안전하다더니 보안사고는 알아서? 이상한 클라우드

입력: 2014-10-28 15:35 강은성 기자

폰트

보안경고 생략 안전성만 강조… 기업고객들 대책 수립 간과 ‘치명적 약점’우려

국내에서 클라우드 서비스를 이용하는 기업이 크게 늘고 있지만 이에 대한 보안 의식은 취약해 향후 기업 시스템의 '치명적 약점'이 될 수 있다는 지적이 나온다. 클라우드를 이용하면 자체 보안을 반드시 해야 하는데, 국내 일부 사업자들은 고객을 유치하기 위해 이를 제대로 안내하지 않고 있어 클라우드의 부실한 보안을 부추긴다는 지적이다.

28일 업계에 따르면 국내 주요 통신사와 대형 IT서비스업체 등이 '퍼블릭 클라우드(공용 데이터센터 클라우드)' 마케팅을 강화하면서 보안과 관련한 부분을 고객에게 제대로 안내하지 않고 있다.

통신업체 S사는 기업용 서비스를 소개하면서 '클라우드 전용 VM(가상장비) 방화벽 서비스와 백신 서비스를 통해 서버를 보다 안전하게 보호할 수 있다'는 안내를 하고 있다. K사도 자사 동종 서비스에 대해 '월등한 보안과 안정성을 제공한다'며 각종 국제 인증에 대한 설명을 전면에 내세웠다. 하지만 이들은 상품 계약을 할 때 제공되는 약관의 십여페이지 뒤 중간쯤에 "고객은 정보시스템에 대한 보호조치를 '스스로' 강구해 안전하게 보호해야 하며, 별도 보안 상품 계약을 체결한 경우를 제외하고는 고객이 운영 중인 정보시스템에 발생한 보안사고에 대해 회사는 책임을 지지 않는다"고 못 박고 있다.

국내 통신사 클라우드 서비스 설명 부분. 붉은 선 안쪽이 보안에 대한 설명이다. 고객의 책임 분담에 대한 내용은 없다.

이는 비단 국내업체 얘기만이 아니다. 글로벌 클라우드 사업자 아마존이나 구글도 마찬가지 방식의 계약을 맺고 있다. 다만 이들은 서비스 홍보단계부터 '보안 상호 책임제(Shared Responsibility Environment)'를 설명하고 있다. 아마존 관계자는 "상당수 고객들은 아마존이 보안까지 책임져 주는 것으로 알고 있는 경우가 허다하다"면서 "이 부분을 제대로 안내하기 위해 아마존은 백서나 온라인 홈페이지는 물론, 세미나 및 고객 행사를 통해 분명히 설명하고 있다"고 강조했다.

아마존 웹서비스의 보안관련 규약에 관한 백서. 보안 책임이 고객과의 공동 책임이라고 첫 페이지에 명시하고 있다.

클라우드를 이용하려면 기업은 반드시 스스로 보안 대책을 수립해야 한다는 것이 전문가들의 공통된 지적이다. 국내 통신사나 IT서비스업체의 약관 역시 마땅히 클라우드 이용 기업이 감당해야 할 의무에 대해 기술하고 있는 셈이다.

윤광택 시만텍 이사는 "아마존이나 구글, 대형 통신사 데이터센터는 국제적으로 인증받은 안전한 보안 플랫폼을 갖추고 있으며, 일반 전산실보다 훨씬 강력한 물리적 보안과 출입통제까지 이뤄지고 있다"면서도 "하지만 이는 해당 센터에 대한 자체 보안일 뿐 가상으로 연결된 고객 시스템에 대한 보안이 아니다"고 강조했다.

만약 A 기업이 메일 서비스를 클라우드로 이용하기로 했다면, 기존에 회사 전산실에 메일서버를 두고 있을 때와 동일한 보안 정책을 적용해야 한다는 것이다. 이는 A사의 메일 시스템이 비록 보안이 튼튼한 클라우드 데이터센터에 위치해 있다 하더라도 이는 물리적 위치만 그러할 뿐, 논리적으로는 A사 내부 시스템과 연결돼 있어 사실상 A사 전산실에 있는 것과 동일하기 때문이다. 그런데 클라우드 센터에 입주했다고 해서 여태 메일시스템에 했던 보안을 하지 않는다면, 보안 무방비 상태의 메일 시스템을 운영하는 것이나 마찬가지라는 것이 전문가의 설명이다.

박상현 한국클라우드보안협회장은 "클라우드 데이터센터에 시스템은 해당 고객의 정보를 담고 있기 때문에 클라우드 사업자가 함부로 들여다보거나 제재를 가할 수 없다"면서 "당연히 그 시스템에 대한 보안은 고객이 스스로 해야 하는데, 많은 고객들은 아마존 센터나 대형 통신사 데이터센터에 입주하면 해당 시스템의 보안까지 그 회사가 해 주는 것으로 착각한다"고 경고했다. 아마존 관계자도 "아마존 클라우드 서비스는 기본 인프라의 보안을 관리하고 사용자는 인프라에 구축하는 대상의 보안을 관리해야 한다"면서 "이에 대한 글로벌 모범사례 등을 고객에게 공유해 스스로 보안을 강화하도록 유도하고 있다"고 설명했다.

국내 클라우드 사업자들은 이같은 보안 부분에 대한 경고는 생략한 채 고객 유치를 위해 자사 센터의 안전성만 강조하는 것이 문제다. 박 회장은 "국내 고객들의 이같은 인식차를 클라우드 사업자들도 분명히 인식해, 고객에게 올바른 정보를 안내해야 한다"고 덧붙였다.

강은성기자 esther@dt.co.kr

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

안전하다더니 보안사고는 알아서? 이상한 클라우드

이 시간 핫클릭

핫 이슈!