8일 TTA 주최로 열린 ‘클라우드 컴퓨팅 적용 시나리오 및 잠재적 기술요소 세미나’에서 박춘식 서울여대 교수는 ‘데이터 클라우드와 보안’이라는 주제로 강연을 마쳤다.

이날 강연에서 박춘식 교수는 향후 클라우드 컴퓨팅 환경에서 데이터나 시스템의 통제권한이 상실될 수 있다는 우려를 내비쳤다. 대형 클라우드 서비스 공급자의 데이터센터의 위치가 여러 나라에 분산돼 있지만 관련 법률이 정리돼 있지 않아 사용자의 데이터 보안을 보장받기 힘들 수 있다는 주장이다. 보안뉴스에서는 박춘식 교수를 만나 좀더 자세한 내용을 들어봤다.

- 국내 클라우드 컴퓨팅 상황은 어떤지?

국내의 경우 대기업에서 관심을 가지고 초기 사업전략을 수립하고 있는 단계라고 볼 수 있다. 그러나 안타까운 일은 다양한 서비스 모델을 창출하기보다는 사설 클라우드(Private Cloud)에 집중하고 있다는 것이라고 볼 수 있다. 클라우드 컴퓨팅은 가상화나 그리드 기술을 이용한 효율적인 컴퓨팅 자원 활용도 큰 장점이지만 소프트웨어와 같은 애플리케이션이 서비스 개념으로 제공되는 장점도 있다. 하지만 인프라 쪽은 대부분 많은 외국 기업들이 주도적으로 하고 있어  소프트웨어 쪽이 크게 성장할 수 있는 기회라고 볼 수 있다.

- 클라우드 컴퓨팅 서비스에서는 어떤 보안이슈가 있는지?

일단 클라우드 컴퓨팅이 가상화 기술을 많이 이용하고 있기 때문에 가상화 기술에서 보안 허점이 없어야 하지만 최근 외국의 많은 보고서에서는 가상화의 보안 허점을 지적하고 있다. 가상화는 분산된 컴퓨팅 자원을 논리적으로 하나로 묶어주거나 분산시켜주는 기술이다. 그렇기 때문에 가상화 기술에서 보안 문제가 발생하면 그만큼 큰 문제로 확산될 수 있다. 가령 가상화 허점을 이용해 침투한 하나의 악성코드가 가상화로 연결된 모든 컴퓨팅 자원에 확산될 수도 있다.

가상화 문제 외에도 데이터관리에서 통제 권한을 상실할 수도 있다. 한 예로 구글과 같은 대형 서비스 기업에 클라우드 컴퓨팅을 이용하고 있다면 모든 데이터가 그 기업에 저장되게 된다. 문제는 그 기업이 내 데이터를 어떻게 이용할지 완벽한 신뢰를 갖기 힘들다는 것이다. 물론 일부 국가에서는 스스로 데이터 관리를 위한 컴플라이언스가 존재하긴 하지만, 정보를 저장하고 있는 데이터센터는 법적인 통제가 없는 여러 국가에도 위치하고 있기 때문에 문제가 될 수 있다. 

- 표준화 문제도 보안과 직결될 수 있다고 들었는데.

현재 클라우드 컴퓨팅은 일부 주요업체를 통해 진행되고 있다. 물론 대형 벤더들도 많이 포함돼 있어 점차 안정화가 될 수 있지만, 문제는 각 벤더가 각자 자체 개발한 플랫폼을 제공하고 있어 타 사업자로 전환이 어렵다. 이는 클라우드 컴퓨팅에 대한 국제적인 표준이 뚜렷하게 드러나지 않고 있어 그렇다. 이런 문제는 특정 업체에 종속될 수 있다는 우려를 나타낼 수 있다. 특정 업체에 종속된다는 것은, 앞서 말한 것처럼 법률적인 문제가 해결되지 않는 이상 데이터에 대한 통제권한을 특정 업체에게 넘겨줄 수도 있다는 우려로 번질 수 있다.

- 클라우드 컴퓨팅 보안에 대한 법적인 이슈은?

아직까지 클라우드 컴퓨팅에 대한 법률은 따로 없다고 봐야한다. 하지만 새로 만든다는 것도 여러 가지 문제점을 나타낼 수 있다. 법은 한번 만들면 고치기 힘들기 때문에 클라우드 컴퓨팅 트렌드가 어떻게 흘러갈지 여측할 수 없는 상황에서 관련법을 따로 만드는 것은 쉽지 않을 것 같다. 오히려 기존 법을 어떻게 클라우드에 적용할 수 있을지 다양한 각도에서 고려하는 것이 더 효율적이라고 생각한다. 더 나아가서는 클라우드 컴퓨팅 서비스과 관련된 국제적인 규제를 통해 데이터와 시스템 권한의 보호를 받을 수 있도록 해야할 것으로 보인다.