시드 데시판드(Sid Deshpande) 가트너 수석 애널리스트

▲ 시드 데시판드(Sid Deshpande) 가트너 수석 애널리스트

[컴퓨터월드] 클라우드가 비즈니스 경쟁력을 강화시켜주는 수단으로 인식되면서 많은 기업들이 자사 시스템에 클라우드를 도입하는 것을 검토하고 있다. 특히 모바일 환경이 급속도로 확산되면서 유연하고 즉각적인 서비스를 제공할 수 있다는 장점 때문에 클라우드가 더욱 주목받고 있는 실정이다. 최근 가트너가 공개한 퍼블릭 클라우드 서비스 예측 보고서에 따르면 오는 2019년까지 각 조직들은 서비스형 소프트웨어(SaaS), 서비스형 플랫폼(PaaS), 서비스형 인프라(IaaS) 등에 약 4천억 달러를 지출할 것이라는 전망이다.

이처럼 클라우드가 고성장세를 나타내고 있지만, 여전히 많은 기업들은 클라우드의 보안성에 대해 물음표를 갖고 있다. 소유한 데이터를 외부에 맡기는 것에 대한 불안감부터, 정보유출이나 침해사고 등에 대해 기업들이 어떻게 대처할 수 없을 것이라는 이유에서다. 이에 대해 시드 데시판드(Sid Deshpande) 가트너 수석 애널리스트는 “클라우드는 안전하게 사용할 수 있다”며 비즈니스에 클라우드 적용을 꼭 고려하기를 당부하고 있다. 그에게 왜 클라우드가 안전한지 이야기를 들어본다.


클라우드, 안전하게 이용할 수 있어
지난달 20일 가트너코리아는 서울 코엑스 인터컨티넨탈 호텔에서 가트너 고객사들을 대상으로 보안 브리핑 세션을 진행했다. 가트너의 보안 전문가들은 효과적인 보안 관리에 대한 통찰력을 제공하고, 보안 프로그램들의 현재와 장·단기적으로 나아가야 할 방향에 대해서 논의했다.

이날 연사로 참석한 시드 데시판드(Sid Deshpande) 가트너 애널리스트는 클라우드 보안 전략에 대해 발표하며, 보안상의 이유로 클라우드의 도입을 꺼리는 기업들을 위해 “특정 워크로드에 대해서는 클라우드가 경쟁 우위를 가져올 수 있기 때문에 반드시 고려해야 한다. 클라우드는 안전하게 이용할 수 있다”고 강조했다.

그에 따르면 최근 클라우드는 기업들에게 비용 절감과 함께 유연성과 확장성을 높여줄 수 있는 요소로 인식되면서 점차 그 사용 범위가 넓어지고 있지만, 아직도 많은 기업들은 클라우드가 보안이 취약한 것으로 여기며 도입을 주저하고 있다.

그는 우선 2020년까지 클라우드에서 발생하는 보안 사고의 95%가 고객(사용자)의 잘못 때문에 발생할 것이라고 언급했다. 실제로 그는 드롭박스 등 클라우드 스토리지 서비스의 보안 사고 사례가 공격자들이 클라우드 서비스 자체를 해킹한 것이 아닌 사용자들의 인증 토큰을 획득해 클라우드 계정을 동기화해서 진행한 것으로, 사용자들이 악성코드에 감염됐기 때문에 일어난 일들이라고 설명했다.

이에 대한 해법으로 시드 데시판드는 데이터에 대한 가시성을 확보할 것을 주문했다. 클라우드 서비스에서 나오는 위협은 대부분 사용자에게서 나오는 만큼 이들의 행동을 잘 모니터링 한다면, 발생할 수 있는 보안 사고를 예방할 수 있다는 것이다.

또한, 클라우드 서비스를 이용하며 발생할 수 있는 리스크를 줄이기 위해 사용자와 클라우드 서비스 업체 간 공유가 이뤄져야 한다고 덧붙였다. 비록 클라우드 서비스 업체가 매우 탄탄한 보안 팀을 보유하고 있지만 자신들의 플랫폼에만 초점을 맞추고 있기 때문에, 추가적인 보안 컨트롤과 기술을 통제할 수 있는 측면을 고려해야 한다는 설명이다.

이후는 시드 데시판드 수석 애널리스트와 나눈 일문일답이다.

▶ 기업들이 클라우드를 통해 얻을 수 있는 이점은
클라우드 컴퓨팅은 조직들이 보다 기민한 방식으로 IT 자산을 구축할 수 있는 역량을 부여한다. 또한, 기업이 운영비용(OPEX)으로 처리할 수 있는 항목에 대해서만 지출하기 때문에 비용 측면에서 유리하며 쉽게 정당성을 입증할 수 있다. 디지털 비즈니스의 시대에 클라우드 컴퓨팅은 많은 조직들에서 전략적 업무 활동의 핵심 요소로 자리매김하고 있다.

▶ 클라우드는 과연 안전하지 못한 IT 요소인가
예전과 마찬가지로 보안/개인정보보호 이슈는 여전히 클라우드 채택의 주요 장애 요인이다. 보안에 대해 고려할 때, 획일적인 기준으로 ‘클라우드’를 보기 보다는, 클라우드에서 위험을 완화할 수 있도록 지원하는 방식을 기준으로 각 클라우드 제공자들을 평가하는 것이 유용할 것이다.

중요한 사실은 대부분 티어-1 클라우드 제공자들이 내부 보안 팀에게 높은 신뢰를 얻고 있으며 이들이 채택한 보안 방식들이 많은 기업들이 내부적으로 보유하고 있는 것보다 뛰어나거나 비슷한 수준의 보안성을 가지고 있다. 클라우드 제공자들은 데이터를 기업 경계 밖에 저장하기 때문에, 조직들은 이들을 활용하기 전에 클라우드 제공자들에 대한 엄격한 보안 평가를 실시해야 한다. 하지만, ‘클라우드는 안전하지 않다’고 일반화해서는 안 되며, 클라우드 컴퓨팅의 활용이 보안에 미치는 영향에 대한 차별화된 시각을 갖는 것이 중요하다.

▶ 클라우드 보안 문제는 어떤 것이 있으며, 그것들을 해결하기 위한 방안은 무엇인지
지금까지 클라우드에서 발생한 데이터 침해 사고의 대부분은 고객이 아니라 클라우드 서비스 사용자의 책임 하에 있는 요소들의 설정 오류 또는 취약한 보안 구현에 인한 것이었다. 신원 및 액세스 관리는 계정 탈취 및 가로채기를 차단하는데 매우 중요해지고 있다.

고객들이 우려하는 또 다른 영역은 데이터 보안이다. 다시 말해 클라우드 환경에서 DLP, 암호화 또는 토큰화를 구현하는 것이다. 조직들이 클라우드 환경의 보안을 고려하기 시작하는 첫 단계는 클라우드 내에서 어떤 애플리케이션들(승인/비승인 모두)에 대한 액세스가 이뤄지고 있으며, 승인된 클라우드 애플리케이션 및 인프라 내부에서 사용자들이 어떤 작업/활동을 보여주고 있는지에 대한 가시성을 확보하는 것이다.

▶ 클라우드 보안 문제의 책임은 누가 져야 하는지
클라우드 컴퓨팅은 공동 책임 모델이며, 그 책임은 SaaS, PaaS 또는 IaaS 중 어떤 것인지에 따라 달라진다. 예를 들어, SaaS에서는 클라우드 제공자가 네트워크, 애플리케이션, 호스트 OS, 물리적 보안 등과 같은 기반 인프라의 상당 부분을 제어하며, 사용자들은 신원 및 액세스 관리에 대한 약간의 통제권을 갖는다. 이와 달리, IaaS 모델에서는 사용자들이 네트워크, OS/서버, 애플리케이션 및 IAM 등의 요소에 대한 더 많은 통제권을 갖는다.

더 많은 통제권을 갖는다는 것은 이들 요소의 보안 부분 중 일정 부분은 사용자의 책임이라는 것을 의미한다. 공동 책임 모델에 대한 이해는 조직들이 클라우드 환경을 안전하게 구현할 수 있도록 보장하는 첫 단계이다.

▶ 향후 각광받을 것으로 예상되는 클라우드 보안 서비스가 있다면
조직들이 보다 안전한 방식으로 클라우드 컴퓨팅을 사용할 수 있도록 돕는 몇 개의 이머징 보안 기술 영역이 있다. 그 중 하나가 CASB(Cloud Access Security Brokers, 가트너가 2012년 규정한 시장)이다. 이 클라우드 보안 기술 범주는 조직들이 가시성, 규제 준수, 위협 차단 및 데이터 보안 등 4개 기능 영역에 중점을 두고 보다 안전한 방식으로 SaaS(와 몇몇 특정 IaaS 활용 사례)를 사용할 수 있도록 한다.

▶ 클라우드 서비스를 이용하려는 기업 또는 기관에게 조언을 한다면
클라우드 환경의 보안 이슈에 대한 보다 차별화된 시각을 가지고 귀사에 중요한 영역에 대해 구체적으로 접근해야 한다. 머지않아 대부분의 조직들에게 ‘모든 것’을 클라우드로 전환하는 것이 실용적이지 않게 될 것이다. 그렇기는 하지만, 어떤 클라우드 컴퓨팅이 바람직한 선택인지에 대한 몇 가지 활용 사례(예를 들어, 민감하지 않거나 규제되지 않는 데이터 포함)가 있다.

또한 조직들은 클라우드 제공자들의 기술적 보안 방법과 기능들을 현재 내부에 보유하고 있는 것들과 비교해야 하며, 클라우드 제공자들이 보안 관리자들을 위한 보다 우수한 기능들을 제공하는 영역이 있는지를 현실적으로 평가해야 한다.

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지