국내 기업들이 클라우드 도입을 주저한 또다른 이유로 보안을 들 수 있다.
클라우드는 언제, 어디서나, 어떠한 단말기를 이용해도 네트워크에 접속해 업무를 진행할 수 있으며, 가상화 기술을 이용해 IT 인프라를 효율적으로 사용할 수 있다. 서비스가 구동되는 가상머신(VM)은 하드웨어 자원 활용을 최적화 하기 위해 호스트 경계 없이 자유롭게 이동할 수 있으며, 필요에 따라 자유롭게 생성·삭제할 수 있어 비즈니스 유연성이 높다.
클라우드의 편리함 만큼 보안 취약성도 높다. 관리되지 않은 VM이 악성코드에 감염돼 여기저기 이동하면서 다른 호스트를 감염시킬 수 있고, 공격자들이 정상적인 사용자 권한으로 침투해 중요정보를 빼갈 수 있다. VM이 운영되고 있는 실제 호스트와 데이터 저장된 하드웨어를 파악하지 못하면 데이터와 서비스에 대한 보안정책을 적용하기 어렵다.
SDN으로 클라우드 보안·관리 효율성 높여
소프트웨어 정의 네트워크(SDN)를 이용하면 클라우드 데이터센터를 전통적인 물리적 데이터센터보다 안전하게 보호할 수 있다. 컨트롤 플레인에서 보안 정책을 정의하고 데이터 플레인에서 해당 정책을 수행하면 전 세계에 흩어진 클라우드 서비스에 동일하게 보안정책이 적용될 수 있다. 악성코드에 감염된 VM은 삭제하면 간단하게 악성코드를 제거할 수 있으며, VM을 여러벌 복제·동기화하면 장애·재해시에도 비즈니스 연속성을 보장할 수 있다.
레드비씨 연구센터장인 김상철 전무는 “클라우드 발전법에 따라 다양한 클라우드 서비스가 나타날 것으로 예측되며, 보안 측면에서도 기존 IT 보안과 다른 형태의 보안 기술·제품이 등장할 것으로 보인다”며 “특히 대국민 서비스에 대한 클라우드 보안과 공공기관의 스마트 워크 환경을 위한 보안 대책이 조속히 마련돼야 할 것”이라고 말했다.
클라우드 보안에 대한 우려는 이미 오래 전부터 제기돼 온 것이며, 꾸준한 기술개발을 통해 중요도 높은 비즈니스에도 적용할 수 있을만큼 안정화됐다. 그럼에도 불구하고 클라우드 보안에 대한 우려를 제기하는 것은 클라우드 관리가 어렵기 때문이다.
전 세계에 흩어진 클라우드 데이터센터의 물리적인 접근통제 부터 데이터 암호화와 접근제어, 사용자 인증, 네트워크 보안 등 물리적인 데이터센터 보안 기술이 기본적으로 필요하다. 더불어 가상환경에 대한 보안 기술이 추가적으로 요구되며, VM이 이동해도 동일한 수준의 보안을 유지할 수 있는 자동화된 관리도 필수적으로 요구된다.
글로벌 서비스 사업자, G 클라우드 경험 풍부
더불어 서비스를 제공하는 각 국가에서 요구하는 규제를 준수하는 것도 민감한 문제가 될 수 있다. 많은 나라들이 국민의 개인정보나 민감한 정보를 다른나라 데이터센터에 저장하지 못하도록 하고 있다. 이 때문에 글로벌 클라우드 사업자들은 해당 국가의 IDC를 통해 서비스를 제공하고 있으며, 시장 규모가 어느 정도 형성될 경우 해당 국가에 직접 데이터센터를 짓기도 한다.
클라우드 발전법의 세부 시행령을 제정하는 과정에서 ‘각 나라의 규제’에 대한 논의가 활발하게 진행되고 있다. 글로벌 클라우드 사업자들은 수많은 국가의 정부 클라우드(G-Cloud) 서비스를 제공하면서 해당 국가의 규제 준수 요건을 만족시킬 수 있도록 서비스를 개선해왔다.
글로벌 서비스 사업자들이 해외 지클라우드 사업 경험을 앞세워 국내 시장에 진출한다면 이와 관련된 경험이 없는 국내 기업들은 경쟁력이 크게 악화될 것이라는 우려가 나오고 있다. 클라우드 발전법에서 국내 사업자들이 서비스를 안정적으로 공급해 경쟁력을 키울 수 있을 때 까지는 정부가 보호하고 지원하도록 정책을 마련해야 한다는 주장이다.
공개적으로 토종산업 보호를 위한 규제를 제정하면 WTO에 제소되는 등 국제적인 문제가 발생할 수 있다. 따라서 국내 특수한 상황을 감안한 보안 가이드라인과 인증이 시급히 마련돼야 한다는 주장도 부상하고 있다.
정부, 클라우드 보안인증 마련
클라우드 관련 규제와 인증은 다른 나라에서도 마련해서 의무화하고 있다. 국제적인 정보보안 표준으로 ISO 27001/27002/27018이 있으며, PCI-DSS, HIPPA 등 신용카드와 의료정보 보호 관련 컴플라이언스가 있다. 미국연방준비제도(FED)는 클라우드 제품과 서비스에 대한 보안 평가, 허가와 지속적인 모니터링을 위한 표준화된 접근을 제공하는 ‘FedRAMP’를 준비하도록 했다.
러시아는 자국 국민의 개인정보를 러시아 내에 위치한 서버에 저장하도록 하는 개인정보보호법을 제정하면서 ‘클라우드 상 데이터 현지화’ 이슈를 재점화시켰으며, EU 국가들도 이와 관련된 규정을 만들어 글로벌 클라우드 사업자들이 직접 해당 국가에 데이터센터를 짓거나 IDC를 이용해야 하게 만들고 있다.
윤승원 모니터랩 상무는 “미국, EU, 러시아 등 서방국가 뿐 아니라 싱가포르, 일본 등 아시아 지역에서도 클라우드 보안인증제도를 운영하면서 클라우드 서비스에 대한 규제를 강화하고 있다”며 “적절한 보안인증은 클라우드에 대한 신뢰도를 높여준다”고 말했다.
우리나라에서는 미래부, 국가보안기술연구소, KISA 등과 함께 클라우드 보안인증을 마련하고 있으며, 클라우드 서비스에 대한 품질관리와 보안 정책 강화 등을 통해 서비스의 질적 향상을 마련하고 있다.
