정부가 클라우드 발전법 시행에 맞춰 클라우드 정보보호 대책을 발표하자 보안업계는 시장 활성화를 위한 기반은 마련됐다고 밝히면서도 실제 투자가 이뤄질지에 대해서는 반신반의하는 모습을 보이고 있다. 그러나 공공시장과 별도로 민간기업에서는 클라우드 도입이 빠르게 늘어나고 있어 클라우드로 서비스되는 보안(SECaaS)에 대한 주목도가 높아지고 있다. 지능형 공격 방어를 위해 전문성이 강화된 클라우드 서비스 도입에 관심이 쏠리고 있는 것이다. 정부의 클라우드 보안 대책이 시장에 미칠 영향을 전망하고, 주목할만한 클라우드 보안 기술 및 서비스를 소개한다.<편집자>
외산 기업, 국내 클라우드 시장 진출 기회 얻을까
클라우드 발전법과 정보보호 대책이 토종 기업에게만 희소식은 아니다. 글로벌 클라우드 서비스 기업들도 정부의 전향적인 대책을 환영하면서 시장 진입 채비를 서두르고 있다. 특히 최근 정부가 국내용 규제를 완화하면서 외산 솔루션에 대한 높은 장벽을 허물고 토종 솔루션과 경쟁할 수 있는 구도를 만들고 있어 외산 솔루션이 정부·공공 영역까지 진출할 수 있을지 주목된다.
조현제 포티넷코리아 사장은 “국내 클라우드 시장이 전향적인 발전방향을 발표하고 있어 글로벌 기업들도 이 시장에 주목하고 있다. 클라우드 서비스 사업자들이 강화된 클라우드 정보보호 대책에 맞춰 보안 시스템을 정비할 때, 그리고 클라우드 사용자들이 보다 신뢰도 높은 서비스를 선택할 때, 국내기업의 서비스와 솔루션만을 고려하지는 않을 것”이라며 “기술의 성숙도와 안정성, 지속가능성 등을 중점적으로 살펴보는 시장 구도가 형성될 것으로 기대한다”고 말했다.
공공시장에서 클라우드 도입이 활발하게 전개되면 자연스럽게 금융과 일반 기업 시장에도 클라우드가 확산될 것이라는 기대가 있어 글로벌 보안 기업들이 더욱 촉각을 곤두세우고 있다. 지금까지 국내 IT 시장은 공공분야에서 시장을 열고, 금융권이 뒤따라 간 후 일반기업 시장이 열리는 패턴을 보여왔으므로 클라우드 역시 같은 순서를 보이게 될 것이라는 예측이 나오고 있는 것이다.
선진국의 정부·공공기관은 물론이고 금융기관들도 클라우드를 이용해 금융서비스를 제공하고 있는 사례가 얼마든지 있다. 클라우드 서비스가 보장하는 SLA에 맞는 수준의 비즈니스는 클라우드를 이용하는 것이 비용과 업무를 절감시키며 서비스 안정성을 높일 수 있는 방법이라는 사실을 충분히 이해하고 있기 때문이다.
손부한 아카마이코리아 대표는 “기밀 정보를 다루는 정보기관도 아마존웹서비스(AWS)와 같은 퍼블릭 클라우드를 사용하고 있으며, 금융기관은 인터넷뱅킹 등 전자금융 서비스를 클라우드를 이용하고 있다”며 “오랜 기간 동안 클라우드의 안전성과 보안성이 입증된 만큼, 국내에서도 클라우드에 대한 우려를 해소하고 클라우드 도입 전환에 속도를 내게 될 것”이라고 말했다.
“SECaaS, 침체된 보안시장에 생기 불어넣을 것”
클라우드 보안은 클라우드 서비스를 보호하는 분야와 클라우드로 보안 서비스를 제공하는 분야로 나누어 생각할 수 있다.
클라우드 서비스 보호 분야는 클라우드를 제공하는 인프라와 서비스 제공 구간을 보호하는 기술을 들 수 있으며, 물리·가상환경의 데이터센터 보안, 서비스 전공구간의 보안, 서비스를 이용하는 단말에 대한 보안, 보안정책 수립 및 준수, 감사 등이 속하게 된다.
클라우드 보안 서비스(SECaaS: Security-as-a-Service)는 기존의 보안 솔루션을 클라우드 기반 서비스 형태로 제공하는 방법을 말하며, 최근 지능형 사이버 공격이 성행하면서 더욱 주목받기 시작했다.
손부한 대표는 “보안은 서비스 형태로 이용하는 것이 합리적이다. 최근 사이버 공격은 매우 지능화되고 정교해지고 있기 때문에 기업 내에 구축한 보안 솔루션만으로는 실시간으로 변하는 지능형 공격을 막을 수 없다. 보안 전문기업이 제공하는 서비스를 이용해 최신 공격과 장기간 은밀하게 진행되는 공격을 막을 수 있다”고 말했다.
대부분 보안시스템은 하드웨어 장비 5년, 소프트웨어 2~3년 주기로 교체되며, 안정성을 위해 일부는 이중화(HA) 구성을 해 비용이 많이 든다. 최신 보안위협 정보는 정기 혹은 수시로 패치를 배포해 차단하지만, 새로운 취약점 공격이 등장하고 이를 발견해 패치를 통해 차단하는 기간 동안 진행되는 제로데이 공격은 막을 수 있는 방법이 없다.
APT 공격을 당한 일부 기업들은 취약점 공격으로 정보가 빠져나가는 상황을 알고 있으면서도 패치가 이뤄지지 않아 속수무책으로 지켜볼 수 밖에 없었던 경험을 밝히기도 한다.
SECaaS는 클라우드 방식으로 하드웨어와 소프트웨어 구축·운영비용이 들지 않아 저렴하고 관리가 편리하며, 최신 사이버 공격 정보가 실시간으로 업데이트되기 때문에 지능형 공격 차단에 효과적이다.
손부한 대표는 “우리나라는 IT에 대한 소유욕이 강하기 때문에 클라우드 전환은 선진국에 비해 상당히 느린 편이다. 특히 보안은 위협정보를 외부와 공유하는 것에 대한 거부감이 커 SECaaS 사용을 꺼리는 실정”이라고 말했다.
그러나 그는 “최근 일반 기업을 중심으로 클라우드 도입사례가 늘어나면서 안정성과 효율성이 입증되고 있으며, 보안 서비스에 대해서도 이전과는 다르게 긍정적인 반응을 보이고 있다. 공공분야에서 보안이 강화된 클라우드 서비스를 이용하게 된다면 금융기관과 일반 기업들에서도 도입 움직임이 본격화 될 것”이라고 내다봤다.
