보안 / 애플리케이션 / 클라우드

클라우드 비판 논쟁, 가열 양상에 워즈니악까지 가세

Brandon Butler | Network World 2012.08.13
지난 주, 클라우드 컴퓨팅에 대한 논쟁이 달아올랐다. 먼저 애플의 공동 창업자인 스티브 워즈니악은 클라우드 컴퓨팅은 사용자가 자신의 데이터 관리를 서비스 공급업체에 전담시키면서 '끔찍한' 문제를 야기할 수 있다는 우려를 제기했다.
 
특히 지난 주 초에는 와이어드 기자 매트 호난은 해커들이 애플과 아마존의 서비스 부서를 조작해 자신의 구글 및 트위터 계정을 도용했다고 보도했다. 이로 인해 개인 및 업무 관련 데이터를 잃어버렸고, 자신의 소셜 미디어 계정을 통해 왜곡된 정보가 공개됐다고 주장했다. 
 
호난은 자신이 겪은 사고를 자세히 설명하면서 클라우드 컴퓨팅은 치명적인 보안 취약점을 갖고 있으며, 이로 인해 '악몽과도 같은 사고'를 겪을 수 있다고 경고했다.

클라우드 보안 책임은 최종 사용자 당사자
그러나 워즈니악은 정확히 어떤 문제를 경고한 것일까? 또한 호난이 겪은 사고는 누구의 책임일까? 클라우드에 대한 비판이 거세지자 여러 클라우드 서비스 공급업체들이 방어에 나섰다. 이 업체들은 해커가 클라우드 환경을 악용할 위험이 있기는 하지만, 제대로 된 보호 체계를 갖추면 안전할 수 있다고 주장했다. 
 
클라우드 사용자를 대상으로 2차 백업 솔루션을 제공하는 백업파이(Backupify) CEO 로브 메이는 "워즈니악의 비판에 동의하지 않는다"고 말했다.
 
메이 CEO에 설명에 따르면, 워즈니악은 사용자가 자신의 데이터를 클라우드 공급업체로 이전하면서 관리 권한까지 넘기고 있다는데 비판의 초점을 맞추고 있다. 그러나 이에 대한 쉬운 해결책으로, 데이터의 2차 복제본을 다른 서비스 공급업체에 유지하거나, 단일 데이터 이전을 피하는 방법을 택할 수 있다고 전했다. 
 
또한 데이터를 백업하는데 그치지 않고, 암호화를 해야 한다. 사이퍼클라우드 마케팅 담당 부사장 케빈 보세크는 "암호화 게이트를 이용하면 자신들의 데이터를 안전하게 관리할 수 있다"고 강조했다. 
 
워즈니악이 제기한 우려는 데이터 백업과 더불어 암호화를 통해 다른 사람의 접근을 통제하는 방식으로 해결할 수 있다는 주장이다.
 
클라우드 업체 보델 CTO 마크 오닐은 다른 간단한 방법이 있다고 말했다. 기업 가운데는 기밀에 속하는 데이터를 클라우드에 이전할 준비가 되지 않는 곳이 많다. 어떤 데이터를 클라우드에 저장할 지 선택하는 방식으로 투자에 대해 보호할 수 있다는 의미다.
 
클라우드에 대한 비판과 변호는 자연스러운 현상이다. CA 테크놀러지 전략담당 부사장 앤디 만은 "워즈니악과 호난이 클라우드와 관련해 제기한 우려는 신뢰에 대한 것이다. 이는 당연한 우려"라고 말했다. 만은 "클라우드는 마술은 아니며, 최종 사용자가 시스템을 효과적으로 보호하기 위해 계획을 세워야 한다"고 지적했다.
 
클라우드 컴퓨팅이 주가 되는 IT로의 이전은 아직 초기 단계다. 앤디 만은 "10년 전 소비자와 기업이 온라인 뱅킹이 안전하지 못하다고 우려한 적이 있었다"며, "클라우드와 관련한 우려 또한 이와 유사하다"고 지적했다. 
 
그러나 아직도 많은 CIO가 퍼블릭 클라우드에 대해 우려하고 있다. 기업이 기밀 데이터를 클라우드로 이전했는데, 그 곳에서 침해 사고가 발생한다면 이는 결국 소비자가 해결해야 할 문제다. 따라서 클라우드를 이용하기로 했다면, 최종 사용자 본인들이 보호 대책을 수립해야 한다.
 
CISO 그룹 관리 파트너 알란 시멜에 따르면, 호난이 경험한 사고와 이에 대한 비판은 주요 기업의 고객 지원 담당자, 그리고 최종 사용자의 인적 실수와 상식 부족에서 비롯됐다. 호난은 해커들이 고객 서비스 담당자를 통해 소셜 엔지니어링을 통해 자신의 계정에 접근할 수 있었고, 비밀번호를 바꿨다고 전했다. 그러나 그 자신도 더 견고한 보안 및 백업 대책을 준비해야 했다고 자책한 바 있다.
 
시멜은 "클라우드 서비스 공급업체들이 제공하는 솔루션을 믿어서는 안 된다"고 지적했다. 시멜은 "여러 공급업체로 데이터를 분산한다고 해서 재앙을 막을 수 있는 것은 아니"라며, "호난의 경우에도 여러 계정이 동시에 해킹당했다"고 언급했다. 
 
클라우드 서비스 공급업체가 암호화 코드에 대한 키를 보유하고 있다면, 암호화가 무의미하다.
결국 상식적인 보안 대책이 필요하다. 그리고 클라우드 공급업체는 해커가 사용자의 취약성을 악용하지 못하도록 인적 실수와 프로세스의 오류를 없애야 한다. 
 
지난 주 언론 보도에 따르면, 아마존과 애플은 고객 서비스 센터의 비밀번호 보안 관련 전화를 중심으로 보안 관행을 바꿨다.
 
간단한 질문에 대답하는 방식으로 비밀번호를 재설정할 수 있는 방식은 잘못됐다. 해당 사용자와의 인터뷰나 짧은 대화를 통해 이와 관련된 정보를 알아낼 수 있기 때문이다. 
 
시멜은 "단순한 비밀번호 보안 이상의 보안 방법이 필요하다"고 강조했다. 2중 인증이 한 가지 방법이다. 시멜은 최근 자신의 블로그에 올린 글을 통해 서비스 공급업체가 제공하는 방법에만 전적으로 의존하지 않는, 사용자가 스스로를 보호하는 방법이 필요하다고 주장했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.