클라우드 환경이 확산됨에 따라, 런타임 보안은 더욱 정교하고 즉각적인 대응 능력을 요구받고 있다. 하지만 보안 도구의 다변화와 팀 간 분절은 오히려 보안 효율성을 떨어뜨리고 있으며, 이에 대한 실태가 아르모의 최근 설문조사에서 드러났다.

이스라엘 기반 클라우드 런타임 보안 기업 아르모(ARMO)가 '클라우드 런타임 보안 현황' 첫 번째 설문조사 결과를 발표했다. 이번 조사는 300여 명의 섹옵스(SecOps) 및 보안 리더들을 대상으로 진행됐으며, 클라우드 보안 도구 사용의 한계와 위협 탐지 지연 원인을 분석했다.

과도한 경보와 낮은 탐지 효율, 클라우드 보안의 현실

설문에 따르면, 보안팀은 평균 월 4080건의 클라우드 경보를 수신하지만, 실제 사고는 연간 7건에 불과한 것으로 나타났다. 이는 보안팀이 활성 위협 하나를 찾기 위해 약 7000건의 경보를 검토해야 한다는 뜻이며, 신호 대 잡음비가 매우 낮음을 의미한다.

이러한 경보 과잉으로 인해 보안팀의 탐지 시간(MTTD)과 대응 시간(MTTR)은 심각하게 손상된다. 경보의 맥락 부족과 비효율적인 도구 연결성으로 인해 보안 담당자는 전체 공격 내러티브를 수동으로 파악해야 하는 상황이다.

응답자의 63%는 5개 이상의 클라우드 보안 도구를 운영 중이며, 이 중 단 13%만이 도구 간 경보를 성공적으로 연관시키고 있다고 응답했다. 도구 간 경보 연관에는 평균 7.7일, 최대 30일까지 소요되어 실시간 대응이 어렵다는 점이 드러났다.

또한 46%는 ‘경보 피로’를, 45%는 ‘지속적인 거짓 양성’ 문제를 호소했다. 이러한 문제는 통합되지 않은 보안 시스템이 사용자에게 과도한 부담을 주고 있다는 사실을 보여준다.

조직 내 사일로와 협업 장애 문제

응답자의 38%는 사고 발생 시 협업이 가장 어려운 파트너로 클라우드 보안팀을 지목했으며, 플랫폼팀(31%)이 그 뒤를 이었다. 이는 별도로 운영되는 클라우드 보안팀이 오히려 가시성을 분산시키고 의사소통을 복잡하게 만들고 있음을 시사한다.

클라우드가 주류가 된 현재, 초기 도입 당시 효과적이던 전담 보안팀 운영 방식이 오히려 평균 탐지 및 수리 시간(MTTD·MTTR) 증가 요인으로 작용하고 있는 것으로 분석된다.

조사 응답자의 92%는 통합 클라우드 런타임 보안 솔루션이 사고 대응을 효율화하고 경보를 맥락화해 대응 시간을 단축시킬 수 있다고 응답했다. 이는 다수의 보안 도구 운영보다 하나의 통합된 플랫폼에 대한 수요가 커지고 있음을 반영한다.

아르모의 CTO 벤 허쉬버그는 “클라우드 네이티브 보안 모델에 맞는 특수 도구 도입과 자동화 기반 대응 전략이 전반적인 보안 태세 강화를 위한 핵심”이라고 밝혔다. 아르모는 쿠베스케이프(Kubescape)와 같은 오픈소스 기반 런타임 보안 솔루션을 통해 이 문제 해결을 지향하고 있다.

아르의 설문은 보안 도구가 많을수록 더 안전하지 않다는 ‘보안의 역설’을 실증적으로 보여준다. 클라우드 환경의 복잡성과 사일로 문제, 과도한 경보는 보안 대응을 저해하며, 이에 따라 통합적이고 실시간으로 대응 가능한 클라우드 런타임 보안 체계로의 전환이 시장의 주요 과제로 부상하고 있다.