클라우드 전환은 오늘날 모든 산업의 디지털 전환 전략의 핵심축을 이루고 있으며, 그 중심에는 ERP, HR, 조달, 공급망 등 기업의 필수 시스템들이 위치한다. 하지만 이러한 시스템 이전에 GRC 설계가 지연될 경우, 전체 전환 속도가 느려질 뿐 아니라 감사 실패, 규제 벌금, 내부자 위협, 데이터 유출 등 막대한 손실을 초래할 수 있다.

특히 접근 제어 자동화, 사용자 역할 재설계, 실시간 업무 분리(Segregation of Duties,이하SoD) 분석 등은 단순한 보안 통제가 아닌, 클라우드 상의 데이터 신뢰성과 운영 지속성 확보를 위한 핵심 요소로 떠오르고 있다.

공급망, 금융 서비스, 헬스케어 분야는 규제 환경이 더욱 강화되고 있어, 클라우드 기반의 통합 거버넌스 플랫폼 도입 필요성이 증가하고 있다. 따라서 기업들은 더 이상 거버넌스를 '추가 옵션'이 아닌, 디지털 전략의 전제 조건으로 받아들여야 한다.

이는 궁극적으로 보안 사고 감소, 감사 효율성 향상, 운영비용 절감 등 다양한 성과로 이어지며, 앞으로 거버넌스를 핵심 경쟁력으로 구축한 조직이 AI, SaaS, 제로트러스트 전환에서도 유리한 입지를 차지할 것으로 전망된다.

거버넌스 자동화 및 접근 보안 전문 기업 패스락(Pathlock)이 ‘2025년 디지털 전환 및 접근 리스크 보고서’를 발표하며, 전 세계 기업들이 클라우드 이전 과정에서 심각한 거버넌스 실패를 겪고 있다고 지적했다.

해당 보고서는 ERP와 기업 핵심 시스템의 현대화 과정에서 39%의 조직이 보안 사고 또는 규제 위반을 경험했으며, 이 중 상당수가 초기 거버넌스 전략 부재와 수작업 중심의 접근 통제로 인해 발생한 것으로 분석됐다.

이번 조사는 제조, 금융, 의료, 공공 등 다양한 산업에 종사하는 620명의 IT, 보안, 컴플라이언스 전문가를 대상으로 진행되었으며, 클라우드 도입 확대가 동시에 접근 권한 통제, 자동화된 감시, 사용자 활동 감사 등의 취약점을 야기하고 있다는 현실을 보여준다.

전략 없는 클라우드 전환, 보안 허점 만든다

조사 결과, HR 및 CRM 시스템은 클라우드로의 전환이 상당히 진척된 반면, 공급망 및 조달 부문은 여전히 이전이 진행 중인 상태다. 문제는 이러한 핵심 기능의 클라우드 이전이 GRC(Governance, Risk & Compliance) 전략 없이 먼저 진행되고 있다는 점이다. 52%의 기업이 GRC 전략 없이 클라우드 전환을 시작했고, 고작 7%만이 사전 통제를 반영해 거버넌스를 재설계한 것으로 드러났다.

또한, 직무 분리(SoD) 점검을 수행하지 않고 역할을 재설계한 비율이 50%에 달했고, 이로 인해 내부자 위협 및 권한 오용 가능성이 크게 증가한 것으로 분석됐다. 클라우드 환경에서의 거버넌스는 규제 대응뿐 아니라 실질적인 리스크 완화 기능을 수행해야 하지만, 기업 다수는 여전히 이를 후속 작업으로 간주하고 있다.

수동 대응 체계와 느린 탈퇴 처리, 사고 유발

클라우드 도입 시 자동화된 보안 통제 부재도 심각한 위험 요인이다. 조사에 따르면 70% 이상의 조직이 사용자 접근 리뷰(UAR), 권한 부여/철회 자동화, 접근 리스크 분석 기능을 보유하고 있지 않으며, 인사 변경 시에도 51%가 계정 탈퇴까지 24시간 이상이 소요된다고 응답했다.

이 같은 지연은 퇴사자 또는 위협 행위자에 의한 비인가 접근 가능성을 높이고 있으며, 내부자에 의한 사고는 23%의 조직에서 이미 발생한 것으로 나타났다.

또한, 최근 1년간 21%의 기업이 규제 위반을 경험했으며, 17%는 내부자에 의한 사기 행위를 겪은 바 있다. 이는 클라우드 기반 업무 환경에서 접근 통제의 미비가 단순한 경고 수준이 아니라 실질적인 재무 및 평판 손실로 이어질 수 있음을 시사한다.

수잔 스테이플턴(Susan Stapleton) 패스락 GRC 전문가는 “디지털 전환은 조직의 미래를 위한 필수 전략이지만, 그에 수반되는 거버넌스 설계가 동반되지 않으면 수년 간의 투자도 한 번의 감사 실패로 물거품이 될 수 있다.”라며 “기업들은 수백억 원을 투자하면서도 GRC를 마지막에 부가적으로 도입해 두세 배의 비용을 추가로 들이고 있다.”라고 전했다.

국내 시장 시사점

국내에서도 클라우드 전환 속도는 빠르지만, 초기 단계에서 거버넌스 전략이 부재해 리스크가 커지고 있다는 점이 여러 공개 자료에서 반복적으로 지적되고 있다. 한국인터넷진흥원(KISA)은 최근 발표한 클라우드 보안 실태조사에서 국내 기업의 53%가 “권한 관리 자동화가 미흡하다”고 답했으며, 사용자 탈퇴 지연·불완전한 접근 통제 등이 사고 가능성을 높인다고 분석했다. 금융보안원과 공공 클라우드 보안 강화 가이드 또한 ERP·조달·공급망 시스템 이전 시 SoD 점검·역할 재설계·접근 자동화를 의무적으로 반영해야 한다고 명시하고 있다.

실제로 공공·금융 분야에서는 계정 통제 미비로 인한 감사 지적 사례가 지속되고 있어, 한국 기업 역시 GRC를 후순위로 두는 관행을 유지할 경우 규제 리스크와 내부자 사고가 확대될 가능성이 높다. 이는 패스락 보고서가 지적한 글로벌 경향과 동일한 양상으로, 국내 기업도 클라우드 이전 초기 단계에서 통합 거버넌스·접근 자동화·실시간 SoD 분석을 선제적으로 구축해야 한다는 시그널로 해석된다.