[포럼] 클라우드, 보안문제 이상 없다

글로벌 클라우드 업계에서 가장 중요한 핵심은 보안
만약의 상황 고려한 다양한 대비책 갖춰
안전한 클라우드 환경서 비즈니스 지속 성장 기대


클라우드 서비스 시장이 정부의 드라이브로 새로운 성장 동력을 맞이한다. 공공기관을 중심으로 클라우드 이용을 촉진하는 '클라우드 발전법(클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률)' 시행 때문이다. 업계는 대체로 환영하는 분위기다. 각 업체마다 새로운 제품과 전략을 선보이며 차별화를 꾀하고 있다. 직접적 수혜자인 공공기관은 물론 기업 역시 정부 차원의 노력에 많은 관심을 보이고 있다.

하지만 우려 섞인 목소리도 있다. 역시 문제는 보안이다. 공공기관이 클라우드 환경으로 전환할 때, 해킹을 통한 정보 침해에 얼마만큼 안전할 지에 대한 걱정이 앞서기 때문이다. 클라우드 컴퓨팅의 보안과 관련해서는 이미 많은 연구가 선행됐고 다양한 구축사례도 존재하지만 많은 이들이 클라우드 보안성에 대해 확고히 신뢰하지 못하고 있는 것이다.

조사결과를 보면 이런 우려가 더 명확해진다. 시장조사업체 CDW가 1204명의 IT 전문가를 대상으로 올해 실시한 설문조사에서, 절반에 달하는 47%의 응답자가 보안에 대한 우려가 클라우드 환경으로의 전환에 걸림돌이 된다고 답했다. 클라우드 인프라를 신뢰한다는 응답은 31%에 그쳤다.

이런 보안은 결국 개인정보 보호 문제와도 연계된다. 회계법인 KPMG가 전세계 주요 기업의 IT담당자를 대상으로 실시한 설문조사에서, 응답자의 53%는 데이터 손실과 사생활 침해를 클라우드 환경에서의 가장 큰 문제점으로 손꼽았다. 지적재산권에 대한 손실과 침해가 그 뒤를 이었다. 2012년 조사에서는 효율성 저하가 가장 큰 문제점으로 드러났는데, 지금은 보안에 대한 우려가 가장 큰 것이다.

하지만 이는 기우에 불과하다. 클라우드는 보안과 관련해서는 매우 안전적인 인프라이기 때문이다. 클라우드 서비스 프로바이더 입장에서 생각해 보자. 보안과 관련해 취약점이 노출된다면, 이들은 업계에서 서비스를 더 이상 제공할 수 없을 것이다. 기업이 보안을 가장 중요하게 생각하고 있는 것과 같이, 클라우드 서비스 프로바이더들도 최고 수준의 보안 서비스를 제공한다. 보안은 글로벌 클라우드 업계에서 가장 중요한 핵심인 것이다.

클라우드 업계의 절대 강자 AWS(아마존 웹서비스)를 예로 들어 보자. AWS는 안전한 퍼블릭 클라우드 서비스를 제공하기 위해, 최신식 전자 탐지 시스템과 다원 접근 통제 시스템을 사용하고 있다. 또, 동시에 보안 전문가들도 24시간 운영하고 있다.

이처럼, AWS는 클라우드 시스템 운영이 중단되는 가능성을 원천적으로 낮춘다. 혹시나 운영 중단이 발생하더라도 피해를 최소화할 수 있도록 운영한다. 때문에, 자연 재해나 시스템 장애가 발생하더라도, AWS를 사용하는 기업은 안정적으로 클라우드 서비스를 이용할 수 있다. AWS는 보안 접속, 방화벽, 아이덴티티 및 접속 운영 도구, 다면 인증, 프라이빗 서브넷, 암호화된 데이터 스토리지, 보안 로그 및 중앙 암호 키 운영 등의 내장 보안 기능을 제공한다. 또, 외부 인증서 및 평가제도를 실시해, 고객들에게 안전한 환경을 제공하기 위한 노력을 기울이고 있다. 물론, 우리가 잠재적인 위협을 사전에 대비해 차단하는 것과 같이, 클라우드 도입 시에도 만약의 상황을 고려해 각 기업이 직면할 수 있는 위협 요인에 대한 대비책이 필요하다. 클라우드 서비스 프로바이더를 고르고 클라우드 환경을 선정할 때 기업이 다음 사항을 고려하면 보다 안정적인 인프라를 구축할 수 있다.

먼저, 기업은 클라우드 서비스 운영 시 필요한 올바른 정책과 절차를 마련하고, 이를 임직원에게 가이드라인 형태로 제공하는 것이 필요하다. 둘째, 서비스 수준 협약(service level agreements, SLA) 등 클라우드 서비스 프로바이더와의 계약 사항에 보안사고가 발생하게 되면 누가 책임을 질 것인지에 대한 책임소지를 명시하는 것도 중요하다. 마지막으로 퍼블릭, 프라이빗, 온프레미스를 함께 사용하는 하이브리드 클라우드 환경을 구축할 때는 IT 인프라 강화를 위해 보안 기술 적용 여부, IT 환경과 종점을 보호하는 종심 방어 전략 등을 만들어, 해커의 침입을 사전에 감지하고 데이터 보호가 실행되는지 등을 확인해야 한다.

지금까지 클라우드 환경 하에서의 보안에 대해 살펴봤다. 보안은 기업과 클라우드 서비스 프로바이더 모두의 책임이다. 기업은 클라우드 환경을 구축할 때, 차세대 어플리케이션 방화벽, 침입 탐지, 예방, 안티 바이러스 소프트웨어, 암호화, 접근 관리, 가시성 등의 보안과 관련된 부분을 함께 고려해야 한다. 많은 기업이 안전한 클라우드 인프라 위에서 지속적으로 비즈니스를 성장시키기를 기원한다.

김대원 스플렁크 코리아 지사장