정부가 공공부문에 민간 클라우드 서비스를 적극 도입할 수 있도록 민간 클라우드 이용 범위를 대폭 확대하면서 클라우드 시장 활성화에 나섰다. 행정안전부가 지난 4일 발표한 ‘공공부문 클라우드 기본계획’에서는 기존의 공공기관 민간 클라우드 이용 가이드라인을 전면 폐지하고, ▲국가안보 ▲외교·통일 ▲수사·재판 ▲개인정보보호법의 민감정보를 처리하는 경우 ▲개인정보영향평가 대상을 제외한 모든 대국민서비스는 민간 클라우드 서비스를 이용할 수 있게 했다.
민간 클라우드 이용이 어려운 내부 행정업무 시스템은 정부 전용 클라우드 환경으로 단계적으로 전환하기 위해 전자정부 클라우드 플랫폼을 구축한다. 더불어 정부 데이터에 AI 등의 기술을 접목하기 위한 하이브리드 클라우드 서비스를 대국민 서비스에 도입한다.
하이브리드로 진화하는 클라우드 시장
정부가 클라우드 성장 촉진을 위한 전향적인 정책을 밝히면서 시장의 분위기도 확연하게 달라지고 있다. 클라우드 도입에 가장 소극적이었던 금융권에서도 클라우드 관련 규제가 대폭 완화되면서 민감한 개인정보까지 클라우드를 이용할 수 있도록 개편됐다.
대부분의 스타트업은 클라우드를 이용해 비즈니스를 시작하며, 게임사, 포털, 인터넷 서비스 기업들도 클라우드에서 비즈니스를 영위한다. 대규모 데이터센터를 운영하고 있는 대기업조차 퍼블릭 클라우드도 이용한다.
클라우드를 이용하는 기업/기관은 대부분 하나의 클라우드만 사용하지 않는다. 기존의 온프레미스 데이터센터를 유지하면서 프라이빗 클라우드와 여러 종류의 퍼블릭 클라우드를 혼용하는 하이브리드/멀티 클라우드를 구성해 운영한다.
ZK리서치가 IT 담당자를 대상으로 실시한 설문조사에 따르면 응답자의 86%가 기업 데이터를 여러 제공업체의 클라우드 인프라에 두고 있는 것으로 나타났다. 글로벌 MSP 기업 라이트스케일의 보고서에서는 글로벌 기업의 멀티 클라우드 활용률이 81%에 달했고, 이 중 프라이빗과 퍼블릭 클라우드를 결합한 비율이 51%, 멀티 퍼블릭 클라우드를 사용하는 비율은 20%에 이르렀다.
클라우드 보안 책임 범위 명확히 해야
클라우드를 바라보는 인식이 전향적으로 바뀌면서 ‘보안’에 대한 ‘안전불감증’이 자리 잡는 경향이 나타나고 있다. 많은 기업들이 ‘클라우드는 안전하다’는 맹신을 갖고 있으며, 클라우드에 저장된 데이터를 제대로 관리하지 않으며, 클라우드에 어떤 데이터가 저장돼 있는지도 파악하지 않고 있다.
또한 클라우드 내의 보안 시스템은 구성이 쉽지 않아 더 큰 문제다. 퍼블릭 클라우드는 ‘남의 IT’를 빌려 쓰는 것이며 프라이빗 클라우드는 가상머신이 수시로 이동하기 때문에 자동화된 보안 정책을 적용하는 것은 매우 어려운 일이다.
멀티 클라우드 환경에서는 보안 책임 범위를 규정하는 것도 난제다. 온프레미스와 프라이빗 클라우드는 기업이 전적으로 책임져야 할 일이지만, 퍼블릭 클라우드에서는 클라우드 서비스 인프라는 서비스 사업자가, 클라우드에서 운영되는 애플리케이션은 고객이 책임지는 책임공유 모델을 사용해야 한다.
가시화·자동화·오케스트레이션 필수
클라우드 보안은 가시화, 자동화, 오케스트레이션의 3요소를 만족시켜야 한다. 기업은 민첩성과 비용 효율성을 위해 클라우드를 사용하지만 보안은 고려하지 않기 때문에 가시성이 떨어진다. 복잡한 클라우드 보안 설정은 완벽한 자동화로 구현하지 않으면 치명적인 보안홀이 생기게 마련이며, 오케스트레이션을 통해 유기적으로 연동하지 않으면 확장, 이동, 축소 등의 변경이 자유롭지 못하다.
클라우드의 최대 보안홀은 섀도우 클라우드다. 사업부서에서 임의로 퍼블릭 클라우드를 사용하고 데이터를 옮겨놓은 후 방치하며, 외부에 저장해서는 안 되는 데이터를 클라우드로 무단 이관하는 사고도 적지 않게 일어난다. 퍼블릭 클라우드에 저장된 고객정보가 유출된다면 막대한 벌금과 소송을 당하게 된다. EU GDPR, 중국 네트워크안전법과 같은 다른 나라의 규제위반 사항이 된다면 국제소송에도 휘말리게 된다.
클라우드 보안 기술은 기존 IT 보안의 범위에서 크게 벗어나지 않지만, 보안을 적용하고 운영하는 방법은 큰 차이가 있다.
기존 보안 시스템은 사내에 구축된 IT 시스템을 관리하는 것이 주 업무이며, 기업 환경에 따라 전국 혹은 전 세계에 분산된 원격지 지점·지사·공장 등을 관리하는 문제가 추가됐다. 스마트워크를 도입한 기업은 모바일 오피스 지원을 고려해야 했다.
클라우드는 이에 더해 여러 퍼블릭 클라우드를 사용하는 환경까지 고민해야 한다. 클라우드를 사용하는 이유가 민첩성과 비용 효율성을 높이기 위한 것인 만큼, 사용 편의성을 해치지 않으면서 도처에 도사리고 있는 보안위협을 제거할 수 있는 방법이 필요하다.
