클라우드 안전합니까?②:신뢰를 논하다

클라우드 서비스가 IT화두로 떠오르면서 보안 담당자들은 깊은 시름에 잠겼다. 최근 진화하는 보안위협만으로도 골치 아픈데 클라우드 보안이란 또 하나의 숙제를 떠안게 됐기 때문이다. 국정원, 정부기관, IBM 보안담당자의 정책은 이같은 숙제에 대한 답이다.

퍼블릭이냐 프라이빗이냐를 결정하는 것마저 담당자들에겐 큰 고민이다. 클라우드 보안에 대한 신뢰성을 주기 어렵고, 클라우드 도입 자체가 보안성과 신뢰성에 대한 새로운 도전으로 받아들여지는데, 담당자들은 선택의 기로에 놓였다.

■클라우드 보안 초점, 기술에서 통제로...

화두는 과거와 약간의 차이를 보인다. 과거엔 해킹이나 악성코드, 바이러스 등에 대한 보안기술이 이슈였다면 이제 통제에 초점이 맞춰진다.

윤광택 시만텍코리아 이사는 “기업들이 클라우드 환경으로 가는데 있어 보안이 발목을 잡을 수는 없다고 생각한다”면서 “보안기술이 따라가지 못할 때는 문제가 되겠지만 클라우드 환경에서는 기술이 아니라 퉁제하는 수단이 무엇이냐는 것이 오히려 화두다”고 말했다.

클라우드 서비스를 이용하는 내부 직원들을 어떻게 관리하고 통제하느냐가 보안담당자들의 새로운 숙제가 됐다는 것이다. 이러한 관리와 통제의 이슈는 BYOD(Bring Your Own Device)환경으로 옮겨오면서 더욱 그렇다.

한 대형포털사 보안담당자는 “클라우드 서비스 자체의 안정성과 보안성 뿐 아니라 계정에 대한 보호 수준을 정할 것인지에 대한 고민이 가장 필요하다”라고 밝혔다.

그는 “퍼블릭 클라우드의 경우 보안성은 신뢰할 만한 수준이라고 보지만 이를 이용할 때 업무적 보안성을 요구함에도 내부 직원들이 사적인 저장 공간과 혼용해 데이터에 대한 보호를 보장받을 수 없어 단순히 기술적인 문제만을 고려할 수도 없다”고 설명했다.

주요 기업 보안담당자 대다수는 퍼블릭 클라우드와 프라이빗 클라우드 중 프라이빗 클라우드를 더 신뢰하고 있다. 기업 입장에서 중요 데이터에 대해서는 프라이빗 클라우드나 적어도 가상 프라이빗 클라우드 환경에서 운영하는 것이 보안상 유리한 점이 많다는 것이다.

A금융지주회사 보안 담당자는 “금융권에게는 클라우드 환경에서의 보안도 중요한 이슈지만, 두 클라우드를 놓고 생각하면 회사 정보시스템 정책 등을 적용할 때의 유연성도 고려하지 않을 수 없다”면서 “퍼블릭 클라우드의 경우는 안정성과 가용성 측면에서는 효과가 크지만 커스터마이징에 어려움 때문에 현재 상황에서는 차라리 프라이빗 클라우드가 더 효율적이다”고 말했다.그는 “다양한 장점 때문에 클라우드 환경으로의 이동을 권고받고 있지만 현재 이를 적용하는 작업이 번거롭다는 점과 보안 신뢰성 문제에 대한 불안감 등이 있는 상황에서 대다수 인프라를 갖춘 금융권들이 당장 클라우드 환경으로 옮겨가지는 않을 것”이라고 설명했다.

다만, 보안 담당자들은 기업에 있어 기밀성이 보장될 필요가 없는 데이터나 애플리케이션은 퍼블릭 클라우드 상에서 운영할 수도 있다고 생각했다. 퍼블릭과 프라이빗 클라우드의 중간인 하이브리드 형태로 운영할 경우 데이터를 주고 받는 인터페이스에 대한 보안성은 여전한 고민으로 남아있었다.

■“클라우드 보안은 기술적 문제가 아니다”

그러나 향후 정보시스템 통제 단일화 등의 보안 이점과 모바일 오피스 환경으로의 변화에 따라 클라우드 컴퓨팅은 충분히 매력적이다.

보안업계는 클라우드 서비스에 대해 보안 기술적으로 접근해서는 안된다고 강조한다. 보안기술 측면에서 클라우드 환경이 특별한 기술을 요구하는 것은 아니라는 얘기다.

윤광택 이사는 “환경적 변화로 기업들은 클라우드로 옮겨갈 수밖에 없기 때문에 보안성을 담보하려면 사람과 데이터에 대한 통제와 가시성을 확보하는 것이 중요하다”고 강조했다.

박형근 한국IBM 보안사업부 차장은 “퍼블릿과 프라이빗 클라우드 보안에 대한 문제는 보안투자나 집중도에 달려있다”며 “그런 면에서 프라이빗 클라우드의 보안성이 높지만 운영관리 인력 보안 수준이 집중되어 있지 않다면 전문가들이 관리 운영해주는 퍼블릭 클라우드의 보안성이 더욱 높을 수 있다”라고 말했다.

그는 “클라우드 보안성은 운영하는 조직 인력 보안 수준과 역량에 따라 다르다”라고 덧붙였다.

사실상 보안성보다는 신뢰성과 관리에 대한 문제가 더욱 크다는 것이다. 보안투자나 집중도에 따라 보안성의 척도는 얼마든지 변할 수 있다는 의견이 지배적이다.

이충우 펜타시큐리티 사업기획부 이사는 “기술적인 보안성 차이보다는 서비스 제공자에 대한 신뢰성 문제가 더욱 크다”면서 “법률에 기반한 비밀보장이 이뤄진다면 퍼블릭이나 클라우드 제공자는 동일하게 신뢰를 받을 수 있을 것”이라고 설명했다.

■결국 밥그릇 때문?...각자 환경에 적합한 서비스 도입

보안업계 일각에서는 두 서비스의 보안성 논란에 중심이 주요 사업자들 간 이해관계가 개입되어 있다고 보는 의견도 있다. 하드웨어 사업자가 클라우드 도입으로 서버판매가 줄면서 퍼블릭과 프라이빗의 보안성 논란에 불을 붙였다는 것이다.

익명을 요구한 보안업계 한 관계자는 “하드웨어 사업자들이 서버 판매량을 일정수준 유지하기 위해서는 프라이빗 클라우드로 유도하는 것이 유리하다”면서 “이 때문에 퍼블릭 클라우드 단점을 들어 프라이빗 클라우드의 우수성을 강조하고 있지만, 반대로 퍼블릭 클라우드 사업자들은 반대의 의견을 내놓기도 하면서 논쟁이 끊이지 않고 있다”고 말했다.

클라우드 컴퓨팅의 혜택으로 가장 많이 언급되는 것이 운영비용절감과 업무 효율성 향상이다. 이런 클라우드의 강점을 최대화하려면 퍼블릭 클라우드가 당연히 정답이다. 보안문제로 프라이빗을 고려한다면, 운영비용절감효과의 일정부분을 보안비용이 상쇄한다. 프라이빗 클라우드는 보안비용을 포함한 소규모의 퍼블릭 클라우드라 표현할 수 있다.

프라이빗 클라우드 운영주체가 보안 전문성과 강력한 정책을 유지하지 못할 경우 보안비용은 천문학적으로 증가할 수 있다. 얼마나 보안 전문성을 자신할 수 있느냐가 프라이빗과 퍼블릭 중 하나를 선택하는 기준인 것이다.

전문가들은 각 기업들의 업무 환경을 고려해 서비스를 선택하는 것이 중요하다고 강조했다. 업무 효율성과 보안성 모두를 고려한 서비스 도입이 필요하다는 것이다.

신경아 A3시큐리티 수석 보안컨설턴트는 “퍼블릭 클라우드의 경우는 전문화된 인력, 기술, 24시간 대응 등 서비스 안전성과 가용성 측면에서는 효과가 큰 편이다”며 “다만, 보안 측면이나 회사 정보시스템 정책 등과 맞춰 이용하기는 어렵다”고 말했다.