얼마전 B2B SaaS 트렌드와 관전포인트를 다룬 글에서 보안이 점점 SaaS 사업의 성패를 좌우하는 변수로 부상했다고 했는데 현장을 봐도 SaaS 사업에서 보안이 갖는 전략적 가치는 점점 커지는 양상이다. 

코로나19 상황 이후 기업들이 사이에서 B2B SaaS 사용이 빠르게 늘면서 보안 측면에서도 기업들이 갖는 부담도 커지고 있다. 보안 전문 업체들이 SaaS 패러다임에 최적화된 보안 전략을 속속 내놓고 있는 것도 이와 무관치 않다.

요즘 규모가 좀 있는 기업들은 수십 개, 또는 100개 이상 애플리케이션을 사용하고 있다. B2B SaaS만 놓고 보면 슬랙이나 마이크로소프트 팀즈 같은 협업 서비스부터 SAP나 세일즈포스 등 주요 업무용 SaaS도 비즈니스 현장에서 꽤 쓰이고 있다. 코로나19 상황 이후 B2B SaaS는 엔터프라이즈 비즈니스 환경을 더욱 빠르게 파고들고 있다. B2B SaaS 보안 리스크에 대한 관심과 우려도 커질 수 밖에 없는 상황이다. 

시장 조사 업체 가트너는 SaaS 보안 포스쳐 매니지먼트(SaaS Security Posture Management, SSPM)라는 별도 카테고리까지 만들었다. SSPM은 SaaS 앱들을 배치할 때 발생하는 보안 리스크를 지속적으로 평가할 수 있는 역량을 제공한다.

도대체 SaaS를 쓸 때 보안 리스크는 어디에서 어떻게 발생하는 것일까?

시스템 설정 오류에서 리스크는 시작된다

SSPM을 주특기로 하는 보안 업체인 어댑티브 쉴드(Adaptive Shield)가 북미와 서유럽에서 직원수 500명부터 1만명 이상 기업에 있는 보안 전문가 300명을 상대로 최근 조사한 결과에서 몇가지 키워드를 확인할 수 있다.

해당 조사를 인용한 해커뉴스 내용을 보면 먼저 시스템 구성 오류(misconfigurations)가 대표적인 SaaS 보안 리스크의 진원지로 꼽히고 있다. 조사에 참여한 이들의 85%가 SaaS 시스템 구성 오류를 톱3 리스크 중 하나로 꼽았다. 

함께 톱3에 포함된 계정 하이재킹(account hijacking)과 데이터 유출(data leakage)도 SaaS 시스템 구성 오류와 직접적으로 관련 있는 것을 감안하면 SaaS 환경을 어떻게 설정하느냐가 보안에 미치는 영향은 아주 크다고 할 수 있다.

현업에서 보안까지 챙기는 것도 문제될 수 있어

기업들이 쓰는 SaaS 숫자가 늘면 늘수록 관리 역량은 약화될 수 있다는 것도 딜레마다. 모니터링 프로세스가 자동화되어 있지 않은 기업들의 경우 특히 그럴 수 있다. 어댑티브 쉴드 조사 결과를 보면 55개에서 99개 애플리케이션을 쓰는 회사들의 경우 응답자 중 12%만이 주간 단위로 시스템 구성 오류 체크에 관여하고 있다고 했다. 

각각의 SaaS들은 저마다의 디자인과 설정, 사용자 역할 등을 갖고 있다. 여기에 직원들 이동, 자동 소프트웨어 업데이트, 복잡한 부서들 간 니즈(Need)까지 고려하면 기업들이 쓰는 앱이 늘수록 통제력은 상대적으로 줄 수 밖에 없다.

보안 체크를 기업 현업 담당자들에게 맡기는 기업들이 생각보다 많다는 점도 리스크가 될 수 있다.

어댑티브 쉴드 조사를 보면 응답자 52%가 SaaS 보안을 정기적으로 체크하고 관리하는 책임을 SaaS 소유자, 다시 말해 현업 부서에 두고 있다. 이것은 보안에 대해 전문성이 별로 없는 세일즈, 마케팅, 제품 조직 담당자들이 SaaS 보안을 챙긴다는 건데, 리스크 관리 측면에선 문제일 수 있다.

SaaS로 인해 커지는 보안 위협은 보안 업체들 입장에서 보면 새로운 기회다. 실제로 많은 보안 업체들이 SaaS 환경이 확산되는 흐름에 맞춰 새로운 전략을 속속 내놓고 있다. 제로 트러스트(Zero trust)나 새시(SASE: Secure access service edge) 용어가 요즘 보안 업계에서 자주 회자되고 있는 것은 이같은 상황을 밑바탕에 깔고 있다.

거물급 보안 업체들이 대거 제로 트러스트와 새시를 외치는 것을 보면 SaaS를 고려한 보안 시장의 판이 크기는 큰 것 같다. 다음 기회에 SaaS가 바꾸는 보안 시장의 풍경을 별도로 다뤄볼 생각이다.