유럽 일반개인정보보호법(GDPR) 시행 첫 날인 5월 25일 구글과 페이스북이 88억달러에 이르는 소송에 휘말렸다. 소송을 제기한 비영리단체 NOYb의 막스 슈렘스는 대기업의 무분별한 개인정보 수집·이용을 근절하는 운동을 전개해 온 인물로, 10년 전 페이스북이 유럽에서 수집한 개인정보를 미국으로 전송하는 관행에 대해 공방을 벌여 승소한 바 있다.
슈렘스의 법정 공방은 향후 개인정보 수집·이용 관행과 세계 각국의 개인정보 보호 규제에 영향을 미칠 수 있다는 전망이 나오고 있다. 특히 최근 비즈니스가 국가·지역의 경계를 넘어 진행되고 있으며, 전 세계 인터넷으로 연결된 클라우드를 통해 이뤄지고 있기 때문에 더욱 민감하게 다가온다. 클라우드에 흩어져 보관중인 데이터를 가시화하지 않으면 보호할 수 없다. 데이터 유출 시 발생하는 막대한 피해에 각종 소송과 규제위반으로 인한 과징금까지 더해질 것이다.
위예탄(Wee Yeh Tan) 마이크로소프트 아태지역 보안담당 매니저는 “날이 갈수록 복잡해지는 컴플라이언스에 대응하는데 클라우드가 도움이 될 수 있다. MS 애저의 경우, 전 세계 주요 보안 규제를 준수하고, 보안인증을 획득하고 있어 애저 클라우드를 이용하면 일정 부분의 보안규제 준수 요건을 만족하는 것으로 인정받을 수 있다”며 “또한 애저는 GDPR 대응을 준수할 수 있는 벤치마크 평가도구, 컴플라이언스 매니저 등을 제공하고 있다. 팔로알토네트웍스와 같은 보안 벤더들과 파트너십을 통해 고객의 규제준수 노력을 더욱 적극적으로 돕는다”고 설명했다.
클라우드 보안, 사업자-고객-보안 벤더 협력해야
위예탄 매니저는 29일 서울 양재동에서 열린 ‘클라우드 앤드 시큐리티 세미나’에서 ‘클라우드 보안에 대한 오해와 진실’이라는 주제의 발표를 통해 클라우드를 이용해 컴플라이언스에 더 유연하게 대응하고 데이터와 기업의 주요 자산을 안전하게 보호하는 방법에 대해 설명했다.
특히 컴플라이언스와 관련, 애저가 제공하는 규제준수 도구를 이용하면 클라우드를 이용하는 고객과 개인이 규제의 주요 내용을 쉽게 이해할 수 있으며, 규제대응 준비수준을 평가받을 수 있다. 더불어 규제준수를 도와주는 솔루션도 안내받을 수 있다.
‘클라우드 앤드 시큐리티 세미나’는 팔로알토네트웍스가 주관하고 마이크로소프트가 후원했으며, <네트워크타임즈>와 <데이터넷>이 주최했다. 이 행사에서 마이크로소프트와 팔로알토네트웍스는 고객이 클라우드에 대해 갖고 있는 오해에 대해 정확하게 설명하고, 클라우드 환경에서 주의해야 할 보안위협을 살펴본 후, 클라우드 보안 구축 사례를 소개했다.
위예탄 매니저는 첫번째 세션인 ‘클라우드 보안에 대한 오해와 진실’에서 ▲클라우드로 이전한 데이터는 안전하다 ▲클라우드는 보안 담당자의 직업을 빼앗을 것이다 ▲마이크로소프트가 고객 데이터를 볼 수 있다 ▲클라우드로 이전한 데이터에 대한 통제력과 가시성을 상실하게 될 것이다 ▲클라우드는 컴플라이언스를 지원할 것이다 등 클라우드에 대한 고객의 오해를 5가지 유형으로 나누어 설명했다.
위예탄 매니저는 “클라우드에서 보안의 책임은 사업자와 고객이 공유하는 것이다. 사업자는 클라우드 서비스 자체를 보호해야 할 책임이 있지만, 그 안에서 구동되는 애플리케이션, 데이터는 고객이 책임져야 한다”며 “클라우드 사업자 혹은 파트너들이 고객의 클라우드 자산을 안전하게 보호할 수 있는 다양한 툴과 서비스를 제공하고 있으므로, 이를 활용하는 것도 좋은 방법이 될 수 있다”고 소개했다.
저장·이동·사용중인 데이터 모두 보호
위예탄 매니저는 애저가 제공하는 데이터 보안 서비스로 암호화, 권한관리, 시큐리티센터 등을 소개했다.
암호화 솔루션 ‘키 볼트(Key Vault)’를 이용하면 저장된 데이터와 이동중 데이터를 보호할 수 있다. 특권권한관리를 통해 최고 보안 관리자의 데이터 접근과 열람을 통제할 수 있다. 사용하고 있는 데이터는 ‘컨피덴셜 컴퓨팅(Confidential Computing)’으로 보호한다. 이는 모든 데이터 처리를 하드웨어 기반 신뢰된 실행환경(TEE)에서 구현해 엔드투엔드 암호화 요건을 만족시키는 기술이다.
애저는 또한 고객이 클라우드로 이전한 데이터에 대한 통제력과 가시성을 유지할 수 있도록 액티브디렉토리(AD), 리소스 매니저, 시큐리티센터, 로그 애널리틱스, 그래프 시큐리티 API 등을 제공한다. 그래프 시큐리티 API는 여러 클라우드를 한 곳에서 모아서 관리할 수 있는 서비스로, 정책 위반이나 보안 위협을 자동으로 탐지하고 대응할 수 있도록 지원한다.
API를 통해 여러 보안 벤더들과 긴밀하게 연동할 수 있으며, 클라우드 보안 분야에 있어 긴밀하게 협력하고 있는 벤더 중 하나가 팔로알토네트웍스다. 팔로알토네트웍스는 애저 시큐리티센터와 통합될 수 있다. 애저 환경을 위한 클라우드 차세대 방화벽과 엔드포인트 보안 솔루션, 애플리케이션 통제·제어, 컴플라이언스·정보보호 등의 다양한 서비스를 제공한다.
위예탄 매니저는 “애저는 많은 부분에서 자동화를 구현해 고객의 비즈니스 운영을 지원하고 보안을 보장한다. 이를 통해 고객의 보안조직이 더 핵심적인 업무에 집중해 비즈니스를 안전하게 성장시킬 수 있도록 도와준다”며 “또한 클라우드 파트너의 다양한 서비스를 지원하면서 고객의 여러 보안 문제를 해결해준다. 그 중요한 파트너 중 한 곳이 팔로알토네트웍스이며, 팔로알토는 탁월한 애플리케이션·엔드포인트 가시성과 위협 탐지·차단, 유연한 클라우드 보안정책을 제공해 클라우드 운영을 안전하게 보호해준다”고 설명했다.
