그 동안 겪어온 IT 격변 중 ‘클라우드로 가는 여정 ’만큼 기회와 고민이 상존하는 것도 드물 것이다. ‘VMware-포레스터 2011 아태지역 클라우드 리포트’에 따르면, 한국 기업은 응답자 중 절반에 가까운 48%가 클라우드 도입 계획이 있다고 밝혀, 클라우드 도입 부문에서 아태지역 1위를 차지했다.

하지만, 기업들은 현재 화두인 클라우드 컴퓨팅을 도입해야 한다는 인식은 하고 있지만, ‘어떻게’해야 성공적인 결과를 낳을 지에 대해 혼란스러워 하고 있다.

기초가 탄탄해야 높은 성도 쌓을 수 있듯이, 클라우드 컴퓨팅으로 나아가기 위한 여정의 가장 첫 시작도 초석을 견고하게 다지는 것이다.

즉, 기업 내 전산 인프라를 클라우드화 하는  IaaS(서비스 형 인프라, Infrastructure as a Service)가 클라우드의 첫 단추라고 할 수 있으며, 이렇게 탄탄하게 다져진 인프라는 가장 안정적, 효율적으로  PaaS(서비스 형 애플리케이션 플랫폼, Platform as a Service),  SaaS(서비스 형 소프트웨어, Software as a Service)까지 전환할 수 있는 토대가 된다.

VMware는 이미 여러 해 전부터 ‘클라우드로의 여정’이라는 용어를 시장에 적극적으로 전파해왔다. 클라우드는 단시간 내 일어나는 ‘혁명’이 아닌 일종의 ‘진화’로 봐야 하기 때문이다. 특히, 기업이 시장에서 필요로 하는 제품을 신속하게 출시하기 위해서는, 컴퓨팅 자원을 서비스 형태로 즉시 제공할 수 있는 클라우드 컴퓨팅의 유연성이 요구된다.

이를 위해 반드시 갖춰져야 하는 것이 서버 가상화다. 서버 가상화는 물리적인 서버에 탑재된 OS, 애플리케이션, 데이터를 가상머신(Virtual Machine, VM)으로 전환해 운영하는 것을 의미한다. 이는 기존 대비 TCO(총 소유비용, Total cost of ownership) 절감, 고가용성, 높은 유연성이라는 강점을 내세워 왜 클라우드로 진화해야 하는지에 대한 가장 근본적인 답을 제공하고 있다.

무엇보다, 서버 가상화가 클라우드로 가는 토대가 될 수 있는 이유는 규모의 경제 효과다. 즉, 서버를 가상환경으로 전환해 사용자들에게 공통된 형태로 제공하게 되면, 거의 대부분의 업무에 클라우드를 적용하더라도 규모의 경제를 통해 비용 절감을 할 수 있기 때문이다.

다시 말해서, 일반적인 서버 사용률이 10%를 넘지 않는 경우가 허다한데 남는 90% 자원에 다른 서버 업무를 올려 효율성을 극대화 할 수 있는 것이다. 추가적으로 기존 물리적인 서버들이 제공하지 못하는 고가용성 기술들(vMotion, HA, DRS, Fault Tolerance 등)을 소프트웨어 자체적으로 제공하기 때문에, 하드웨어 수준의 안정성을 훨씬 뛰어 넘는 견고한 클라우드를 구축할 수 있다.

아무리 강조해도 지나치지 않은 ‘보안, 보안, 보안’

앞서 살펴본 클라우드의 기본 개념 중 성능, 안정성, 호환성에 대한 고민이 끝났다면 보안에 대해서 반드시 짚고 넘어가야 한다. 기업용 클라우드 컴퓨팅은 높은 효율성을 위해 큰 컴퓨팅 자원의 집합을 여러 사용자들이 나눠서 쓰게 된다.

반면 개별 사용자는 오직 자신에게 할당된 자원만 안정적으로 이용할 수 있으며, 다른 사용자의 자원에는 함부로 접근할 수 없다. 이는 물리적으로는 자원을 공유하나, 논리적으로는 나눠져 있기 때문이다. 스마트폰이 필수품이 되어버린 시대에 기존 피처폰의 아이디어로는 시장을 따라잡을 수가 없다. 클라우드 시대에 걸 맞는 보안 체계의 중요성을 깨달아야 할 시점이 온 것이다.

국내에서도 대다수 기업에서 이미 클라우드로 가는 여정을 위한 첫 번째 단계로 IaaS 형태의 클라우드를 구축하고 있다. 다만 빠른 효과를 얻기 위해 단지 관리의 편의성까지만 달성하는 것으로 단기 목표를 잡는다면, IT 관리의 탄력성은 높일 수 있으나 보안에 취약한 구조가 될 수도 있다.

서비스 형태로 즉각적으로 서버가 추가되어야 하는데, 자동화된 보안 체계가 없으면 취약성이 존재한 상태에서 정규업무로 개시 돼 버릴 수 있기 때문이다. 그림1과 같이 보안이 제대로 갖춰질 경우  SLA(서비스수준협약, Service Level Agreement), 성능, 과금 등 더 많은 효과를 거둘 수 있으며 가장 모범적인 클라우드 요건을 갖출 수 있게 된다.

그림 2는 물리적으로 구분된  ‘Air Gap’이 존재하는 데이터 센터 환경을 도식화한 것으로 방화벽, 스위치, 라우터 등의 네트워크 장비들에 의해 구획을 나누고 있다. 사실상 이 환경은 현재까지 보편적으로 활용되고 있는 데이터 센터 보안 형태이며, 직접 기기들이 눈에 보이기 때문에 이해하기도 쉽다. DMZ 구간 업무와 내부업무는 IP 주소 대역, 서브넷(Subnet), 위치 등이 완전히 구분되어 있으므로, 서로가 절대 접근할 수 없기 때문이다.

하지만 이 구조는 비용과 운영, 자동화 관점에서는 시대에 뒤떨어진 구조이다. 한 예로, 새로운 업무가 추가되어 물리적인 구획을 나눠야 한다면, 우선 방화벽, 스위치, 라우터 등의 네트워크 장비를 구매해야 한다.

또한 서버, 스토리지 등 컴퓨팅 인프라 역시 기존 환경과 절대로 혼합해서 사용할 수 없으므로, 추가적인 구매가 불가피 하다. 만약 내부 업무에 컴퓨팅 자원이 남아돌더라도, 물리적인 구획을 나눠야 하기 때문에 중복투자가 발생하는 것이다. 장비 구매에 수반되는 인력충원까지 감안하면 기업은 이중, 삼중고를 감내해야 한다.

서버 가상화 위에서 작동하는 모든 가상머신들은 각자 개별적인 서버로 인식되며, 개별적인  NIC, 가상스위치 등을 할당 받게 된다. 또한, 모든 네트워크 통신이 가상화 기반을 통해 이뤄지기 때문에, 가상화 단계에서 기반 네트워크를 논리적으로 나눌 수 있다.

새로운 업무가 추가될 경우에도, 기본 환경 자원의 여유가 충분하다면 ▲추가적인 하드웨어 투자 없이 ▲네트워크 보안을 지키면서 ▲쉽고 빠르게 확장시킬 수 있어 클라우드 환경의 인프라 보안체계로써 가장 적합하다.

클라우드 인프라를 위한 보안

클라우드 환경에서 인프라 보안을 위해 논리적인 구획을 나눠야 한다면, 기존 물리적인 네트워크 보안 환경이 제공하는 기능들을 그대로 제공할 수 있어야 한다. VMware는 vShield 제품군을 통해 3중 보안 체계를 제공하고 있다.

▲ 가상데이터센터 보안

데이터센터 레벨에서 제공되던 DHCP, NAT,  IPS 등의 네트워크 기능을 제공한다. 복수 회사가 같은 자원을 사용할 경우 네트워크 인프라 자체가 분리된 형태를 클라우드에서 구성할 수 있다.

▲ 가상업무망 보안

가상머신과 가상머신 사이 통신을 IP 주소, 포트 번호로 제한하는 기능이다. 관리 서버가 DB서버,  WAS서버끼리만 특정 포트로 통신할 수 있고 그 외 어떠한 서버들도 관리서버에 접근 못하게 설정이 가능하다. 같은 인프라 내에서 운영서버군, 개발 서버 군이 혼재해 있더라도 가상으로 업무망을 나눠버리기 때문에 잘못된 접근이나 피해를 막을 수 있다. 미국  로스알라모스 국립연구소가 주요 업무 애플리케이션들을 가상업무망 보안으로 분리시킨 사례이다.

▲ 가상화 전용 바이러스 백신

바이러스, 악성코드가 가상머신에 도착하기도 전에 가상 인프라 단에서 차단하는 기능이다. 일반적인 백신 대비 자원 소모가 적고 중앙 집중화된 관리가 용이하다는 특징을 지닌다.

새로운 기술을 도입할 때 보안사건 등 예상치 못한 위험에 불안감을 느끼는 것이 사실이다. 하지만 이미 수많은 벤더들이 이 위험을 사전에 예방할 수 있는 보안 솔루션들을 선보였던 것과 같이, 클라우드에 최적화된 보안솔루션도 예외는 아니다.

시대는 이미 클라우드와 함께 변화하고 있고, 보안에 대한 막연한 불안감에 이 기회를 놓친다면, 경쟁사가 저만치 앞서가는 것을 바라보는 안타까운 상황이 발생할 수 있다. 주변을 돌아보면, 클라우드로 시너지 효과를 창출하는 기업들을 쉽게 찾아볼 수 있다. 그들이 어떠한 보안 솔루션을 활용하고 있는지, 그리고 현재 발표된 기업들의 클라우드 도입사례에 비추어 봤을 때 우리 기업에 가장 최적화 된 클라우드 환경은 무엇일지에 대한 적극적인 검토가 필요할 때다.

<글 :  임 경 훈 │ VMware 프리세일즈 엔지니어링 그룹 시니어 SE(khlim@vmware.com)>

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>