20년 전으로 잠깐 돌아가 보자. CD-롬이라는 새롭고 멋진 저장 매체가 시장을 강타했고, 우주선 첼린저호를 잃었으며, 500만명의 사람들이 자선 모금을 위해 ‘핸즈 어크로스 아메리카(Hands Across America)’에서 손에 손을 잡았다.
촌스러운가? 물론 그럴 것이다. 하지만 이것이 바로 2007년 IT에서 필요로 하는 협업(collaboration)의 수준이다. 올해 예산은 아마 대부분의 회사에서 늘어나겠지만 그리 큰 폭은 못될 것이다. 포레스터는 2005년 7%, 2006년 6%에 이어 2007년에는 불과 2%로 전망하고 있다.
단순히 빡빡한 데이터 센터에서 더 많은 컴퓨팅 파워를 뽑아내는 것만으로는 충분치가 못하다. 다음 변화의 물결을 위해, IT에서는 커뮤니케이션을 향상시키고, 조직 전체의 자원을 최대한으로 잘 이용하는 데 앞장을 서야 한다.
협업을 향하여
네트워크가 노래를 부르게 만들어 줄 수 백 가지 독특한 기술 조합들을 직접 검토해 볼 수도 있을 것이다. 아니면 보안에서 무선, 스토리지에 이르기까지, 유망 IT 부문들에 대해 우리가 마련한 전문가 분석을 읽고, 2007년에 주목해야 할 비즈니스 동향을 파악해 보는 방법도 있다. 우리의 조언은 실세계 경험을 바탕으로 하며, 네트워크컴퓨팅이 제공할 수 있는 한 해치의 실제 제품 테스팅과 분석으로 뒷받침된 것들이다.
결정적인 동향을 요약해 보자면, 각 팀들이 보다 효과적으로 일을 할 수 있도록 돕는 것이다. 마이크 디마리아는 이메일, 음성, IM, 그리고 점점 더 늘어나고 있는 비디오/웹 컨퍼런싱 등 우리가 커뮤니케이션을 위해 사용하고 있는 툴들은 서로 훨씬 더 많이 얽히게 될 것이라고 말했다. 이는 비즈니스 애플리케이션과 애플리케이션 인프라에서도 마찬가진데, 여기서 로리 맥비티는 웹 서비스의 영향을 그리고, 차세대 EAI 및 웹 2.0 이니셔티브(매시업 등)가 서로 다른 데이터 소스들로부터 나오는 정보를 새로운 방식으로 결합시킬 수 있게 IT를 어떻게 지원하고 있는지를 설명했다.
사실 여러분은 서로 다른 많은 컴포넌트들로부터 합성된 정보에 의존하게 될 것이다. 네트워크 관리는 프레임워크들을 어수선하게 쌓아놓는 것에서 한참을 벗어나 장비와 소프트웨어들 사이의 프로세스 관계를 추적할 수 있는 보편적인 시스템을 향해 이동할 것이라고 크리스 매트니는 예측한다. 마찬가지로, 다중 소프트웨어와 하드웨어를 통합시키는 것만이 회사 데이터 보호에 필수인 통일성 있는 보안 정책을 구축할 수 있는 유일한 방법이기도 하다. 그 방법에 대해서는 돈 맥비티의 설명에 귀를 기울여 보자.
한편, 현명한 IT 조직이라면 애플리케이션을 배치하는 데 걸리는 시간을 줄임으로써 기회를 자본화할 것이다. 앤드류 코니-머레이는 간단히 서비스로서의 애플리케이션을 구입함으로써 자원이 자유로워지는 경우가 종종 있다고 말했다. 서버와 스토리지 인프라를 계속 가상화함으로써 배치 시간도 또한 줄일 수 있을 것이다. 스티브 힐이 그 프로세스를 설명하고, 마이크 프래토는 원격 사이트에서 사용할 수 있는 브랜치 오피스 인 어 박스(branch-offices-in-a-box)를 추천해 주었다.
그리고 애플리케이션 전달 기술(application delivery)은 사무실 안과 밖에서 계속 우리 곁으로 다가올 것 같다. 데이브 몰타는 듀얼 모드의 셀룰러/음성 오버 와이파이 제품들이 입지를 넓혀감에 따라 2007년 로컬 및 광역 무선 네트워크들에 어떤 양상이 펼쳐질지를 그려 보았다.
상호연결성의 수위가 계속해서 높아지면서, 우리가 언제 어디서 어떤 애플리케이션이든 전달할 수 있게 보장해주는 챔피언의 등장이 요구되고 있다. 매트니는 전문 기술도 물론 중요하긴 하지만 효과적인 커뮤니케이션에 의해 반드시 보강이 돼야 한다고 주장했다. 옳은 말이다. 2007년 한 해 변화하는 기술 세계에서 번영을 누리기 위해서는 IT가 반드시 협업 챔피언으로서의 역할을 충실히 수행해야 할 것이다.
글 싣는 순서
비즈니스 전략
보안
모바일 및 무선
스토리지 및 서버
메시징 및 협업
애플리케이션 인프라
엔터프라이즈 애플리케이션
네트워크 및 시스템 관리
네트워크 인프라
01 “중단없이 보호하라”… SaaS·매시업 기술 강세
2007년 당신에게 주어진 미션은 전례없는 데이터 액세스를 제공하면서 동시에 민감한 정보를 보호할 수 있는 전략을 이행하라는 것이다. 그리고 이 모든 것은 비즈니스 프로세스의 중단없이 진행돼야 한다. 문제없이 잘 할 수 있겠는가?
IT는 액세스와 보안 사이의 충돌을 중재하는 역할에 익숙해져 있다. 하지만 양측에서 오는 압박은 점점 더 거세지기만 할 뿐이다. SaaS(Software as a Service)나 엔터프라이즈 매시업(mashups) 같은 새로운 기술들이 전통적인 장벽을 깨뜨리고 있으며, 규정자, 감시인, 준법 감시인들은 점점 더 가차 없이 엄격해지고만 있다. 2007년 우리에게 주어진 가장 큰 과제는 비즈니스 프로세스를 중단시키지 않고 데이터를 보호할 수 있는 전략을 이행하는 것이다.
새로운 소프트웨어 기술들이 이 일을 한층 더 힘들게 하고 있다. 예를 들어 만약 조직에서 아직 SaaS에 투자를 하지 않았다면 그렇게 할 가능성이 많다. 포레스터에 따르면 초대형 기업의 39%가 이미 SaaS를 사용하고 있으며, 대기업의 24%가, 그리고 중소기업의 22%가 이 전략을 사용하고 있거나 여기에 관심이 있다고 말했다. 그리고 업체들은 훨씬 규모가 작은 조직들까지도 이 기술을 재미로 사용해 볼 수 있도록 부추기고 있다.
한편 매시업과 같은 웹 2.0 기술들에 달려드는 비즈니스 사용자들은 마치 불나방을 연상시킨다. IBM은 미 국립기상서비스와 구글맵, 그리고 자사의 인벤토리 데이터베이스의 실시간 기상예측 정보를 결합시켜 주택개량체인점을 위한 PoC(Proof-of-Concept) 매시업을 만들었다. 특정 지역에 눈보라가 예상될 경우 소매업자는 그 지역 점포를 위해 암연, 삽, 그리고 발전기 재고를 조정할 수 있다. 이같은 선전 문구에 넘어가지 않을 재주가 있겠는가.
이러한 모든 개방성은 아주 멋져 보인다. 단 침입이 발생하기 전까지는. 미 연방 및 주 규정기관에서 아직 충분히 염려하고 있는 바는 아니지만, PCI페이먼트 카드 인더스트리(Payment Card Industry)의 데이터 시큐리티 스탠다드(Data Security Standard) 같은 업계의 규정은 한층 더 엄격해지고 있다. 2007년을 위한 새로운 필요조건들은 주로 애플리케이션 보안에 초점을 두고 있다. PCI에 대한 상세한 정보는 smartbizresource.com/document.asp?doc_id=104181.
SaaS의 성장
IT가 배치와 가동시간을 책임지는 전형적인 소프트웨어 배치 모델은 이제 호스팅이나 SaaS 같은 전달 대안들로 대체되고 있다. 가트너는 2011년에는 새로운 비즈니스 소프트웨어의 25%가 서비스를 통해 전달될 것으로 전망했다. 이것은 2005년 서비스로 전달된 소프트웨어가 5%에 불과했던 데 비하면 실로 막대한 성장이다.
그렇다면 이러한 성장세가 전망되는 이유는 무엇일까? SaaS는 애플리케이션의 보다 신속한 배치와 저렴한 자본 투자를 약속하면서 동시에 패칭이나 업그레이드 같은 소프트웨어 유지보수 작업에 매어 있을 IT 자원을 자유롭게 해준다.
하지만 그렇다고 SaaS가 IT를 밀어내지는 않을 것이며, 오히려 정반대가 될 것으로 예상된다. SaaS 애플리케이션을 배치하는 부서에서는 사업자가 서비스를 전달할 수 있는 능력(내 외부의 프라이버시 규정을 따르는 것 등)을 평가하는 데서 IT의 도움을 필요로 한다.
IT는 또한 SaaS 배치의 진정한 TCO를 평가하는 데서도 비즈니스 팀과 협력해야 한다. 이는 곧 업체들의 과대 선전을 극복하고, 데이터 스토리지 용량 필요조건 증가나 서비스를 조직에 통합시키는 데 필요한 대부 작업 등과 같이 가입비 이외의 경비를 반영한 대차대조표를 만들어야 한다는 뜻이다.
일단 서비스가 가동이 되면 비즈니스 그룹에서는 또한 특정 비즈니스 니즈를 수용하고, 다른 주요 애플리케이션과 서비스를 통합시키기 위한 맞춤화에서 IT의 도움이 필요할 것이다.
소프트웨어 업체와 고객은 모두가 SaaS에 투자를 하고 있다. 지난 11월 마이크로소프트는 중소기업용으로 웹 호스팅과 비즈니스 애플리케이션을 서비스로 전달하는 오피스 라이브(Office Live)를 발표했다. 마이크로소프트는 또한 자사의 CRM 및 ERP 애플리케이션의 호스티드 버전도 곧 내놓을 계획이다.
한편 오라클은 오라클 데이터베이스(Oracle Database)와 오라클 퓨전 미들웨어(Oracle Fusion Middleware)를 제공하고 있는데, 이들을 자사의 데이터 센터에서 호스팅하거나, 고객을 위해 온사이트로 관리할 계획이다. 오라클은 또한 시벨(Siebel), JD에드워즈(JD Edwards) 및 피플소프트(PeopleSoft) 애플리케이션을 호스티드 제품이나 서비스로 제공하고 있다.
SaaS 시장에서 가장 신참은 워크데이(Workday)라고 하는 신생업체로, 현재 이 곳에서는 ERP를 서비스로 제공함으로써 오라클과 SAP에 도전장을 내고 있다. 전 피플소프트 CEO 겸 설립자인 데이브 듀필드가 만든 이 회사는 1천명에서 5천명 직원 규모의 미드마켓 고객을 타깃으로 하고 있다.
뿐만 아니라 SaaS 영역 밖에 있는 업체들조차도 SaaS 애플리케이션을 통합시킴으로써 경기에 참가할 기회를 엿보고 있다. 예를 들어 IP 텔레포니 업체인 쇼어텔(ShoreTel)은 최근 세일즈포스닷컴(Salesforce.com)의 사용자들이 고객의 이름이나 아이콘을 클릭해서 통화를 할 수 있게 해주는, 그래서 판매원이 할 수 있는 통화의 수를 늘려주는 애플리케이션을 발표했다.
SaaS가 애플리케이션 전달을 위한 가치 있는 선택으로 자신의 모습을 정립해감에 따라, IT는 이것이 야기하는 데이터 보호 및 규정준수 문제를 해결해야 하게 되었다. 이것은 특히 회사의 재정 정보, 임금 및 HR 기록을 다루는 ERP나 환자 기록과 개인적인 신원확인 정보를 포함할 수 있는 의료 부문의 SaaS 애플리케이션에 더욱 잘 해당이 되는 말이다.
IT 제어권 밖에 있는 데이터베이스에 든 민감한 정보가 여러 SaaS 고객의 데이터와 같은 서버에 있게 되는 다거주자(multitenancy) 상황에서 사업자에 의해 적절히 보안되도록 보장하기 위해 SaaS 배치를 신중히 조사해야 한다. 저장 중인 데이터의 암호화를 고려해 보고, 데이터베이스 액세스 제어나 감사 같은 문제가 내외부의 프라이버시 준수 정책에 위배되지 않도록 해야 한다.
몬스터 매시업
2007년에는 또한 보안에 대한 걱정에도 불구하고 웹 2.0 기술의 상승을 목격하게 될 것이다. 특히 매시업은 조직의 경계 안팎 모두에서 데이터 저장소와 웹 서비스에 의존하는 새로운 애플리케이션들을 만들 수 있는 수단을 제공한다. IBM은 지난 6월, 엔터프라이즈 매시업을 만들 수 있는 툴 세트를 발표했으며, BEA 시스템즈는 2007년까지 자체 매시업 인프라 툴을 갖출 계획이다.
매시업이 인기를 모으는 이유는 그 전에 있던 웹 서비스와 에이잭스(Ajax) 같은 툴을 사용함으로써 개발자들이 이런 애플리케이션을 전통적인 방법보다 훨씬 더 빨리 함께 모을 수 있기 때문이다. 하지만 약점 또한 만만치 않다.
에이잭스 툴키트는 상호운용이 되지 않으며, 에이잭스가 서버, 데스크톱 및 네트워크 인프라에 미치는 모든 영향은 아직 언급되지 않고 있다. 에이잭스 지원 애플리케이션을 돌리는 직원들로 가득찬 사무실에서는 시스템 크래시로 인해 네트워크가 중단될 가능성이 있다.
또한 보안에 관련된 문제들도 있다. SOA와 달리 웹 2.0 기술에는 인증과 암호화 같은 기본적인 보안 기능을 제공하는 기반 프로토콜이 없다. 엄격히 제어하지 않을 경우 웹 2.0 기반 애플리케이션은 볼 수 있게 허용되지 않은 사람들에게 사적인 신원 정보같은 민감한 데이터를 노출시킴으로써, 정책이나 규정을 위반하게 될 가능성이 많다.
에이잭스라는 말을 만든 장본인인 제시 제임스 가렛은 최근 네트워크컴퓨팅과의 인터뷰에서 “개인 정보를 볼 수 있고, 기반 비즈니스 로직으로 액세스하는 데 대한 보안 문제가 일부 실제 악용 사례를 통해 명백히 드러날 것”이라며, “누군가는 화형대에 올라야 할 것”이라고 경고했다.
개방 Vs 데이터 보호
IT는 정보를 보다 유연하고 개방적으로 만들라는 요청을 받고 있는 동시에 기업 데이터의 프라이버시를 보장해야 한다는 막대한 압박도 받고 있다. 침입에 따른 총 손실 비용을 추산하긴 힘들지만, 올해 초 FTC는 최초로 널리 공개된 개인 정보 침입 사례 가운데 하나에 대한 책임이 있는 데이터 병합(data-aggregation) 회사인 초이스포인트(ChoicePoint)에게 1천500만달러의 벌금을 과한 바 있다.
초이스포인트는 약 14만5천 개의 기록을 노출시켰는데, 이렇게 되면 벌금만으로도 기록 하나당 약 103달러라는 계산이 나온다. 사업적 손실과, 소비자에게 알리는 데 소모된 시간과 비용, 그리고 무료 크레디트 모니터링 서비스를 만드는 데 든 비용 등 기타 손실 비용을 모두 합하면 그 액수는 훨씬 높아질 것이다.
따라서 데이터 보안이 많은 기업들에게 최우선으로 고려되는 것도 놀라운 일이 아니다. 언스트 앤 영(Ernst & Young)의 제9회 연간 글로벌 정보보안 설문조사에 따르면, 규정 준수 및 프라이버시 보호가 올해 정보 보안 프랙티스의 가장 큰 두 가지 동력이 될 것으로 나타났다. 하지만 불행하게도, 회사 데이터를 보호하기 위해 마련된 많은 메커니즘들은 프라이버시 보호가 아니라 외부 공격에 초점을 두고 있다. 언스트 앤 영의 설문조사에 따르면, 프라이버시 프로젝트를 진행 중인 회사는 인터뷰에 응답자의 25%도 채 되지 않았다.
데이터 보호 전략은 세 가지 일반적인 영역, 즉 데이터베이스에 저장된 정보로의 허가되지 않은 액세스나 오용 막기; 공통된 통신 채널을 통해 정보가 기업에서 빠져나가는 것 막기, 그리고 랩탑 및 착탈식 매체의 보안 처리하기 등을 중심으로 연결돼 있다.
모두 좋은 생각이긴 하지만, 이들 각각에는 저마다의 한계도 있다. 예를 들어 애플리케이션즈 시큐리티(Applciations Security), 가디엄(Guardium), 임퍼바(Imperva) 및 IP 록스(IP Locks) 같은 회사의 데이터베이스 모니터링 제품들은 소중한 데이터로의 액세스를 확보하고 싶어하는 악의적인 내부인에 대한 경계를 강화한다.
반면 이러한 툴과 기술들은 IT 보안 스태프의 모니터링 부담을 가중시키며, 트레이닝을 필요로 하고, 폴스 포지티브(false positive)를 만들 수 있으며, 아키텍처에 따라 악의적 행동을 완전히 놓칠 수도 있다.
비즈니스 프로세스 검토와 보호 전략 규정 필수
ILP(Information Leak Prevention) 시스템은 이메일, 웹 메일 및 FTP 같은 일상적인 방법을 통해 기업 밖으로 전송되고 있는 콘텐츠를 모니터링한다. 이들은 워드 문서나 스프레드시트에 있는 민감한 정보를 보호하는 데 유용하며, 주민등록번호 같은 정보를 탐지하도록 구성될 수 있다. 이러한 제품은 조직 외부로 전송될 수 있는 정보의 종류에 대한 회사 정책을 시행하는 데 유용하다. 또한 이들은 민감한 정보가 회사에서 어디에 있는지를 찾기 쉽게 해주기도 하는데, 이것은 오늘날과 같은 분산형 데이터의 시대에 반드시 필요한 기능이기도 하다.
하지만 이런 시스템들이 그리 간단한 것은 아니다. 내부인이 단순히 민감한 데이터가 든 노트북을 집으로 가져갈 수도 있고, 혹은 이것을 착탈식 매체에 복사할 수도 있다. 그리고 이 시스템은 자신이 찾도록 구성된 데이터 프로파일 만큼만 효과적일 것이다. 마지막으로 시스템이 회사 밖으로 전송되고 있는 정보를 탐지하는 때를 조사하는 데 인간 애널리스트가 필요하며, 여기에도 IT 자원이 소모될 것이다.
노트북과 착탈식 매체는 데이터 유실의 주 원천이다. 그 증거로 지난 2006년 5월에는 미국의 군사 전문가들에 대한 2천650만 건의 기록이 포함된 노트북과 하드 드라이브가 도난된 사건이 있었다. 기업에서는 특정 파일이나, 심지어 전체 하드 디스크를 보안하기 위해 암호화 소프트웨어를 사용할 수 있다. PGP, 포인트섹(PointSec) 및 세이프부트(SafeBoot) 같은 회사에서는 분실, 혹은 도난당한 노트북이나 썸 드라이브(thumb drive)가 정보 노출로 이어지지 못하게 해주는 암호화 기능을 제공하고 있다.
최근 본지 리뷰에서 밝혀진 바에 따르면, 이러한 솔루션들은 배치될 사용자 수가 많으면 값이 비싸질 수 있으며, 패스워드 재설정과 같은 일상적인 헬프데스크 요청이 쇄도할 것이다. 이들은 또한 프라이버시 보호에 있어 아주 국소적인 부분만을 처리해 줄 뿐이다.
기술적인 솔루션을 찾는 것 외에도 기업에서는 데이터 노출과 유실의 위험이 가장 많이 존재하는 곳이 어디인지를 파악하기 위해 회사의 비즈니스 프로세스를 평가해 보아야 한다. 여기서도 역시 초이스포인트가 좋은 사례로 꼽힌다. 아이덴티티 도둑들은 합법적인 고객인 것처럼 위장을 한 가짜 회사를 만들었으며, 초이스포인트는 이들에게 쉽게 기록을 팔았다. 따라서 빈틈은 공격이나 불만을 품은 내부인이 아니라 이 회사의 비즈니스 프로세스가 잘못된 데 있었던 것이다.
회사에서는 비즈니스 프로세스를 검토하는 외에도, 자신들이 채택한 보호 전략이 규정이나 산업 요건에 어디서 맞고, 또 맞지 않는지를 파악해야 한다. 이러한 단계를 밟지 않는다면 2007년도 2006년과 크게 다르지 않을 것이다.
주목해야 할 회사들
클러테크놀로지즈
클러는 네트워크 성능과 이용량 통계를 서비스로 전달한다는 독특한 방식으로 네트워크 관리에 접근하고 있다. 유료 가입외에도 클러는 최고 25개 장비에 대한 무료 서비스 버전도 제공한다.
넷스위트
세일즈포스닷컴과, 그리고 지금은 워크데이와 첨예한 경쟁 구도에 있는 넷스위트는 중소기업을 대상으로 CRM과 ERP를 서비스로 제공하고 있다. 이 회사는 최근 고객과 파트너가 넷스위트 애플리케이션을 보다 잘 맞춤화할 수 있도록 스위트플렉스(SuiteFlex)라는 새로운 플랫폼을 발표했다.
프로그레스 소프트웨어
프로그레스는 비즈니스 애플리케이션을 위한 애플리케이션 인프라 소프트웨어를 제공한다. 이 회사는 또한 ISV가 SaaS 부문에 맞게 기존의 애플리케이션을 재구성하거나 만드는 것을 돕고 있다. 2006년 프로그레스는 포브스지의 중소기업 베스트 200에 선정되기도 했다.
워크데이
SaaS 시장의 선도자인 세일즈포스닷컴은 애프익스체인지(AppExchange)의 성공에 힘입어 혁신을 주도해 가고 있다. 애프익스체인지는 플랫폼의 기능성을 확장시켜 ISV와 세일즈포스 고객이 만든 세일즈포스닷컴 애플리케이션 시장을 말한다.
새로운 PCI DSS 요건들
요건 5.1.1
안티바이러스 소프트웨어는 스파이웨어나 애드웨어 같은 악성 소프트웨어를 탐지할 수 있는 능력이 있어야 한다.
요건 6.6
웹 대면 애플리케이션은 알려진 공격에 대해 애플리케이션 코드 리뷰나 애플리케이션 방화벽을 통해 보호돼야 한다.
요건 12.10
조직에서는 접속된 엔티티 목록을 유지보수함으로써 접속된 엔티티를 관리하고, 적절한 실사 작업을 이행하며, 접속된 엔티티가 PCI DSS를 준수하는지 확인하고, 연결된 엔티티와 연결되지 않은 엔티티에 대해 정립된 프로세스를 갖고 있어야 한다.
전망의 창
SaaS(Software as a Service)
SaaS 사업자들이 기존의 비즈니스 소프트웨어와 통합을 추진함에 따라 기업에서는 SaaS를 전통적인 라이선스에 대한 강력한 대안으로 받아들이게 될 것이다. 네트워크 관리와 같은 새로운 종류의 애플리케이션이 인터넷을 통한 전달용으로 구조화되면서 SaaS를 테스트하는 기업들이 더욱 늘어날 전망이다.
엔터프라이즈 매시업
매시업(엔터프라이즈 데이터 저장소와 외부 웹 서비스의 조합)은 기업에서 전형적인 개발비보다 훨씬 적은 돈으로 새로운 애플리케이션을 만들 수 있게 해준다. 하지만 IT는 업체 락인, 보안 문제, 그리고 잘라서 붙일 때 인프라에 생길 수 있는 잠재적인 영향에 유의해야 한다.
정보 보호
2007년은 기업들이 2006년에 너무 많은 회사를 침몰시켰던 새는 구멍을 막기 시작하는 해가 될 것이다. 규정자, 내부 감사자, 그리고 공판 변호사들로 둘러싸인 가운데, IT에서는 회사 데이터가 어디로 어떻게 흐르는지를 식별하고, 거기에 맞는 충분한 제어를 적용시키는 데 있어 앞장을 서야 할 것이다.
