정부가 클라우드 발전법 시행에 맞춰 클라우드 정보보호 대책을 발표하자 보안업계는 시장 활성화를 위한 기반은 마련됐다고 밝히면서도 실제 투자가 이뤄질지에 대해서는 반신반의하는 모습을 보이고 있다. 그러나 공공시장과 별도로 민간기업에서는 클라우드 도입이 빠르게 늘어나고 있어 클라우드로 서비스되는 보안(SECaaS)에 대한 주목도가 높아지고 있다. 지능형 공격 방어를 위해 전문성이 강화된 클라우드 서비스 도입에 관심이 쏠리고 있는 것이다. 정부의 클라우드 보안 대책이 시장에 미칠 영향을 전망하고, 주목할만한 클라우드 보안 기술 및 서비스를 소개한다.<편집자>

클라우드 가장 큰 걸림돌은 ‘보안’

보안이 클라우드의 가장 큰 걸림돌이라는 점은 우리나라에서만 예민하게 받아들이는 것은 아니다. 시스코의 후원으로 IDC가 진행한 보고서에 따르면 클라우드를 도입한 기업의 대부분이 보안을 우려해 프라이빗 클라우드를 선호하고 있는 것으로 나타났다.

전 세계 17개국에서 클라우드를 구축한 주요 기업 3400여곳을 대상으로 한 이 조사에 따르면, 응답기업의 53%는 클라우드가 향후 2년 내 매출 증대에 도움이 될 것으로 보고 있는 것으로 나타났다. 그러나 최적화된 클라우드 전략을 갖추고 있는 기업은 1%에 불과했으며, 32%는 아예 클라우드 전략을 구축하지 못한 것으로 나타났다.

한국 기업 중 클라우드가 매출에 도움이 될 것이라고 응답한 기업은 59%로 세계 응답률에 비해 다소 높았으나, 최적화된 전략을 갖춘 기업은 없었으며(0%), 39%는 클라우드 전략 자체가 없는 것으로 조사됐다.

정부의 클라우드 발전법과 이를 위한 클라우드 정보보호 대책을 통해 클라우드 도입에 대한 계획과 전략을 수립하고 이행하는 계기가 될 것이라는 기대가 높다. 정부가 클라우드 도입·운영에 대한 세부 지침과 가이드라인을 발표할 예정이라고 밝히고 있어 빠르면 연말 혹은 내년부터 클라우드 전환과 관련된 구체적인 움직임이 나타날 것으로 전망된다.

윤승원 모니터랩 상무는 “정부의 클라우드 시장 육성 방침은 대규모 클라우드 서비스 제공업체 뿐만 아니라 중소규모 클라우드 사업자, 클라우드를 통해 다양한 비즈니스 서비스를 제공하는 기업에게도 새로운 시장의 기회를 주게 될 것”이라며 “또한 클라우드 사업자에 대한 인증 및 정보보호 체계 마련 등 보안관련 컴플라이언스도 강화돼 보안 시장에도 새로운 활로가 나타나게 될 것”이라고 밝혔다.

모니터랩은 웹방화벽, DB 접근제어를 클라우드로 제공하고 있으며, 보안웹게이트웨이(SWG)는 파일럿 형태로 출시했다. 아마존웹서비스(AWS), KT, LG유플러스, 이노그리드를 통해 서비스를 이용할 수 있다.

클라우드 웹방화벽 ‘WIWAF-VE’는 쇼핑몰, 게임, 온라인 매체 등 웹 기반 공격을 많이 받는 기업 다수를 고객으로 확보하고 있으며, 클라우드 서비스를 제공하는 호스팅 기업과 협력을 통해 호스팅 고객들을 대상으로 합리적인 가격의 클라우드 웹방화벽 서비스를 제공하고 있다.

중견규모의 한 식품 프랜차이즈가 운영하고 있는 쇼핑몰 웹사이트는 호스팅 서비스로 웹방화벽을 임대했을 때보다 클라우드 서비스로 이용했을 때 비용이 절반 수준에 불과했으며, 복잡한 커스터마이징이 필요 없이 서비스를 신청하면 바로 사용할 수 있었다. 일주일가량의 운영기간을 거쳐 관리자가 직접 예외 설정을 할 수 있도록 해 운영 효율성도 높였다.

SWG는 클라우드로 이용할 때 가장 효과가 높은 보안 서비스로 지목되고 있는데, 사용자가 웹사이트에 접속할 때 SWG 클라우드를 통해 해당 웹사이트의 안전성을 검증한 후 접속하도록 하는 방식이다.

드라이브 바이 다운로드(DBD)는 공격이 이뤄지는 웹사이트가 시시각각 변하기 때문에 화이트리스트/블랙리스트 방식만으로는 차단이 어렵다. SWG 클라우드에서 방문지 웹사이트의 공격위협 요인을 분석하도록 하면 보다 빠르고 정확하게 웹 공격을 막을 수 있다.

클라우드 정보보호 기업 지원에 ‘촉각’

보안 업체들이 이번 클라우드 정보보호 대책에 관심을 갖는 요인 중 하나가 클라우드 정보보호 기술 기업을 지원한다는 내용을 담고 있기 때문이다. 클라우드는 대규모 가상 인프라를 이용해 비즈니스 서비스를 제공하기 때문에 가상환경에 대한 보호기술이 있어야 한다.

클라우드 데이터센터의 물리적 인프라 활용도를 높일 수 있도록 가상머신(VM)이 유휴 리소스가 많은 호스트로 이동하게 되는데, 이때 보안정책도 함께 이동할 수 있는 자동화된 기술이 포함돼야 한다.

클라우드 데이터센터의 운영을 위해 소프트웨어 정의 네트워크(SDN) 및 소프트웨어 정의 데이터센터(SDDC) 기술이 필수적으로 요구된다. SDN과 SDDC는 클라우드 운영을 자동화하고 보안을 강화해 보다 안전한 클라우드 서비스를 구현할 수 있도록 한다.

국내 대표적인 SDN 기업 나임네트웍스는 국내외 15개 파트너와 함께 고객 맞춤형 데이터센터(COD)를 내년 1월 오픈하고 고객들이 실제 SDN 적용사례를 체험할 수 있도록 할 예정이다.

여기에 포티넷코리아가 협력하고 있으며, 나임네트웍스와 포티넷은 양사 기술을 결합한 별도의 어플라이언스도 제공한다는 계획을 세우고 있다. 이 사업이 성공적으로 진행되면 포티넷 본사와의 협력도 가능할 것으로 예상하고 있으며, 이를 발판으로 해외진출도 꾀할 수 있을 것으로 기대된다.

이처럼 민간부문에서 클라우드와 클라우드 보안 시장을 개척하기 위한 노력이 활발하게 진행되고 있는 상황에서 정부도 클라우드 정보보호 핵심기술에 적극적인 투자를 진행하겠다고 밝히고 있어 시장에 긍정적인 신호가 되고 있는 것으로 전망된다.

미래부 클라우드 정보보호 대책에서 밝힌 클라우드 정보보호 핵심기술 투자 방안에는 클라우드에 대한 사이버 공격에 실시간 대응하고 안전한 서비스가 제공될 수 있도록 ▲단말보안 ▲네트워크 보안 ▲서비스 보안 ▲보안정책 및 감사 등 4가지 기술에 집중투자한다는 내용이 담겨있다.

또한 클라우드에 적용할 수 있는 우수기술에 대한 적용을 확산하기 위해 시범사업과 실증사업을 진행한다. 대표적인 예로 ▲클라우드 보안성을 향상시키는 가상화 솔루션 데크스톱 가상화(VDI) ▲네트워크 은닉기술 TIPN(Trusted IP Network)과 같은 네트워크 가상화를 활용해 보안성을 강화하는 기술 등이 포함된다.