AI 기술 도입이 본격화되면서, 클라우드 환경 보안 전략에도 큰 변화가 일어나고 있다. 글로벌 기술 및 사이버 보안 기업 탈레스(Thales)가 S&P 글로벌 마켓 인텔리전스 451 리서치와 공동으로 발표한 '2025 글로벌 클라우드 보안 보고서'에 따르면, AI 보안이 기업 보안 전략의 핵심 요소로 급부상하고 있으며, 클라우드 보안의 복잡성 또한 지속적으로 증가하고 있는 것으로 나타났다. 이번 조사는 전 세계 20개국에서 약 3200명을 대상으로 수행되었으며, 한국 기업의 응답도 포함됐다.

클라우드 보안 복잡성 증가와 보안 도구 분산화

보고서에 따르면, 클라우드는 여전히 보안 고려사항 중 가장 중요한 영역으로 평가되고 있으며, 한국 응답자의 64%는 클라우드 보안이 온프레미스보다 더 복잡하다고 응답했다. 한국 기업은 평균 78개의 SaaS 애플리케이션을 운영하고 있으며, 이는 데이터 가시성과 접근 제어를 더욱 어렵게 만들고 있다. 실제로 많은 보안팀이 정책 일관성 유지에 어려움을 겪고 있으며, 61%의 조직은 데이터 분류 및 모니터링을 위해 5개 이상의 도구를 사용 중이며, 57%는 키 관리를 위해 5개 이상의 암호화 키 매니저를 병행 운영하고 있는 것으로 나타났다.

또한 클라우드 기반 자산이 주요 공격 대상이 되고 있으며, 보고된 사이버 공격 자산 중 상위 5개 중 4개가 클라우드에 집중되어 있다. 한국 기업 중 16%는 크리덴셜 스터핑 공격의 증가를 보고했으며, 이는 자격 증명 도난과 접근 통제 실패에 대한 우려를 반영한다. 기업당 평균 퍼블릭 클라우드 사용 공급업체 수는 2.1개로 증가했고, 대부분의 기업이 여전히 온프레미스 인프라도 병행하고 있는 것으로 조사됐다.

생성AI 보안 투자 확대와 인적 오류 리스크 증가

AI 보안이 2025년 처음으로 보안 투자 우선순위에 포함되었으며, 전 세계 응답자의 52%는 기존 보안 예산을 AI 보안으로 전환하고 있다고 응답했다. 한국의 경우는 39%로 낮은 수치를 보였지만, 73%의 한국 기업은 신규 예산과 기존 예산을 모두 AI 보안에 투자하고 있다고 응답해 글로벌 평균과 일치하는 수치를 보였다.

탈레스의 사이버 보안 제품 수석 부사장 세바스티앙 카노(Sebastien Cano)는 "현재 클라우드에 저장된 데이터의 절반 이상이 민감 정보로 분류되지만 완전하게 암호화된 데이터는 극히 일부에 불과하다"며, "기업이 경쟁력을 유지하려면 데이터 보호 체계를 인프라에 내재화해야 한다"고 강조했다.

보고서는 또한 클라우드 애플리케이션 접근 시 다중 인증(MFA)을 평균 51%만 적용하고 있다는 점을 지적하며, 이로 인해 중요한 정보가 여전히 위험에 노출되어 있음을 강조했다. 에릭 한셀만(Eric Hanselman) S&P 글로벌 451 리서치 수석 애널리스트는 "AI 프로젝트의 민감 데이터가 클라우드에서 처리되면서 복잡성이 증가하고 있으며, 클라우드 보안을 강화하고 운영을 간소화하는 것이 보안 효과를 높이는 핵심"이라고 밝혔다.

이 보고서는 생성AI와 클라우드가 기업 보안 전략에서 점점 더 중심적인 역할을 차지하게 되는 현실을 반영하고 있다.