• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

IT의 새로운 화두, 클라우드 컴퓨팅과 보안 2009.11.16

비용절감과 업무 효율성 향상에 기여

선결돼야 할 과제 ‘보안’

서비스 활성화 되기 위해 법 규정 필요

 

현재 ‘클라우드 컴퓨팅’은 국내ㆍ외 IT업 전반에 걸쳐 주요 화두가 되고 있다. 클라우드 컴퓨팅은 분산된 서버나 스토리지, 네트워크와 같은 인프라 자원과 PC나 모바일 기기 등의 디바이스 자원들을 가상화나 그리드컴퓨팅 기술 등을 이용해 각 자원간의 구분을 없애고 언제 어디서나 효율적인 서비스를 이용할 수 있도록 하는 기술과 서비스 모델을 일컫는다. 클라우드 컴퓨팅은 비용 절감과 업무 효율성 향상 등의 많은 장점이 있는 반면 풀어나가야 할 과제 역시 산적해 있다. 그 중 최대 이슈는 바로 ‘보안’이다.


클라우드 컴퓨팅은 비용절감과 업무 효율성 향상 등의 많은 장점 때문에 기업들로부터 차세대 성장동력이라고 거론되고 있다. 우선 기업이나 기관 등 엔터프라이즈 환경에서 IT인프라를 확충하는데 드는 시간이나 비용을 크게 줄일 수 있을 뿐 아니라, 플랫폼이나 애플리케이션을 도입해 구축하는 데 있어서도 많은 비용을 절감할 수 있다. 그리고 내부 전문인력에 대한 업무배치도 분산된 기존 시스템 환경 보다 효율적으로 관리할 수 있고 유지보수 비용도 줄일 수 있다.

 

사용자 역시 애플리케이션이 네트워크 상에서 동작하기 때문에 장소에 구애 받지 않고 필요한 애플리케이션을 이용할 수 있을 뿐 아니라, 데스크탑 이용에 있어서 프로세싱 파워나 하드 디스크 공간에 구애 받지 않아도 된다. 또한 소프트웨어 라이선스도 이용한 만큼만 지불하면 되기 때문에 비용을 절감할 수 있다.

 

한국과학기술정보연구원(KISTI)의 이상동 박사는 “클라우드 컴퓨팅은 비용을 절감할 수 있으며 단순해진 IT환경을 이용할 수 있고 다양한 서비스 모델을 찾을 수 있다”며 “클라우드 서비스를 통해 비즈니스도 변화하고 있다”고 말했다.

 

최근 굴지의 IT 업체들이 클라우드 컴퓨팅을 이용한 서비스 제공을 준비하고 있는 것도 이런 맥락에서다. 지난달 삼성SDS는 북미 기업들을 대상으로 이르면 올해 11월부터 모바일 클라우드 시범 서비스를 시작할 계획이고, 오는 2012년까지 총 300만명 수준의 모바일 클라우드 서비스 가입자를 확보할 것이라고 발표했다.

 

이 시스템 개발을 위해 현재 삼성SDS는 사이베이스, SAP, 오라클, 시만텍 등의 글로벌 기업과 전략적 파트너십을 맺고 시스템 공동 개발과 공동 사업 진행을 추진하고 있다.


‘보안’과 ‘안정성’, 보완ㆍ강화돼야

그러나 한편으로는 클라우드 컴퓨팅 환경에 대해 장밋빛 전망만 내놓는 것은 아니다. 바로 클라우드 컴퓨팅의 아킬레스건이 될 수 있는 ‘보안’과 ‘안정성’ 문제에 논란이 존재하고 있기 때문이다.

 

특히 업계 전문가들이 우려하는 점은 ‘보안’ 이다. 클라우드 컴퓨팅이 다중공유를 이용하는 만큼 이를 겨냥한 악성코드나 외부 공격에 대비해야 한다는 것이다. 데이터가 자신의 PC가 아닌 서비스 업체의 데이터센터에 저장되기 때문에 만약 해킹을 당한다면 데이터가 모두 손실될 수 있기 때문이다.

 

사용자 인증과 접근 제어가 기술적으로 올바르게 이뤄져야 하며 데이터의 무결성 검증, 가용성 및 복구성, 네트워크 보안, 보안 정책 관리 등의 솔루션이 갖춰져야 한다.

물론 클라우드 컴퓨팅 구현이 보안에 이점이 있을 수 있다는 의견도 있다. IBM 박형근 차장은 “클라우드 컴퓨팅에서는 기본적으로 보안 인프라구축이 필요하기 때문에 이를 통한 보다 강력한 보안 구축도 가능하다”며 “특히 데이터 분산이 이뤄지고 있으며 전담 보안팀이 할당되고 보안 인프라스트럭처에 대한 투자가 크게 이뤄질 것으로 보고 있다”고 강조했다.

 

그러나 클라우드 컴퓨팅 서비스를 준비하고 있는 많은 기업들이 보안 강화를 시키고 있지만 정작 중요한 정보를 관리하는데 있어서는 클라우드 도입을 주저하고 있는 실정이다. 클라우드 컴퓨팅 컴플라이언스 이슈가 완벽하게 해결되지 않은 상황에서 중요한 정보를 관리하고 보관하는 일을 외부 업체에 의존한다는 것 자체가 큰 리스크라고 생각하기 때문이다. 이러한 이유로 많은 기업이 중요한 정보에 대한 접근성을 가지는 클라우드 웹 애플리케이션의 도입을 주저하고 있는 것이다.

 

‘안정성’ 역시 고려돼야 할 점이다. 예를 들어 최근 구글의 클라우드 기반 서비스인 검색부터 구글 뉴스, 구글 앱스 등이 불통되는 사고가 올 해 몇 차례 일어나 이용자들이 많은 불편을 겪었다. 이는 단순히 개인의 문제만이 아니라 비즈니스 차원에서도 막대한 손실이다.

 

지난 달 마이크로소프트(MS)의 자회사가 모바일 운영체제를 관리하는 스마트폰 ‘사이드킥’에서 대규모 데이터를 손실하는 사고가 발생한 일이 있다. MS는 사이드킥을 통해 주소록과 일정표, 사진 등 각종 데이터를 단말기 자체 대신 인터넷에 연결된 서버에 저장해 기기가 바뀌어도 언제든 데이터를 볼 수 있는 클라우드 컴퓨팅 기능을 제공해 왔었다.

 

클라우드 내 가상 운영체제 장애나 하이퍼바이저 패치 등으로 인한 대형 운행 정지에 대한 가능성을 살펴 서비스 구현 시 고려돼야 할 것이다.


법적ㆍ제도적 장치 강구

보안을 높이는 데 있어 선결돼야 할 과제는 법적ㆍ제도적 장치를 마련하는 것이 중요하다. 특히 클라우드 컴퓨팅은 국제적인 법적 표준과 자체적인 컴플라이언스 기준이 없을 뿐만 아니라 서비스 수준에 대한 표준도 정립되지 않았다. 또한 클라우드 컴퓨팅 서비스를 제공하는 사업자들이 데이터를 보관하고 있는 인터넷데이터센터(IDC)가 해외 곳곳에 산재해 있다는 것도 문제가 될 수 있다.

 

가령 중요 데이터 유실이나 노출과 같은 문제가 발생하더라도 이를 법적으로 해결할 방법이 마땅치 않다. 클라우드 컴퓨팅은 가상화를 기본으로 하고 있어 데이터의 위치파악이 쉽지 않을 뿐 아니라 영업 기밀상의 이유로 정확한 위치를 제공하지 않을 수도 있기 때문이다. 게다가 미국의 클라우드 기업이라고 해도 IDC의 위치가 다른 나라에 있다면 법적 관계가 애매해 진다는 것도 문제다.

 

김앤장법률사무소 구태언 변호사는 “데이터가 어디에 있는지에 대한 물리적인 이슈와 데이터의 보존이나 복구, 폐기 등 관리적인 이슈, 네트워크를 이용한 서비스를 이용하고 있기 때문에 서비스 계약적인 이슈 그리고 보안 관련 이슈는 병행해서 해결해야 할 숙제”라며 “이런 이슈 안에는 법률적인 해결방안이 고려돼야 한다”고 설명했다.

 

특히 서비스 제공자 측의 문제로 발생되는 손해, 특히 개인정보 유출시 발생할 수 있는 소송에 대해서도 책임 구분이 명백해야 하며 저작권 침해에 대한 지적재산권 문제도 함께 선결돼야 할 문제들이다. 전문가들은 이를 국내에만 한정시킬 것이 아니라 국제법 규정으로도 이어져야 한다는 의견을 내놓고 있다.

 

서울여대의 김명주 교수는 “우리나라가 IT 강국이라고는 하지만 아직 클라우드 기반 서비스는 외국에 뒤처져 있기 때문에 외국 서비스 제공업체를 이용할 가능성이 높고, 이 경우 문제가 발생했을 때를 고려해 국가 차원의 규정이 필요하다”며 “사이버 세상에서는 정보와 프로그램, 서비스에 국가의 구분이 없어 국가의 중요한 정보가 해외로 유출될 수 있다”고 우려를 표명했다.


해외 클라우드 컴퓨팅 구축 사례

해외에서도 클라우드 컴퓨팅 서비스는 태동단계로 다양한 분야에서 이 기술을 이용한 서비스 모델이 등장하고 있다. 특히 해외의 경우 클라우드 컴퓨팅을 활용한 다양한 기술과 서비스모델이 속속 등장하고 있다. 미국 내 클라우드 컴퓨팅 서비스를 제공하는 기업은 아마존과 구글, 마이크로소프트, IBM 등이 있다.

 

한국클라우드컴퓨팅연구조합의 자료에 따르면 클라우드 컴퓨팅의 대표적인 서비스를 제공하는 기업 중 하나인 아마존의 경우 EC2(Elastic Compute Cloud)와 S3(Simple Storage Service)를 통해서 다양한 종류의 OS 및 custom application들을 실행할 수 있는 가상 컴퓨팅 환경 및 스토리지를 구축하고 이를 웹 인터페이스를 통해서 필요한 양만큼 신청해 사용할 수 있도록 서비스를 제공하고 있다.

 

아마존은 2004년 S3 서비스를 시작, 1GB/Month $0.15의 저비용 서비스를 제공해 2008년 10월 기준 290억 개의 오브젝트를 저장하고 있다. 사용자는 각종 애플리케이션, 라이브러리, 데이터 관련 설정 등이 포함된 AMI(Amazon Machine Image)를 자신의 요구에 맞춰 생성겥琯霞?사용할 수 있고 사용 중인 자원 및 인스턴스에 대한 모니터링을 수행할 수 있다. 아마존은 컴퓨팅 자원과 저장 공간을 필요한 단위로 제한해 사용할 수 있는 환경을 제공하며 선택된 OS 및 각종 애플리케이션의 커스터마이즈된 구성을 그것을 구동하는 자원과 함께 임차하는 형태로 서비스를 하고 있다.

 

아마존과 더불어 클라우드 컴퓨팅 서비스의 대표 주자인 구글 앱스(Google Apps)는 사용자가 Python language로 작성된 웹 애플리케이션을 실행할 수 있도록 해주는 클라우드 플랫폼이다.

 

구글 App Engine 플랫폼에서는 사용자에게 표준 라이브러리 제공뿐만 아니라 데이터 저장, 이미지 조작, URL 접근, 이메일 서비스 및 구글 계정 등으로의 접근에 필요한 API 및 Web 기반의 관리 콘솔을 제공함으로써 웹 응용프로그램의 제작 및 관리를 지원하고 있다. 구글 앱스는 데이터 저장 공간과 더불어 서비스 컴퓨팅 자원을 제공하며 저장 공간과 페이지뷰 횟수를 기준으로 비용을 결정한다.

 

이와 같이 해외에서는 이미 클라우드 컴퓨팅이 다양한 서비스로 상용화돼 있으며 이미 국가차원으로 확대돼 오바마 행정부가 클라우드 컴퓨팅 정책을 발표, 도입을 서두르고 있는 실정이다.

 

해외에서 클라우드 컴퓨팅 구축이 활성화되면서 우리나라도 많은 기업들이 클라우드 컴퓨팅 서비스를 준비하고 있지만 보다 적극적인 도입과 붐을 일으키기 위해서는 보안 문제가 선결돼야 한다는 데 업계 전문가들은 입을 모으고 있다.


“클라우드, 데이터 통제권한 상실 우려”

가상화 기술 보안 허점과 클라우드 데이터 관리 법적 이슈

10월 8일 한국정보통신기술협회(TTA) 주최로 열린 ‘클라우드 컴퓨팅 적용 시나리오 및 잠재적 기술요소 세미나’에서 박춘식 서울여대 교수는 ‘데이터 클라우드와 보안’이라는 주제로 강연을 마쳤다. 이날 강연에서 박춘식 교수는 향후 클라우드 컴퓨팅 환경에서 데이터나 시스템의 통제권한이 상실될 수 있다는 우려를 내비쳤다. 대형 클라우드 서비스 공급자의 데이터센터의 위치가 여러 나라에 분산돼 있지만 관련 법률이 정리돼 있지 않아 사용자의 데이터 보안을 보장받기 힘들 수 있다는 주장이다. 박춘식 교수를 만나 좀더 자세한 내용을 들어봤다. 


국내 클라우드 컴퓨팅 상황은 어떤지?

국내의 경우 대기업에서 관심을 가지고 초기 사업전략을 수립하고 있는 단계라고 볼 수 있다. 그러나 안타까운 일은 다양한 서비스 모델을 창출하기보다는 사설 클라우드(Private Cloud)에 집중하고 있다는 점이다. 클라우드 컴퓨팅은 가상화나 그리드 기술을 이용한 효율적인 컴퓨팅 자원 활용도 큰 장점이지만 소프트웨어와 같은 애플리케이션이 서비스 개념으로 제공되는 장점도 있다. 하지만 인프라 쪽은 대부분 많은 외국 기업들이 주도적으로 하고 있어 소프트웨어 쪽이 크게 성장할 수 있는 기회라고 볼 수 있다.

 

클라우드 컴퓨팅 서비스에서는 어떤 보안이슈가 있는지?

일단 클라우드 컴퓨팅이 가상화 기술을 많이 이용하고 있기 때문에 가상화 기술에서 보안 허점이 없어야 하지만 최근 외국의 많은 보고서에서는 가상화의 보안 허점을 지적하고 있다. 가상화는 분산된 컴퓨팅 자원을 논리적으로 하나로 묶거나 분산시켜주는 기술이다. 그렇기 때문에 가상화 기술에서 보안 문제가 발생하면 그만큼 큰 문제로 확산될 수 있다. 가령 가상화 허점을 이용해 침투한 하나의 악성코드가 가상화로 연결된 모든 컴퓨팅 자원에 확산될 수도 있다.

 

가상화 문제 외에도 데이터관리에서 통제 권한을 상실할 수도 있다. 한 예로 구글과 같은 대형 서비스 기업에 클라우드 컴퓨팅을 이용하고 있다면 모든 데이터가 그 기업에 저장된다. 문제는 그 기업이 내 데이터를 어떻게 이용할지 완벽한 신뢰를 갖기 힘들다는 것이다. 물론 일부 국가에서는 스스로 데이터 관리를 위한 컴플라이언스가 존재하긴 하지만, 정보를 저장하고 있는 데이터센터는 법적인 통제가 없는 여러 국가에도 위치하고 있기 때문에 문제가 될 수 있다.  

 

표준화 문제도 보안과 직결될 수 있다고 들었는데.

현재 클라우드 컴퓨팅은 일부 주요업체를 통해 진행되고 있다. 물론 대형 벤더들도 많이 포함돼 있어 점차 안정화 될 수 있지만, 문제는 각 벤더가 각자 자체 개발한 플랫폼을 제공하고 있어 타 사업자로 전환이 어렵다. 이는 클라우드 컴퓨팅에 대한 국제적인 표준이 뚜렷하게 드러나지 않고 있어 그렇다. 이런 문제는 특정 업체에 종속될 수 있다는 우려를 나타낼 수 있다. 특정 업체에 종속된다는 것은, 앞서 말한 것처럼 법률적인 문제가 해결되지 않는 이상 데이터에 대한 통제권한을 특정 업체에게 넘겨줄 수도 있다는 우려로 번질 수 있다. 

 

클라우드 컴퓨팅 보안에 대한 법적인 이슈는?

아직까지 클라우드 컴퓨팅에 대한 법률은 따로 없다고 봐야한다. 하지만 새로 만든다는 것도 여러 가지 문제점을 나타낼 수 있다. 법은 한번 만들면 고치기 힘들기 때문에 클라우드 컴퓨팅 트렌드가 어떻게 흘러갈지 예측할 수 없는 상황에서 관련법을 따로 만드는 것은 쉽지 않을 것 같다. 오히려 기존 법을 어떻게 클라우드에 적용할 수 있을지 다양한 각도에서 고려하는 것이 더 효율적이라고 생각한다. 더 나아가서는 클라우드 컴퓨팅 서비스와 관련된 국제적인 규제를 통해 데이터와 시스템 권한의 보호를 받을 수 있도록 해야할 것으로 보인다.

<글 : 호애진 기자(is@boannews.com), 인터뷰 : 오병민 기자(boan4@boannews.com)>


[월간 정보보호21c 통권 제111호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>