클라우드 이동, 미 신용협동조합 VCU의 성공 사례로 알아보기

[보안뉴스 오다인 기자] 클라우드 컴퓨팅은 많은 것을 약속한다. 사업에 필수적인 정보 기술, 데이터 처리, 스토리지 요구 등을 더 효율적으로 관리할 수 있는 데다 비용도 엄청나게 절감할 수 있다고 한다. 그런데 보안은 어떨까?


바이브런트 크레딧 유니언(VCU: Vibrant Credit Union)은 미국 중서부 아이오와 주에 있는 신용협동조합으로, 온라인 서비스부터 오프라인 지점까지 운영하며 금융 서비스 전반을 제공한다. VCU는 클라우드에 점점 더 큰 족적을 남기는 중이다. VCU의 CIO(최고정보책임자) 스티브 맥아티(Steve McAtee)는 사업적인 필요가 커져감에 따라 보안의 중요성도 커진다고 말한다. 맥아티는 IT 예산을 과용하지 않으면서 VCU를 클라우드로 안전하게 이동시켜야 했다. 잘 관리되는 대개의 조직이 그런 것처럼, VCU는 비용 상승 없이 더 많은 일을 해낼 전략이 무엇인지 끊임없이 고민하고 추구했다. 어떤 보안 침해도 없도록 잘 단속하면서 말이다.

VCU의 보안 역량을 강화할 방법 중 하나로 맥아티는 아마존 웹 서비스(AWS) 환경의 취약점을 보완하기 위해 클라우드 보안을 자동화하고 지속적으로 감시했다. 추가적으로 VCU는 매년 진행되는 컴플라이언스 감사(regulatory compliance audits)의 고통을 덜어줄 새로운 접근법을 사용할 수도 있었다. VCU가 클라우드로의 이동을 성공적으로 마칠 수 있었던 데는 다섯 가지 핵심 요소가 있다.

1) 속도
클라우드로 이동하면서 VCU는 자원 회전률을 높일 수 있었고 수요에 따라 역동적으로 자원을 통제할 수 있었다. 수요가 있을 때는 개방하고, 수요가 없을 때는 닫아놓는 것이 가능했기 때문이다. 클라우드 컴퓨팅의 탄력성은 지속적인 개발을 가능하게 할뿐더러 소프트웨어를 가능한 한 빠르게 출시하는 것도 가능하게 만든다. 그러나 주의할 점도 있다. 개발 속도가 빨라진다는 건 그만큼 개발 환경에서의 취약점 총량을 증가시키는 일이다. 개발 과정에서 기업의 보안 정책을 충실히 따르지 않고 속도에만 치중할 경우 취약점은 그만큼 많아질 것이다.

2) 비용
클라우드의 출현은 IT 예산의 구조를 영구적으로 바꿔놓을 일이다. 시간이 흐를수록 가치가 떨어지기만 하는 하드웨어 자산에 대해 공간을 마련하고 전력을 공급할 책임에서 해방된다. VCU는 데이터 센터에 제공하던 자본비용을 소비량에 기초한 운영비로 보다 유연하게 전환할 수 있었다. 더 이상 물리적인 데이터 센터에 예산이 묶이는 일은 없다. 대신 사업적 필요에 기초한 클라우드 환경에서 보다 탄력적으로 가용할 수 있게 된다.

3) 보안
클라우드에서 서버를 재구축하는 게 쉽다는 건 사실이다. 그러나 지금까지 데이터를 적절하게 보호하지 않았다면 서버 재구축은 훨씬 더 고통스런 일이 될 것이다. 클라우드의 속도와 민첩성은 해커에게도 장점으로 작용한다. 클라우드에선 더 많은 데이터를 옮기고, 처리하고, 저장하는 것이 가능한 데다 전 세계 어디에서나 (심지어 모바일 기기로도) 접근할 수 있기 때문이다. 이런 사실은 데이터의 취약점이 보안 사고로 이어질 확률을 높이고, 법·규제·사업적 측면에서 불리한 결과를 낳게 한다.

자동화된 공격은 연중무휴로 가동되는 중이다. 1년 365일간, 그리고 매 순간 취약점을 찾기 위해 가동된다는 말이다. 공격자가 밀어붙이는 방식이다. 공격자는 프로그램적인 방식으로 일을 처리한다. VCU는 자동화가 위협을 탐지하고 활용하는 데 탁월하다는 사실을 깨달았다. 공격자가 자동화를 이용해 취약점을 탐지하기 전에 먼저 취약점을 식별할 수 있도록 이 글을 읽는 독자들도 자동화와 가시성으로 무장할 필요가 있다.

4) 컴플라이언스
클라우드로 이동한다고 해서 클라우드상의 데이터에 대한 법적, 규제적 책임에서 기업이 자유로워지는 건 아니다. 클라우드로 이동하는 건 이제 자체적인 산업 법, 규제, 컴플라이언스 기준을 따라야 하는 일이 됐다.

컴플라이언스는 반드시 따라야 하는 것이다. 따르지 못할 때는 행정적인 처분과 벌금을 물게 된다. 이 같은 결과는 기업에 잠재적인 피해로 남고 브랜드 평판에도 부정적인 영향을 준다. 규제에 따라 클라우드 제공업체가 자체적으로 충족시키는 것도 있지만 기업은 보안 기준이 충족되는지에 대해 확인하고 입증할 수 있어야 한다. 심지어 조그마한 클라우드 환경에서도 수동으로 일일이 모니터링 하는 일은 극도로 부담스럽다. 그렇게 모니터링 하는 것이 가능하다면 말이다. 많은 기업이 컴플라이언스 기술과 보안 전문가들을 한 팀으로 구성하고 있다. 이 팀은 보안 자동화 툴을 사용한다. 예컨대, AWS 환경에서 보안 및 컴플라이언스 위험과 취약점을 지속적으로 감시하고 관리하는 ESP(Evident Security Platform) 같은 자동화 툴이 있다.

5) 자동화
지금까지 클라우드 인프라를 수동으로 감시했다면, 이게 얼마나 시간 소모적인 일이라는 걸 알고 있을 것이다. 가장 중요한 자원인 보안 전문가들을 몇 주씩 소모시키면서 말이다. 자동화를 이용하지 않고 클라우드를 배치하고 보호하는 일은 기업을 지나치게 소모한다. 발견한 점, 감시하고 치료할 부분, 훈련 시간 등을 모두 수동으로 종합하는 일은 최소 한 명의 직원을 잃어버리는 일과 같다. 그것만 하는 데도, 그러니까 현재의 보안 상태를 유지하는 데만도 최소 한 명이 전적으로 매달려야 하기 때문이다. 자동화 없이 발전하고 싶고 보안 통제를 더 잘 하고 싶으며 컴플라이언스 프레임워크를 실행해야 하는 조직이 있다면 적어도 세 사람의 인력이 완전히 달라붙어야 한다. 이런 상황에선 기본적인 보안 정책을 실현시키는 데만 최소 세 사람의 전담 인력이 필요하다.

앞서 언급한 모든 요소들은 VCU가 자동화된 클라우드 모니터링과 컴플라이언스로 전환하는 데 동기부여가 됐다. 클라우드를 통해 기업을 경영한다는 건 기업이 몇 년 전에 걱정하던 것과는 다른 현실을 보여준다. 공급망에 클라우드를 도입하고 그 서비스를 사용하는 것은 사실 보안 취약점을 높일 수 있기 때문이다. 맥아티와 그의 팀은 보안 문제를 일으키는 대신 컴플라이언스와 보안 정책을 수행하기 위해 클라우드로 이동했다. 이로써 VCU는 보안 자동화를 더 잘 활용할 수 있게 됐고 일을 처리하는 방식에서도 개선점을 확인할 수 있었다.

글 : 팀 프렌더개스트(Tim Prendergast)
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>