“클라우드 컴퓨팅, 기업 IT 컴퓨팅 환경에 획기적인 변화 가져올 것”

클라우드 컴퓨팅(Cloud computing)이 최근 화제다. 하지만 아직 클라우드 컴퓨팅의 개념은 몇몇 국가에서 발빠르게 산업에 적용시키고는 있지만, 아직은 정확한 개념 정립이 필요한 분야이다.

클라우드 컴퓨팅은 더 이상 허공에 떠 있는 개념이 아니다. 이미 이를 적용한 기업들에서는 비용 절감과 유연한 IT 환경 제공이라는 혜택도 보고 있기 때문이다. 하지만 주로 북미, 유럽에서 일어나고 있는 극히 제한적인 일이며 한국을 비롯한 아시아 지역에서는 클라우드 컴퓨팅 도입이 다소 늦어지고 있다. 실제로 아시아 지역의 CIO로부터 의견을 들어보면 “클라우드 컴퓨팅이 추세이긴 하지만 아직 보안 측면이 걱정돼 도입이 망설여진다”고 말하고 있다.

기업의 중요한 사업 정보가 예측할 수 있는 위치를 벗어나 국외 또는 데이터 센터 등에 있게 되면 이는 CIO가 관리할 수 있는 범위를 벗어나게 되고 직접 확인이 어려운 예상치 못한 문제가 발생할 수 있다. 물론 잠재적인 보안 위협들을 상쇄할 만큼 클라우드 컴퓨팅의 장점도 많다. 유연한 가격 정책으로 전체적인 비용을 절감할 수 있고 특히 최초 구매 비용이 줄어들고 제품 출시 사이클이 짧아지는 등 클라우드 컴퓨팅의 장점은 여러 가지가 있는 것이다. 하지만 이러한 장점들 때문에 기업의 중요한 정보를 클라우드 안에 넣는다는 건 불안한 면이 더 큰 것 역시 사실이다.

클라우드 서비스 제공 업체들도 기업이 원하는 보안 수준을 제공할 수 있어야 기업들이 클라우드 컴퓨팅을 도입할 것이다. 아직 아시아 지역에서는 확연하게 드러난 성공사례가 없어서 인지 기업들은 아직 클라우드 컴퓨팅 업체를 신뢰하지 않고 있다. 하지만 시간이 지날  수록 관련 솔루션 개발 등의 노력으로 신뢰를 쌓아 나갈 것이고 보다 많은 기업들이 클라우드 컴퓨팅을 도입을 실천할 것이다. 결국 클라우드 컴퓨팅에 충분한 보안 장치도 생겨 날 것이라 여긴다.

기업들은 보안과 관계 없는 데이터, 예를 들어 개인 정보를 포함하지 않은 데이터만 클라우드에 넣고 있다. 만약 기업의 중요 데이터가 클라우드에 들어가기 위해서는 클라우드 컴퓨팅 환경에 뛰어난 보안 장치가 있어야 하고 ‘서비스 수준 협약(Service Level Agreement)’도 정책적으로 이루어져야 한다. 기업은 ‘서비스 수준 협약’을 맺을 때 일반적인 계약과 마찬가지로 세부 협약 사항을 살펴봐야 한다. ‘서비스 수준 협약’에는 단순히 가용성 수준(availability level)을 넘어 클라우드에 들어간 데이터가 어떻게 다루어지며, 어떤 식으로 암호화되고 있는지도 다루어져야 한다.

‘서비스 수준 협약’에는 새로운 어플리케이션 버전이 출시될 때 나올 수 있는 위험을 최소화하기 위한 방안도 있어야 한다. 예를 들어, 새로운 버전이 적용될 때 사전 공지를 하고 고객의 동의를 얻어 혹시나 일어날지도 모를 어플리케이션 충돌이나 데이터 손실을 막도록 해야 한다. ‘서비스 수준 협약’에 기업이 클라우드 컴퓨팅 사용 전 데이터 센터를 방문해 보안 수준을 확인할 수 있도록 하는 조항이 포함될 수도 있다. 또한 만약 보안 사고가 일어날 경우 책임 소재를 명확히 하고 사후 절차에 대해 설명돼 있어야 한다. 상세한 ‘서비스 수준 협약’을 만들면 기업은 클라우드 컴퓨팅 제공 업체를 신뢰하게 될 것이다.

기술적 측면에서도 기업 CIO가 고민해야 될 부분이 많이 있다. 예를 들어, 사용자가 클라우드에 접근할 때는 단순한 아이디, 패스워드가 아닌 다중 요소 인증이 필요하다. 다중 요소 인증의 예로 보안토큰, OTP(One Time Password), 지문 인식 기술 등을 들 수 있겠다. 클라우드 서비스가 다중 요소 인증을 기본으로 제공하지 않는다고 하더라도 기업 CIO는 다중 요소 인증을 요구할 수 있다. 또한 클라우드에 데이터를 넣기 전 암호화 해 클라우드 컴퓨팅 이전 단계에서 기업 임의로 추가적 보안을 할 수 있다. 그리고 말단 장치가 클라우드에 접근하는 단계에 장비 인증(Device Authentication)과 같은 추가적인 보안 장치를 마련할 수도 있다.

시간이 흘러 클라우드 컴퓨팅이 보다 더욱 보편화되면, 이제 기업은 첫단계에서보다 더 클라우드 컴퓨팅 업체를 신뢰하고 보안에 대해 더 적게 관여하게 된다. 이후 기업은 이제 중요한 데이터, 민감한 데이터도 클라우드에 넣는 것을 꺼려하지 않을 것이다. 클라우드 컴퓨팅 업체는 여러 가지 보안 장치를 만들어 내 기업이 스스로 클라우드 내의 암호화 정도를 설정하고 보안 정책을 조절할 수 있도록 한다. 이러한 보안 서비스는 클라우드 서비스 위에 부가가치 서비스로 제공될 것이다. 이러한 서비스가 있어야만 클라우드 컴퓨팅 업체들은 자신들의 서비스를 더 많은 산업 분야에 소개할 수 있고 경쟁사 대비 장점으로 부각시킬 수 있다.

클라우드 컴퓨팅 서비스 시장이 성숙되면, 이제 기업과 클라우드 컴퓨팅 제공사의 신뢰도는 상당히 높아지게 된다. 기업은 자신들이 보안 정책을 정하고 클라우드 컴퓨팅 업체는 충분히 그것을 준수할 수 있는 인프라를 갖추게 된다. 기업은 클라우드에서 활용되는 데이터를 소유하고, 이에 대한 보안 정책을 설정하며, 개인의 인증 정보 등을 소유한다. 한편 클라우드 컴퓨팅 업체는 기업의 보안을 완벽히 하기 위해 암호화 기술, 안전한 키 관리 시스템, 인증 시스템 등의 보안 인프라를 갖추고 있다. 이 단계에 이르기까지 충분한 시간이 요구되지만 결국 기업들과 클라우드 컴퓨팅 업체들은 이 단계에 이르기 위해 노력을 아끼지 않을 것이다.

클라우드 컴퓨팅은 분명히 기업 IT 컴퓨팅 환경에 획기적인 변화를 가져올 것이다. 그전에 기업이 중요한 데이터까지 클라우드에 넣을 수 있기까지는 기업과 클라우드 컴퓨팅 업체의 노력이 필요하겠다.

[글 - 황동순 세이프넷코리아 대표(dongsoon.hwang@safenet-inc.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>