀌는 중임

- 정부 정책도 클라우드 전환에 계속 가속 페달을 밟고 있음
  - 2030년까지 대부분의 공공 정보시스템을 클라우드 네이티브로 전환하겠다는 방향이 잡혀 있음
  - 공공 AI 전환도 민간 클라우드 서비스를 기반으로 안착시키려는 흐름임
  - 결국 GPU, TPU, 고속 스토리지, 네트워크 같은 AI 인프라 수요가 같이 커질 수밖에 없음

> [!IMPORTANT]
> 클라우드 보안 사고는 대단한 신종 공격보다 설정 오류, 과도한 권한, 방치된 인증 키에서 더 자주 시작됨. 클라우드는 쓰는 순간부터 운영 실수가 바로 외부 노출로 이어질 수 있음.

## 사고는 클라우드 사업자보다 사용자 쪽에서 터짐

- 보안 업계가 공통으로 지적하는 부분은 클라우드 자체보다 운영 미숙이 더 위험하다는 점임
  - 허깅페이스의 특정 Spaces 개발 환경에서는 보안 승인 토큰이 외부로 노출되는 사고가 있었음
  - 국내에서는 쇼핑몰 플랫폼이 쓰던 글로벌 CSP의 클라우드 스토리지가 퍼블릭으로 열린 채 방치돼 수백만건의 고객 주문 내역과 개인정보가 유출된 사례도 나옴

- 설문조사 숫자를 보면 현장 온도가 꽤 선명함
  - 보안 전문가 562명 중 73.3%는 이미 클라우드 서비스를 사용 중이라고 답함
  - 7.1%는 1년 이내 도입 계획이 있다고 답했고, 사용하지 않는다는 응답은 19.6%였음
  - 그런데 클라우드 전담 직원이 없다는 조직이 37.5%로 가장 많았고, 1명뿐이라는 응답도 19.6%였음

- 사고 경험도 무시하기 어려운 수준임
  - 응답자의 17.9%는 클라우드 보안 사고를 겪었다고 답함
  - 사고 유형 1위는 설정 오류와 취약한 접근관리로 35.7%였음
  - 내부자 위협은 25.0%, 계정 탈취와 자격 증명 관리 부실은 16.1%, API와 인터페이스 취약점 공격은 14.3%였음

## 보안의 초점이 네트워크에서 앱·데이터·AI로 이동 중

- 예전 클라우드 보안이 방화벽, IPS 같은 인프라 보호 중심이었다면 지금은 훨씬 안쪽까지 봐야 함
  - WAF, API Protection, Bot Detection, CASB, SSPM처럼 애플리케이션과 데이터 자체를 보호하는 제품 수요가 커지고 있음
  - 생성형 AI 사용이 늘면서 기업 차원의 GenAI Security도 새 관심사로 올라옴

- CNAPP은 클라우드 보안 시장이 포인트 솔루션에서 플랫폼으로 넘어가는 대표 사례임
  - CSPM, CWPP, CIEM처럼 흩어진 기능을 하나로 묶어 클라우드 리소스, 워크로드, 권한 위험을 같이 보려는 접근임
  - 클라우드 환경이 복잡해질수록 콘솔 여러 개를 열어놓고 사람이 알림을 맞춰보는 방식은 버티기 힘듦

- 다만 통합의 방향은 업체마다 조금 다름
  - 한쪽은 CNAPP이 인프라 내부 위험을 보고, SASE와 SSE가 사용자와 애플리케이션 접속 경로를 통제하는 식의 역할 분담을 강조함
  - 다른 쪽은 CNAPP, IAM, EDR, SASE 신호를 한 운영 평면에 모아 분석가가 사고 전체를 보게 해야 한다고 봄
  - 결국 키워드는 하나임. 흩어진 신호를 모아 실제 운영자가 이해하고 움직일 수 있게 만들어야 함

```mermaid
sequenceDiagram
    participant 개발자
    participant 클라우드
    participant CNAPP
    participant SASE
    participant 보안팀
    개발자->>클라우드: 인프라와 앱 배포
    클라우드->>CNAPP: 설정·권한·워크로드 상태 전달
    CNAPP->>SASE: 리소스별 위험 점수 공유
    SASE->>개발자: 위험 경로 접근 제한
    CNAPP->>보안팀: 사고 맥락과 우선순위 알림
    보안팀->>클라우드: 설정 수정과 권한 회수
```

## 생성형 AI는 보안의 새 공격면이 됨

- 기업이 생성형 AI를 업무에 넣으면서 프롬프트 자체가 데이터 유출 경로가 되고 있음
  - 자연어 입력은 같은 의도라도 표현이 무한히 달라서 단순 키워드 차단으로 막기 어려움
  - 기사에서는 OWASP Top 10 for LLM 기준에 대응하는 26가지 보안 토픽, 프롬프트 DLP, 데이터 마스킹 같은 방식이 언급됨

- 사람 계정뿐 아니라 비인간 신원도 새 골칫거리로 부상함
  - 클라우드 안에는 서비스 계정, 봇, 자동화 워크플로, AI 에이전트 같은 비인간 신원(NHI)이 많음
  - 사람은 다단계 인증으로 어느 정도 검증할 수 있지만, 자율적으로 움직이는 AI 에이전트는 통제 지점이 훨씬 애매함

> [!WARNING]
> AI 에이전트가 클라우드 리소스와 SaaS에 접근하기 시작하면 권한 관리 실패가 곧 자동화된 대형 사고로 커질 수 있음. 계정 관리 기준을 사람 중심으로만 잡아두면 구멍이 생김.

## 국내 기업 입장에서는 지금이 보안 구조를 다시 짤 타이밍

- 공공·금융 클라우드 전환은 이제 규제 때문에 못 한다는 단계에서 벗어나고 있음
  - N2SF와 금융권 망분리 규제 완화가 맞물리면서 공공·금융권도 클라우드와 AI 도입을 검토할 수 있는 환경이 만들어지고 있음
  - 정부가 공공 클라우드 전환율을 2030년까지 90%로 끌어올리겠다고 한 만큼 국내 CSP와 보안 기업에는 큰 시장이 열릴 수 있음

- 문제는 인력임
  - 클라우드 전담 직원이 없거나 1명뿐인 조직이 절반을 넘는 상황에서 보안까지 챙기기는 쉽지 않음
  - 그래서 클라우드 보안 기업들이 단순 제품 판매를 넘어 관제와 운영 서비스까지 같이 제공하려는 흐름이 생김

- 글로벌 규제 대응도 무시 못 함
  - 유럽 사이버 복원력 법안(CRA), GDPR, NIS2 같은 규제는 보안을 제품·데이터·조직 운영 전반의 책임으로 보고 있음
  - GDPR은 위반 시 전 세계 연간 매출의 최대 4% 또는 2000만 유로 중 높은 금액을 과징금으로 부과할 수 있음
  - 이제 클라우드 보안은 보안팀 숙제가 아니라 글로벌 비즈니스 계속할 수 있느냐의 경영 이슈가 됨

---

## 기술 맥락

- 클라우드 보안에서 중요한 변화는 보안 경계가 장비 위치가 아니라 데이터와 권한의 흐름으로 옮겨갔다는 점이에요. 예전에는 사내망 입구를 잘 막는 게 중심이었다면, 지금은 SaaS, API, 생성형 AI, 원격 접속이 섞여 있어서 어디서 누가 어떤 데이터에 접근하는지가 더 중요해졌거든요.

- CNAPP이 뜨는 이유는 클라우드 사고가 설정, 권한, 워크로드, 취약점 중 하나만 보고는 잘 안 잡히기 때문이에요. 예를 들어 공개 스토리지, 과도한 IAM 권한, 노출된 토큰이 따로 보면 작은 문제처럼 보여도 같이 묶이면 바로 사고 시나리오가 돼요.

- SASE나 SSE가 같이 언급되는 이유는 클라우드 내부 위험만 알아서는 접근을 막을 수 없기 때문이에요. CNAPP이 리소스 위험 점수를 만들고, SASE가 사용자 접속 경로에서 정책을 바꾸는 식으로 연결돼야 실제 차단까지 이어져요.

- 생성형 AI 보안은 프롬프트라는 새 입력면 때문에 까다로워요. 사용자가 민감정보를 자연어로 조금씩 바꿔 입력하면 단어 목록 기반 필터는 쉽게 우회될 수 있어서, 요청의 의도와 응답 맥락을 같이 보는 방식이 필요해요.

## 핵심 포인트

- 국내 퍼블릭 클라우드 시장은 2024년 전년 대비 23.4% 성장해 약 6조2000억원 규모가 됨
- 설문 응답자의 17.9%가 클라우드 보안 사고를 경험했고, 사고 유형 1위는 설정 오류와 취약한 접근관리임
- 클라우드 보안은 네트워크 장비 중심에서 애플리케이션, 데이터, SaaS, 생성형 AI 사용 통제로 이동 중임
- CNAPP, SASE, SSE, XDR 같은 통합 플랫폼 경쟁이 커지지만 콘솔과 알림이 늘어나는 운영 피로도도 같이 커짐
- 공공·금융의 망분리 완화와 AI 전환 때문에 한국 기업에는 클라우드 보안 체계 정비가 더 이상 미룰 수 없는 과제가 됨

## 인사이트

이 기사의 핵심은 클라우드 보안이 솔루션 구매 문제가 아니라 운영 체계 문제라는 점임. 한국 기업은 공공·금융 클라우드 전환, 생성형 AI 도입, 글로벌 규제 대응이 한꺼번에 몰려와서 지금 보안 구조를 다시 짜지 않으면 나중에 비용이 훨씬 커질 가능성이 큼.
