[보안뉴스 호애진] IT산업의 새로운 패러다임으로 꼽히는 클라우드는 과거 기술적인 측면에 관심이 모아졌다면 이제 클라우드 환경 내 새로운 비즈니스 모델 창출에 초점이 맞춰지고 있다.

향후 클라우드의 시장이 더욱 가파르게 성장할 것으로 전망되고 있는 가운데 국내 클라우드의 현주소와 함께 반드시 선결돼야 할 보안 이슈에 대해 강진수 한국CISSP협회 클라우드 보안 연구팀 팀장을 만나 이야기를 들어 봤다.

- 클라우드 동향을 살펴보면?

국내에선 아직까지 클라우드 사업자 위주로 진행이 많이 되고 있다. 공공, 금융, 일반기업 등은 아직까지 테스트베드 구축, 운영 단계 정도이며 주로 신규 사업분야 위주로 진행 중이다. 사용자 측면에선 최근 애플의 i클라우드 서비스가 오픈한 것이 하나의 중요한 변화라 할 수 있다. 그 동안 클라우드 서비스 라고 하면 문서 작성이나 데이터 저장 등의 목적으로 많이 이용됐으나 i클라우드와 스마트 앱의 조합으로 인해 사용자는 클라우드가 훨씬 다양하게 이용되는 사례를 직접 체험하게 될 것이다.

최근 가트너가 발표한 2012년 전략기술 Top 10에 보면 2010년과 2011년 2년 연속으로 1위의 자리를 지켜왔던 클라우드가 10위를 차지했다. 단순히 순위만 생각할 것이 아니라 여기에 담긴 의미를 봐야 할 것이다. 상위에 차지한 기술들을 보면 각각 ‘인간 경험’ ‘비즈니스 경험’, ‘IT적 측면’으로 나눠지는데 각각의 순위는 이제 IT가 사용자 중심으로 옮겨 간다는 것을 의미한다.

즉 각각의 경험은 개별적으로 떨어진 기술이 아니다. 하위 기술이 상위 기술의 구현 기반이 되고 있으며 상호 보완하는 수단이 되기도 한다. 여기에서 클라우드의 향후 미래와 과제를 볼 수 있다. 앞으로 클라우드는 IT적 경험에서 출발해 어떻게 비즈니스 경험을 구현할 것인가, 나아가서 어떻게 사용자 경험과 연동할 것인가에 대한 방향으로 나아갈 것이다.

- 클라우드에서 보안이 중요한 이유는?

클라우드 서비스의 장점 중 하나는 사용자 입장에서의 편리성이다. 기존의 IT 환경에서는 네트워크, 서버, OS, 소프트웨어 등 모든 것을 신경써야 했다면 클라우드 환경에서는 필요한 자원을 인프라, 플랫폼, 소프트웨어 등의 형태로 제공받아 사용하면 되기 때문에 매우 편리하다고 할 것이다. 하지만 이러한 점은 장점이 됨과 동시에 단점이 되기도 한다.

편리한 대신에 사용자가 제어하고 통제할 수 있는 영역이 매우 제한적이다. 이러한 점은 특히 정보보호 관점에서 매우 치명적일 수 있다. 높은 수준의 보안을 갖추기 위해서는 하드웨어, OS, 플랫폼, 데이터, 애플리케이션 등 다양한 레벨에서 보안이 검토되고 구현돼야 하지만 서비스 제공자에게 의해 제공되어지는 부분에서는 상당히 제한적일 수 밖에 없다. 따라서 클라우드 환경을 제공하는 사업자 입장에서는 사업자 관리 영역에 대한 보안과 더불어 이용자가 선택 가능한 보안 장치를 마련해야 한다.

또한 클라우드의 정보보호는 기존의 보안영역에 새로운 보안 카테고리를 요구한다. 예를  들면 서버 보안에 있어서도 기존의 서버보안은 계정의 권한상승 측면이지만 클라우드의 서버보안은 OS와 하이퍼 바이저, 관리 프로그램의 영역에서도 권한상승을 고려해야 한다.

- 보안 위협에 대응하기 위해서는?

클라우드 환경에서 중요한 요소는 로깅(logging)이 될 것이다. 최근에 발생한 농협과 같은 일련의 보안사고에서 보듯이 보안장비, 시스템 등에서 발생하는 로그파일은 매우 중요하다. 특히 클라우드 환경과 같은 복잡 다양한 분산 시스템에서 어떻게 로그를 기록하고 분석할 것인가에 대한 이슈는 매우 중요할 수 있다.

예를 들어, IaaS 클라우드 서비스를 제공하는 A사, 그 클라우드 서비스를 이용해 (동일한 물리적 자원을 사용하는) 웹서버와 게임서버를 운영하는 B사, C사가 있다고 가정할 때 외부 악의적 해커가 침입하는 시나리오가 있다. A사의 클라우드 서비스를 이용해 B사에서 OS 계정을 탈취하고 C사의 시스템 탈취했다면 이러한 일련의 과정에서 과연 A, B, C 사 중 어느 곳에 취약성 또는 관리 소흘로 인한 책임이 있으며 어떻게 증명할 것인가?

이렇듯 관리책임에 대한 복잡한 관계에 있어서 클라우드 인프라 전반에 대한 로깅은 일반 전통적인 시스템에 비해 더욱 중요하다. 따라서 어떠한 로그를 어디에 보관할 것인지, 분석은 어떻게 할 것인가에 대한 고민이 뒤따라야 한다.

또한 클라우드 환경에서 보안을 구축하기 위해서는 각각의 모델별로 고려돼야 한다. 구축 형태가 퍼블릭, 프라이빗, 하이브리드 중 어떤 것인지, 서비스 모델은 IaaS, PaaS, SaaS 등 어떤 것인지에 따라 고려해야 하는 보안 대응 방법이 다르다. 클라우드 환경에서 구현되는 실제적인 내용을 파악해 입체적으로 구현할 방안을 모색해야 한다.

- 국내에서 클라우드가 활성화 되지 않고 있는 이유는?

몇가지 요인이 있다. 가장 큰 이유는 클라우드 자체가 아직까지 완전히 성숙한 단계가 아니라는 점이다. 해외의 경우는 비즈니스 모델과 클라우드 기술적 측면이 거의 동시에 이뤄진 경우가 많다. 국내의 경우 클라우드에 대한 관심은 많으나 비즈니스 모델과 연계한 고민은 그리 오래되지 않은 것 같다. 앞으로는 국내에서도 클라우드 서비스를 이용한 한국만의 독창적인 비즈니스 모델이 많이 나오지 않을까 하는 전망과 바램이다.

KT나 삼성을 비롯해 해외 진출을 고려하고 있는 국내 기업이 다수 있는 것으로 알고 있다. 클라우드는 단지 인프라(클라우드센터)를 해외에 건설하는 것만으로는 차별성이 부족하다. 클라우드는 정말 다양하다. 어떤 식으로 진화할지, 어떠한 서비스와 접목돼 시너지 효과가 발생할지 다양한 예측이 나오고 있다. 그러한 분야를 선점해서 성공사례를 발굴하는 것이 중요하다고 생각한다.

- 향후 클라우드에 대한 전망은?

장기적으로 볼 때 IT의 많은 부분이 클라우드 환경으로 서서히 이동할 것이라는 데에 이견을 갖는 사람은 별로 없는 것 같다. 클라우드에 이용되는 가상화와 같은 기술의 성숙도가 상당히 높아지고 있고 빠르게 발전하고 있기 때문에 IT 분야만 놓고 본다면 클라우드가 확대되는 데에는 큰 문제가 없어 보인다.

다만 모든 산업 분야에서 IT가 필수불가결한 요소가 돼 있는 현실에서 클라우드가 공공, 금융, 의료, 제조업 등 다양한 분야로 확대되기에는 아직 법적, 제도적 장치가 상당히 미흡하다고 생각한다. 특히 국내에서는 데이터에 대한 저장소의 물리적 위치, 암호화 요구사항, 전송 등에 있어서 많은 규제가 존재하며 클라우드 활성화를 위해서는 이러한 부분이 좀더 다양한 측면에서 법적 제도적으로 정비가 필요하다. 이러한 부분이 갖춰진다면 산업 분야를 막론하고 다양한 업계에서 클라우드가 빠르게 확산될 것이다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>