"클라우드 보안, CISO-CPO 겸직 바람직하지 않다"

국내서도 클라우드컴퓨팅 발전법 등이 시행되면서 기업들이 그동안 자사에서만 관리해 왔던 서비스나 자원을 클라우드로 이전하는 작업에 보다 적극적인 관심을 보이고 있다.

그러나 여전히 기업 내부에서 클라우드 서비스를 도입할 때 어떤 보안전략을 수립해야할지, 클라우드 서비스 사업자들이 어떤 보안노력을 기울이고 있는지 등에 대해서는 모르는 경우가 많다.

이미 클라우드 서비스 사업자들은 일반적인 데이터센터 환경보다 훨씬 강력한 보안정책과 솔루션을 도입하면서 보안우려를 줄이기 위해 노력하는 중이다. 때문에 지금 시점에서는 기업 내부에서 클라우드 서비스를 도입할 준비가 됐는지를 점검해보는 일이 클라우드 서비스 자체에 대한 보안성을 검토하는 것 만큼 중요해졌다.

■CISO-CPO 겸직해도되나 따로 둬야하나

24일 서울 서초동에서 테크앤로가 주관하고, 한국마이크로소프트가 후원한 클라우드 컴퓨팅 시대에 필요한 보안 관련 세미나에서 구태언 테크앤로 대표 변호사는 "클라우드 서비스를 도입하는 기업들이 기본적으로 C레벨의 역할을 명확하게 구분할 수 있어야 한다"고 강조했다.

정보통신망법, 개인정보보호법 등에 따라 주요 대기업 및 금융사들은 이전까지 IT부문 관리를 담당해왔던 최고정보책임자(CIO) 외에 정보보호최고책임자(CISO), 개인정보관리책임자(CPO)에게 각각 권한을 부여해 서로 독립적으로 업무를 수행하도록 하고 있다. 그러나 현실에서는 CIO가 CISO나 CPO 역할까지 겸직하는 경우도 흔치 않게 목격된다. 금융권에서는 총 자산 2조원 이상, 종업원수 300명 이상이면 CIO와 CISO 겸직을 금지하고 있으나 대부분 기업들이 여전히 최고경영자(CEO)자나 최고재무책임자(CFO)를 제외한 다른 C레벨에 대해서는 명확한 경계를 두지 않는 경우가 많다.

구 변호사에 따르면 CISO와 CPO는 업무 성격이 엄연히 다르다. CISO가 외부 해킹이나 내부 협력업체 등을 통한 정보유출 등을 방지하며 정보자산을 보호하는 역할을 한다면 CPO는 말 그대로 임직원 및 고객들의 개인정보를 수집, 이용, 제공, 파기하는 등 라이프 사이클을 관리하는 책임자 역할을 한다.

기업들이 클라우드 도입을 검토하고 있다면 이러한 서비스 운영을 책임질 수 있는 각자의 역할구분을 명확히 하고, 서로 협업할 수 있는 방안을 마련해야한다는 것이 구 변호사의 주장이다.

먼저 클라우드 서비스 도입시 CIO는 IT자원을 효율적으로 운영하는데 어떤 도움을 줄 수 있는지를 판단해야 한다. 보안측면에서 CISO는 정보보호취약점 분석, 평가, 개선책을 마련하고 침해사고예방책을 마련하는 역할을 맡아야 한다. 주요 정보를 암호화 할 수 있을지, 보안서버를 도입할 여부를 검토하는 것도 CISO의 몫이다.

CPO는 국내서 시행되는 클라우드 서비스가 위수탁인지, 제3자 제공인지 여부를 판단해야한다. 제3자 제공이라면 반드시 개인정보에 대한 사용자의 사전이용동의를 받아야하며, 인프라(IaaS) 형태로 클라우드 서비스를 활용한다고하더라도 개인정보가 해외 서버에 저장되느냐 여부에 따라 사용자의 동의를 받아야하는 등의 규제에 발목잡힐 수 있기 때문이다. 최고법률책임자(CLO)의 경우에는 클라우드 서비스 도입시 법적 의무사항을 확인하고, 정보유출 등 사고가 발생했을 때 법정손해배상, 징벌적 손해배상 가능성에 대해 검토하고 대비책을 마련해야 한다.

구 변호사는 "각각의 역할과 책임이 서로 다른 만큼 기업 내부 사정에 맞게 협업방향을 결정할 필요가 있다"고 강조했다. 예를들어 CISO가 CPO를 겸직하게 되면 개인정보보호와 정보자산보호를 하나의 리더십을 통해 효율적으로 대응할 수 있지만 개인정보보호 관련 정책 전문성과 보안기술전문성을 겸비한 책임자를 구하기 어렵다는 점이 한계다. 두 가지 역할을 서로 분리하면 보다 명확하게 책임소재를 따질 수 있고 전문성을 확보할 수 있지만 IT조직 내 같은 안건에 대해 리더십이 충돌하는 문제가 발생할 수도 있다.

때문에 각 전문가의 역할을 명확히 이해하고 해당 기업에 맞게 이러한 역할들을 통합할 것인지, 분산할 것인지에 대해 구체적인 계획을 서야 클라우드 서비스 도입을 둘러싼 보안 우려에 대한 리더십을 확보할 수 있게 된다는 설명이다.

■MS 애저로 본 클라우드 보안 현황은...

그럼에도 불구하고, 여전히 보안성을 믿을 수 있는가에 대한 우려에 대해 믿기 어렵다는 담당자들이 있을 수도 있다. 이날 세미나에서 마이크로소프트(MS) 아태지역 디지털범죄방지단(DCU)을 맡고 있는 케샤브 다카드 디렉터는 "마이크로소프트 애저의 경우 고객이 직접 데이터에 대한 주도권을 가질 수 있다"며 "클라우드 서비스에 활용되는 데이터라고 할지라도 고객이 직접 소유하고, 제어할 수 있다는 점에는 변함이 없다"고 강조했다.

MS가 제공하는 애저는 일종의 인프라(IaaS) 형태로 클라우드 서비스를 제공한다. 이 회사가 제공하는 오피스365 등은 SaaS 형태의 서비스다. 이 회사는 클라우드 보호를 위해 기본적으로 물리적인 데이터센터에 대한 24시간 모니터링을 제공하는 것과 함께 백신 기능, 중앙화된 알람, 침투테스트, 보안업데이트, 방화벽 등을 통해 해당 자원을 보호하고 있다고 설명했다. 액티브디렉토리를 통해 계정에 대한 권한을 관리할 수 있게 하고, 외부로 전송되는 내용들 또한 암호화 기능을 적용한다.

다카드 디렉터는 아마존웹서비스(AWS)와 마찬가지로 공유된 책임(shared responsibility)의 중요성에 대해서도 설명했다. 클라우드 서비스에서 보안사고가 발생했을 때 온전히 클라우드 서비스 사업자와 실제 기업, 개인 등 사용자들 사이에 책임을 분담해야한다는 것이다. 기업 내 데이터센터를 구축하거나 내부 인프라를 활용하는 온프레미스 환경에서는 모든 책임이 기업에 있다.

그러나 IaaS와 같이 클라우드 기반 컴퓨팅 자원만 활용하는 경우라면 기업, 개인들은 애플리케이션, 데이터, 런타임, 미들웨어에 대해서만 책임을 져야하고 나머지 운영체제(OS), 가상화, 서버, 스토리지, 네트워킹 등에 대해서는 클라우드 서비스 사업자가 책임을 져야한다는 것이다. 이밖에 PaaS, SaaS 형태의 서비스는 온전히 해당 서비스를 제공하는 사업자가 모든 책임을 진다.