클라우드 종속성 낮춰 비즈니스 리스크 관리
상태바
클라우드 종속성 낮춰 비즈니스 리스크 관리
  • 김선애 기자
  • 승인 2019.09.30 12:10
  • 댓글 0
이 기사를 공유합니다

[클라우드 내비게이터] 복잡한 멀티 클라우드 보호 위한 정책 마련 시급

[데이터넷]지난 8월 22일 본지에서 개최한 ‘클라우드 보안 & SECaaS 인사이트 2019’ 참가자 대상 설문조사에 따르면 응답자의 절반 이상이 클라우드를 사용하고 있다고 답했으며, 클라우드 전환 시 가장 우려한 것으로 데이터 침해(80.2%)와 사이버 시큐리티(60.5%)를 들었다.

그러나 클라우드로 전환한 업무에 대한 보안 대책을 마련했는지 묻는 질문에 80.2%의 응답자가 ‘어떤 보안 대책이 필요한지 검토하고 있다’고 답했다. 클라우드 전환 이전에 클라우드 전환 대책을 충분히 검토하지 않았다는 것을 방증하는 결과라고 할 수 있다.

단일 클라우드 사용, 비즈니스 민첩성 확보 못해

기업·기관이 클라우드 보안 대책을 쉽게 마련하지 못하는 이유는 ‘복잡하기 때문’이다. 멀티 클라우드는 기업·기관이 온전히 책임져야 하는 온프레미스 데이터센터와 프라이빗 데이터센터, 그리고 클라우드 사업자와 공동으로 책임을 져야 하는 여러 개의 퍼블릭 클라우드로 구성된다.

보안에 대한 총괄책임을 지는 조직이 어느 한 곳에 있지 않아 보안 정책을 마련하고 운영하는 것이 쉽지 않은 일이다. 업무 시스템과 사용자가 여러 곳에 흩어져있으며, 특히 퍼블릭 클라우드는 서비스마다 보안 수준이 다르고 정책을 결정하고 운용하는 과정이 달라 보안 조직의 어려움은 가중된다.

클라우드 보안 문제를 단순하게 풀고자한다면 프라이빗 클라우드만을 사용하는 방법을 택할 수 있다. 프라이빗 클라우드는 온프레미스 데이터센터의 운영을 효율화할 수 있으며, 기업·기관이 책임지고 운영하기 때문에 체계적인 보안 운영이 가능하다. 그러나 프라이빗 클라우드는 기존 온프레미스 데이터센터를 운영하는 것과 크게 다르지 않아 클라우드 도입 효과를 기대할 수 없다.

퍼블릭 클라우드를 사용하는 이유는 완성된 써드파티 서비스를 이용해 비즈니스 민첩성을 높이기 위해서인데, 이를 프라이빗 클라우드에서 구현하려면 많은 비용과 시간이 들기 때문에 민첩성을 확보할 수 없다.

▲온프레미스 데이터센터와 퍼블릭 클라우드 보안 정책 비교(자료: 라드웨어)

보안 통제 쉽지 않은 멀티 클라우드

퍼블릭 클라우드를 안전하게 사용하고자, 단일 클라우드 사업자의 서비스만을 선택하는 방법도 있다. CSP는 많은 고객의 클라우드를 운영하면서 축적한 노하우를 기반으로 서비스를 제공한다. 써드파티 보안 솔루션도 자사 클라우드 인프라를 통해 제공하고 있으며, 자신의 클라우드 환경에 가장 잘 맞춘 보안 서비스도 옵션으로 판매한다.

그러나 특정 벤더에 종속되는 것은 리스크가 높다. 해당 클라우드에서 장애가 발생했을 때 대처하기 쉽지 않다. 비용을 효율적으로 집행하지 못하며, 해당 사업자가 제공하지 않는 보안 서비스를 사용하거나 관련 규제를 준수하기 어려운 경우도 있다.

예를 한 번 들어보자. 클라우드 사업자 A만을 이용하는 기업이, A를 통해 취약점 점검 서비스를 이용하고자 한다. 취약점 점검은 국내 리전이 있어야만 사용이 가능하다는 규제가 있는데, A사업자가 취약점 점검을 제공하는 인프라는 국내에 설치되어 있지 않다. 그러면 이 기업은 서비스를 사용하지 못한다. 만일 B 사업자가 이 서비스를 국내 리전을 통해 제공한다면 B 사업자를 통해 서비스를 이용할 수 있어야 한다.

퍼블릭 클라우드를 통해 제공되는 다양한 서비스를 이용해 비즈니스 민첩성을 높이고자 한다면, 단일 클라우드 사업자만을 이용할 수 없다. 실제로 클라우드 보안 연합(CSA)의 조사에 따르면 기업의 61%가 AWS를 사용하며, MS 애저 사용자는 56%에 이른다. 구글 클라우드 플랫폼(GCP)을 사용한다는 응답도 25%를 차지하고 있다. 기업은 이미 여러 퍼블릭 클라우드를 함께 운영하는 멀티 클라우드 체제를 택하고 있다는 것을 보여주는 결과라고 할 수 있다.

멀티 클라우드는 보안 통제가 쉽지 않다. 그래서 매니지드 서비스 사업자를 통해 보안을 운영하는 경향을 보인다. 메가존클라우드의 경우, 써드파티 솔루션을 테스트해 선별하고 솔루션을 PoC하며, 설치 및 운영까지 지원한다. 데브옵스 컨설팅과 구축팀을 운영하면서 오픈소스 솔루션과 상용 솔루션을 이용해 고객 맞춤형으로 데브옵스 환경을 자동화할 수 있도록 돕고 있으며, 데브섹옵스 문화를 전파하는데 앞장서고 있다. 국내외 보안 벤더와 함께 웹 방화벽, DPI, 봇 탐지, 디도스 시뮬레이션, 침해 탐지와 공격 시뮬레이션(BAS), S3 버킷 멀웨어 모니터링, 취약점 분석 서비스를 SaaS로 제공한다.

공공기관 위한 클라우드 보안 인증제

한편 여러 퍼블릭 클라우드를 사용할 때, 해당 클라우드의 보안성이나 완성도를 개별 기업·기관이 판단하는 것이 쉬운 일은 아니다. 특히 공공기관의 경우 클라우드 선택의 기준이 마련돼 있어야 민간 클라우드를 도입할 수 있다. 따라서 공공기관이 클라우드를 도입할 때, 민간 클라우드 서비스를 이용할 수 있는 업무인지 확인해야 한다.

중요도가 높은 업무라면 해당 기관 전용 클라우드를 이용해야 할 것이며, 민간 클라우드를 사용해도 괜찮은 업무라면 클라우드 보안 인증을 획득한 서비스를 선택해야 한다. 클라우드 보안 인증제도는 공공기관의 민감한 정보를 민간 클라우드에서도 안전하게 사용할 수 있도록 일정 수준 이상의 보안 요구를 만족하는지를 평가하고 인증하는 것이다.

현재 IaaS와 SaaS에 대한 인증 규격이 완성돼 있으며, 공공 클라우드를 위해 별도로 분리된 네트워크 존을 구성하고, CC인증을 받은 보안 장비를 설치해야 하며, 국가에서 정한 암호화 알고리즘을 적용해 데이터와 네트워크를 보호하도록 하고 있다. SaaS는 소프트웨어 개발 보안을 적용해 취약점을 제거한 서비스를 제공하도록 하는 등의 규제가 마련돼 있다.

클라우드 보안 인증은 공공기관에 공급하는 보안 솔루션에 요구되는 CC인증과 비슷한 수준과 규격으로 진행되고 있으며, 인프라 서비스는 117개 통제 항목, 소프트웨어 서비스는 78개 통제항목으로 준수 여부를 평가하고 있다. 현재 인증을 받은 사업자는 KT, NBP, 가비아, NHN, LG CNS, 코스콤, 스마일서브, 삼성SDS, 더존비즈온, 인프라닉스 등이다.

한편 정부는 더 많은 클라우드 사업자들이 인증을 받을 수 있도록 제도를 개선하고 있다. 지난 7월 발표한 ‘클라우드 서비스 보안인증제 개선방안’에서는 보안 인증 유효기간을 3년에서 5년으로 확대하고, 표준등급 외에 간편등급을 적용해, 전자결재, 인사, 회계관리, 보안서비스, 개인정보영향평가 대상 서비스를 제외하고 30개 항목만 점검해 인증을 받을 수 있도록 했다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.