외국 뿐만 아니라 국내 기업들도 이제 어떤 식으로든 클라우드 서비스가 필요하다는 점에는 대부분 동의한다. IT 관련 서버, 네트워크 장비 등 인프라에 대한 초기 투자비용을 줄이면서 필요에 따라 쓴 만큼만 비용을 지불하면되고, 상황에 따라 유연하게 솔루션을 운영할 수 있기 때문이다.
이 같은 클라우드의 장점에 공감하면서도 선뜻 도입을 꺼리는 가장 큰 이유 중 하나는 보안 문제다. 클라우드로 갔다가 해킹 당하면 초대형 사고로 번지는 것 아니냐는 우려가 나온다. 흥미로운 점은 최근에는 정반대로 클라우드로 가기만 하면 오히려 안전하다는 목소리도 나온다.
어떤 게 맞는 말일까?
■클라우드 도입, 이제는 시기의 문제
4일 국내에서는 가장 빠르게 클라우드 원격보안관제, 보안컨설팅 서비스를 시작한 안랩 서비스사업부 총괄 방인구 상무를 경기도 판교 안랩 사옥에서 만났다.
안랩은 지난해 1월 아마존웹서비스(AWS) 고객기업들을 대상으로 한 원격보안관제서비스를 내놓고, 같은 해 11월 마이크로소프트 애저, 올해 8월에는 IBM 클라우드 고객을 위한 원격보안관제서비스를 시작했다.
이와 함께 지난 3월 한국인터넷진흥원(KISA)이 주관한 클라우드 실증환경 보안서비스 위협점검 및 보안컨설팅 지원 사업을 수주해 클라우드 서비스를 검토 중인 기업들을 대상으로 보안컨설팅을 진행 중이다.
방 상무는 "이제 기업들이 클라우드 도입 결정을 내리는 것은 시기의 문제가 됐다"며 "언젠가는 갈 것인데 조금씩 도입할 것인가 아니면 전부 도입할 것인가 등 어떻게 갈 것이냐를 고민하는 단계에 왔다"고 밝혔다.
대기업은 물론 쿠팡 등을 포함한 주요 전자상거래 기업들에 더해 모바일/온라인 게임회사, 숙박앱 등을 운영하는 야놀자, 여기어때 등 O2O 기업들도 클라우드 서비스에 공을 들이는 중이다.
주로 서버나 트래픽을 예측하기 쉽지 않은 게임회사나 온라인쇼핑몰 사업자들이 클라우드 서비스 도입의 효과를 가장 많이 보고 있다는 설명이다.
■기본 제공 보안으로 안전하다 VS 아직 못 믿겠다
AWS, 마이크로소프트 애저, IBM 클라우드 등을 포함한 퍼블릭 클라우드 사업자들은 기본적으로 자사 서비스 이용 고객들을 위해 인프라에 대한 보안을 제공한다. 분산서비스거부(DDoS) 등 공격에 대비한 방화벽 등이 그것이다.
기업들 입장에서는 당장 클라우드를 도입하면 기본적인 보안 서비스를 제공받을 수 있다고 생각한다. 틀린 말은 아니지만 그렇다고 높은 수준의 안전을 보장하기 힘든 것도 사실이다.
방 상무에 따르면 주요 퍼블릭 클라우드 사업자들은 마켓플레이스를 제공한다. 이곳에는 국내외를 포함한 보안 기업들이 클라우드 서비스 전용 웹방화벽, IPS, 키 관리, 백신, 웹쉘 탐지 및 대응 솔루션 등을 올라와 있다.
기업고객들은 앱스토어에서 앱을 다운로드 받듯이 필요한 보안 솔루션을 자사가 이용하는 클라우드 서비스에 붙여서 활용할 수 있다.
방 상무는 "클라우드로 전환을 꺼리는 이유 중 보안문제가 1위, 2위를 다투는데 이는 클라우드로 갔을 때 보안을 어떻게 할 지에 대해 깊이 검토하지 않아서 생기는 우려"라고 설명했다.
■클라우드 보안, 이분법 벗어나 깊은 고민 녹여내야
그는 클라우드 서비스와 기업 자체적으로 서버를 구축하고 소프트웨어와 보안장비 등을 도입하는 온프레미스에서 발생하는 보안 사고를 비행기 사고와 자동차 사고에 비유했다.
클라우드 서비스의 경우 비행기 추락사고처럼 웬만해서는 사고가 발생하지 않지만 한번 터지면 크게 문제가 된다. 이와 달리 온프레미스는 수시로 외부공격이 발생하고 잦은 사건사고가 발생하지만 대형사고가 발생할 가능성은 비행기에 비해 상대적으로 적은 편이다.
대형 사고가 발생할 가능성이 적다고 해서 보안에 덜 신경써도 된다는 뜻은 아니다. 보안에 그만큼 투자하기 때문에 상대적으로 사고가 덜 난다는 말이 더 맞기 때문이다. 방 상무는 클라우드 도입을 검토하면서 기본 보안은 되겠지, 불안해서 못 믿겠다는 상반된 시각에서 벗어나 보다 깊은 고민이 필요하다고 강조한다.
기업들이 클라우드 서비스를 도입했을 때 자사 자산을 안전하게 지키면서 해킹 사고에 어떻게 대응해야할지, 각종 컴플라이언스를 준수하면서도 내부 보안정책을 어떻게 세워야할지 등에 대해 전반적인 고민이 필요하다는 설명이다.
클라우드 서비스에서는 이전 온프레미스에 비해 보안 기능을 붙이기가 쉽다. 웹방화벽을 직접 고객사가 관리하는 데이터센터로 가져가서 설치하고 테스트하는 등 과정을 거칠 필요가 없기 때문이다. 클라우드 서비스 내에서 특정 보안 기능을 구매해 적용하는 과정이 클릭 몇 번만 하면 적용된다.
그러나 이 같은 보안 기능을 붙인다고 해서 모든 문제가 해결되는 것은 아니다. 중요한 자산을 클라우드에서 관리할수록 실시간으로 이상징후를 보고 대응할 수 있는 보안관제 역량도 필요하다.
이를 위해 과거처럼 고객사에서 직접 파견나가 보안관제 업무를 수행할 필요가 없어졌지만 온프레미스와는 다른 클라우드 서비스와 관련 보안서비스에 대한 높은 수준의 전문성이 요구된다.
안랩의 경우 국내 보안업체 중에서는 처음으로 AWS 어드밴스드 테크니컬 파트너로 지정됐다는 점을 강조한다. AWS는 자사가 요구하는 자격증을 가진 인력들을 보유하고 있으면서 실적이 좋고, 고객 불만 처리 등 지표를 종합적으로 보고 파트너를 선정한다.
이에 더해 기업으로부터 로그를 받아 24시간 보안관제를 진행한다.
아직 국내 클라우드 보안 시장은 초기 단계에 있다. 클라우드 서비스 사업자들은 서비스를 판매하면서 기본 보안을 지원된다는 점을 강조하는 것에 더해 클라우드 서비스와 이에 대해 기업이 마련해야하는 새로운 보안대책이 하나의 패키지로 여겨지지 않고 있는 현실도 한 몫했다.
관련기사
- MS, 아마존클라우드 연동 툴 직접 소개…이유는2017.09.05
- 피앤피시큐어 "DB보안, 해외 나가야 성장한다"2017.09.05
- "클라우드는 IT비즈니스의 실크로드다"2017.09.05
- 탈레스, 멀티클라우드 데이터 보호 솔루션 출시2017.09.05
때문에 방 상무는 "클라우드 서비스를 이용하면서 왜 보안관제가 필요한지를 설명하는데 여전히 많은 시간을 들이고 있다"고 말했다.
클라우드 서비스에 보안관제를 적용을 검토하는 것과 함께 필요한 내부 보안정책을 마련하고, 컴플라이언스를 준수하는 등 클라우드에 필요한 보안을 이해하고, 이를 주도면밀하게 준비하는 기업들이 등장하기 시작할 때 클라우드 서비스를 제대로 보급될 수 있을 것으로 예상된다.
