짐 리비스 CSA(Cloud Security Alliance) 글로벌 대표


▲ 짐 리비스 CSA(Cloud Security Alliance) 글로벌 대표





클라우드 보안 행사인 CSA Summit Korea가 지난달 18일 개최됐다. 이번 행사는 클라우드 보안 권장사항, 보안이슈 및 해결방안, 글로벌 선진사례 공유를 통해 국내 안전한 클라우드 적용 방안을 모색하기 위해 마련됐다. CSA(Cloud Security All iance)는 전 세계 보안 대가들이 모여 만든 영향력 있는 글로벌보안협회로 구글, HP, 시스코, IBM, 시만텍 등 100여개 IT기업들이 클라우드 보안을 위해 협력하고 있다. 현재 전 세계 50개 지부가 운영되고 있으며 CSA Korea(한국클라우드보안협회)는 올해 3월 설립됐다. 소프트포럼, 닉스테크, 파수닷컴, 한글과컴퓨터, 한국트렌드마이크로, 한국CA 등 20여 개 사가 회원사로 활동 중이다. 국내에서 첫 번째로 열린 CSA Summit Korea 행사에 참여하기 위해 방한한 짐 리비스(Jim Reavis) CSA글로벌 대표를 만나 CSA의 활동 소개와 클라우드 관련 주요 보안 이슈, 클라우드 보안 대응 방안 등에 대해 들어본다.

CSA의 주요 업무 및 활동이라면.

CSA는 연간 100여 차례의 전 세계적인 클라우드 관련 교육활동과 컨퍼런스를 진행하고 있으며 리스크관리를 위한 감사 툴 개발, 각국 정부를 대상으로 중립적인 입장에서의 정책조언을 하고 있다.
또한 클라우드 모범사례를 수집해 업계 표준화에도 기여하고 있다. 표준을 만들기 위해 보통 2~5년이라는 기간이 소요되는데 클라우드 컴퓨팅은 기술과 시장상황이 너무 빠르게 변하기 때문에 표준을 만드는 게 어렵다. 따라서, CSA에서는 이러한 변화를 재빨리 반영해 표준화로 이어질 수 있는 다양한 연구 활동들을 하고 있다.

클라우드 관련 주요 보안이슈는.

해커에 의한 보안 침해 우려보다는 컴플라이언스 이슈가 더 크다. 서비스가 현지 법적요건에 맞춰 운영되며, 관련 투명성을 제공하는지가 이슈화되고 있다. 그 다음이 해커에 의한 보안공격이다. 클라우드 도입 시 다양한 접근 경로를 통한 데이터 공격이 일어날 수 있다. 대기업의 경우 다양한 보안위협에 대응해 심층방어를 하고 있는데 현재 클라우드 운영 부분에는 적용이 안 되어 있다. 조직 내 리스크 수준을 지속적으로 확인하고, 지원해야만 보안이 보장된 안전하고 편리한 클라우드 서비스를 이용 가능하다.

클라우드 보안 강화 방안은.

어떤 것이든 100% 완벽한 보안은 없다. 클라우드를 도입한다고 무조건 보안이 약화되는 것만도 아니다. 중소기업들의 경우 온라인상 20분 내 해커의 공격을 받을 정도로 보안이 취약하다. 그러나 작은 규모의 기업들이 클라우드로 갔을 때 전문화된 리스크 관리가 이뤄지므로 기존보다 보안이 더 향상될 수 있다. 클라우드 보안 강화는 서비스 제공자와 서비스이용자 간 협상에 의해 달성될 수 있다. 협상 수준이 어떠냐 즉, 보안의 책임소지가 분명한가?, 보안 품질을 살펴볼 제 3자가 있는가? 등에 의해 보안 강도가 달라질 수 있다.

클라우드 서비스 관련 표준화 현황은.

이미 몇몇 표준은 완성이 된 반면, 아직 시작도 못한 부분도 있다. 가상머신을 다른 서비스 업체로 이전할 때 표준이나 멀티도메인 비즈니스 환경에서 필요한 페더레이션 컨셉의 계정관리(IDM) 표준 등은 이미 마련되어 있다. 각국 정부들의 표준화 수준은 중간 단계로 볼 수 있다. CSA에서는 클라우드 관련 표준이 존재하는지를 명시해 이해도를 높이도록 도움을 주고 있다. ISO, IAC 등 표준화 기구들과도 긴밀히 협력하고 있는데 내년 초 협력 성과는 가시화될 것 같다.

각국 정부들과의 협력을 통해 느낀 점은. 한국 정부와도 협력 계획이 있나.

보안적인 조언은 각 국 정부의 요청이 있을 때 하는데, 한국 정부로부터는 아직 요청을 받지 못했다. 한국은 기술 수준이 높고, 교육을 받은 인재가 많은 중요한 국가기 때문에 조만간 한국정부와도 협력의 기회가 생길 것으로 본다.
각국 정부를 다니다 보면 데이터센터 등 물리적인 인프라에만 관심을 쏟는 경우가 많은데, 향후 가장 가치와 혁신을 이끌어 내는 부분은 SaaS 부분이다. 그러나 아직까지 이 부분을 소홀이 하는 경향이 있다. 정책수립은 기존 규정과 법규를 재해석해서 클라우드에 접목시키는 것이 아니다. 국내만 생각할 게 아니라 글로벌한 접근이 필요하다.

클라우드 도입하려는 국내 기업들을 위해 조언을 한다면.

클라우드 도입 시 유·무선을 아우르는 총체적인 전략을 가져가야 한다. 보안 전략도 마찬가지다. 기존에 방화벽을 이용해 보안을 했지만, 모바일기기를 통해 클라우드에 직접 접근하는 환경에서는 방화벽이 의미가 없다.
기업들은 오늘은 어떤 기업과 경쟁하지만, 내일은 또 협력할 수 있는 경계가 불분명한 시대를 살고 있다. 이런 상황에서 어떤 디바이스를 신뢰할 수 있고, 다른 디바이스로 데이터 이동 시 신뢰성을 확보하기 위한 고민이 이뤄지고 있다. 기업들은 클라우드 환경에서 산재한 모바일기기들에 대해 접근 통제를 할 수 있는 매커니즘을 제공해야 한다. 중앙에서 데이터 삭제, 모바일 기기에 대한 원격 제어(Kill), 데이터 다운로드 /관리 기술이 필요하다. 이제 기존에 의존했던 방화벽 기술이 아닌 온라인상에서 데이터를 관리하는 기술로 옮겨가야 할 때다.

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지