보안 / 클라우드

IT 경영진이 꼭 알아야 하는 하이브리드 클라우드 보안 ABC

Todd R. Weiss | HPE 2017.05.31


IT 보안 전문가들은 자신들을 잠 못 들게 하는 IT 시스템 근심거리와 취약점에 대해서 자주 언급합니다. HPE 보안 전문가인 사이먼 리치와의 인터뷰는 숙면을 취하면서 하이브리드 클라우드로 이전하는 방법을 강조하고 있습니다.

이제 IT 책임자들이 하이브리드 클라우드 아키텍처를 더욱 자세히 살펴보고 있습니다. 많은 책임자가 전통적 데이터센터 보안을 통제하는 과거의 규칙들을 재검토할 필요가 있음을 인식하고 있습니다. 기업, 사용자, 고객을 위해 하이브리드 클라우드를 보호하고 안전하게 만들려면, 때로 비즈니스 프로세스도 조정할 필요가 있습니다.

분명히, 하이브리드 클라우드 인프라는 많은 것을 약속하고 있으며 많은 이점을 제공하고 있습니다. 하이브리드 클라우드를 사용하면, 비즈니스에 중요한 데이터와 애플리케이션은 대개 프라이빗 클라우드에서 호스팅 됩니다. 중요도가 낮은 비즈니스 데이터는 많은 기업의 데이터가 안전하고 확실하게 저장되는 퍼블릭 클라우드에서 호스팅 됩니다. 퍼블릭 클라우드는 인프라 비용을 낮추는 반면, 프라이빗 클라우드는 기업이 중요한 데이터와 애플리케이션 자산을 통제할 수 있다는 것이 특징이다. 좋은 균형이 잘 잡혀있습니다.

과거에는, 방화벽과 보안 하드웨어가 기업 데이터센터에서 IT 시스템 보안에 대한 표준 구성요소였습니다. 그렇지만, 데이터센터 도구는 하이브리드 클라우드의 요구사항을 완벽하게 채우지 못합니다. 사용자는 클라우드의 이식성에 보조를 맞추고 언제, 어디에서나 이동중인 데이터에 대한 지원을 위해 고유의 보안 도구가 필요합니다.

HPE 디지털 솔루션 및 트랜스포메이션 팀의 수석 기술자인 사이먼 리치는 “일반적으로 보안은 기업 내부에 존재하는 것이라고 생각하고 있습니다”라고 말했습니다. 그렇지만, “일부 운영작업을 클라우드로 옮기면, 보안에 대해 더 큰 관점을 가져야 합니다”라고 덧붙였습니다.

전통적인 데이터센터에서 보안은 늘 걱정거리였습니다. 그렇지만, 하이브리드 클라우드에서 IT 리더는 데이터가 저장되는 저장소 구축에 더욱 경계를 게을리 하지 않아야 합니다. 그렇게 하기 위해서, CEO, CIO, CTO 그리고 다른 IT 임원들이 하이브리드 클라우드가 어떻게 동작하는지, 전통적인 데이터센터와는 어떻게 다른지, 그리고 특정 보안 프로세스와 기술에 어떻게 영향을 주는지를 알아야 합니다. 하이브리드 클라우드 보안을 자신들의 기업에서 확실한 것으로 만들기 위한 전략과 로드맵을 개발하기 위해 보안 전문가를 필요로 하는 복잡한 미로일 수 있습니다.

프라이빗과 퍼블릭 클라우드가 필요로 하는 특정 보안 조치 그리고 다른 누군가가 회사의 클라우드를 호스팅 하는 경우에도 회사의 데이터에 대한 책임을 유지하는 것이 중요하다는 점은 물론, 특히 하이브리드 클라우드 보안과 관련된 일반적인 개념들에 대한 개요부터 시작해봅시다.

피해야 할 대상 : 실제 일어난 클라우드 보안 사건사고
451 리서치의 2016년 7월 조사에 따르면 하이브리드 클라우드 아키텍처로 이동하고 있는 기업에서 가장 많이 언급되고 있는 2가지 주도요인은 운영상의 민첩성과 비용 절감이라고 합니다. 북미 IT 임원 250명을 대상으로 한 설문에서, 보험업계 IT 임원 중 83%가 민첩성을 하이브리드 클라우드로의 이동에 대한 가장 중요한 비즈니스 주도요인이라고 평가했습니다. 이 보고서는 “이런 업계는 대규모 인프라 전역에 퍼져있는 엄청난 양의 데이터를 처리하고 있기 때문에, 하이브리드 클라우드 전략 활용이 타당합니다”라고 기술하고 있습니다. 그리고 “각 업계는 엄격한 보안과 위험 관리 권한이 있는 규제가 심한 업계”라는 특징을 언급했습니다.

이런 필요사항들은 현실이지만, IT 리더들의 속쓰림을 유발하는 위험요소와 걱정거리이기도 합니다.

클라우드에서 데이터 유출과 공격의 위험은 얼마나 심각한 것일까요?

AWS가 호스팅하던 클라우드 계정에 대한 대규모의 DDoS(Distributed denial-of-Service) 공격 이후, 2014년 6월에 영구적으로 문을 닫은 온라인 코드 호스팅 서비스인 코드 스페이스를 운영했던 IT 리더들에게 같은 질문을 할 수 있겠습니다. 코드 스페이스 피해는 공격자가 침입하여 이 회사의 AWS 계정을 액세스한 후, 데이터를 저장하던 모든 가상머신과 고객 호스팅용 대부분의 코딩 프로젝트를 삭제한 다음에 발생한 것일 수 있습니다.

코드 스페이스 회사와 그 브랜드 가치에 대한 피해는 12시간 만에 발생했으며, 그리고는 사라졌습니다. 코드 스페이스는 고객들에게 자사의 데이터 백업 프로세스를 장점으로 내세웠었지만, 그 어떤 것도 계획대로 동작하지 않았습니다–그리고 이 회사는 폐업하고 말았습니다.

코드 스페이스 사례는 기업들이 왜 사용할 수 있는 모든 도구와 기법들을 활용해서 맹렬히 하이브리드 클라우드 보안에 접근해야만 하는지를 알려주는 아주 좋은 사례입니다. 불가능한 일은 아닙니다. 단지 새로운 접근방식, 명확한 사고, 적절한 준비, 그리고 이전 데이터센터 보호와 비교하여 일을 다른 방식으로 처리하는 것에 대한 열린 사고를 필요로 할 뿐입니다.

하이브리드 클라우드 IT 필요사항과 전략부터 계획하십시오
우선, 달성하고 싶은 것이 정확히 무엇인지를 결정하라고 리치는 말했습니다. 비즈니스 운영 그리고 고객과 직원 참여를 개선할 때의 용도에 대한 적절한 비전 없이 하이브리드 클라우드 인프라로의 여정을 떠나는 것은 위험합니다. 리치는 “용도가 없다면 사용자의 클라우드는 실패하게 될 것입니다. 그렇게 하는 것에 대한 이유가 있어야 합니다”라고 권고했습니다.

IT 리더들에게 있어 운영의 일부를 하이브리드 클라우드에 배치한다는 것은 회사의 데이터 보안 위험요소와 프로세스의 모든 단계에 있어서의 보호조치를 완벽하게 이해한다는 것이라고 리치는 말했습니다.

“본인이 하지 않으면, 다른 누군가가 할 것이기 때문에, 사용자는 클라우드 구조에 대해서 곰곰이 생각해야 합니다”라고 리치가 말했습니다. “클라우드 서비스는 아웃소싱 할 수 있지만, 위험은 결코 아웃소싱 할 수 없습니다”

리치는 가능한 많은 보안과 최소한의 위험을 갖는 하이브리드 클라우드를 보유할 때에는 계획이 필요하다고 말했습니다. 고려할 주요 이슈로는 위협 인식, 올바른 클라우드 플랫폼 선택, 그리고 협력업체와 클라우드 서비스 공급업체를 선택함에 있어서의 실사 진행이 있습니다. 사용자의 하이브리드 프로세스가 규정 준수 요구사항을 충족시키고 있는지를 확인하는 것도 중요합니다. 이는 비즈니스 애플리케이션과 프로세스에 영향을 주지 않고 기밀 정보와 개인식별정보(PII: Personally Identifiable Information)를 보호하는 데이터 암호화 프로세스의 구현과 유지보수를 의미합니다.

보안은 결코 사후 고려대상이 아닙니다
데이터 보안이라는 주제는 가능한 조기에 위험요소가 규명되도록 하기 위해 하이브리드 클라우드 계획에 대한 논의에서 초기에 제기되어야만 합니다. 이는 초기 회의 단계에서부터 보안 부서가 합류하는 것을 의미합니다. 리치는 “고위급 임원을 초대하여 CSO나 CSIO가 필요한 지원을 제공하게 해야 합니다. 정말로 적절한 사람들이 회의에 참석했는지를 확인하는 절차”라고 강조했습니다.

또, “보안 부서는 위협요소가 무엇일지 그리고 그런 위협을 어떻게 피할지에 대해서 보다 잘 이해하게 될 것”이라는 장점도 있습니다. 이는 애플리케이션 개발자와 데이터 담당자들도 참여시킨다는 것을 의미하기도 한다고 그는 부연했습니다.

리치에 따르면, “과거에는 보안이 사후 고려대상으로 생각되기 일쑤”였습니다. 리치는 “보안 담당자를 뺀 모든 사람들이 회의에 참석했습니다. 계획을 세워 놓고는 배포하기 일주일 전에야, ‘보안에 대해 생각해 봅시다’라고 말하는 프로젝트를 수도 없이 보았습니다. 이때가 되어서야 출시를 지연시키는 보안 점검 목록을 꺼내 놓습니다. 그래서 다음부터는, 누구도 보안 팀에게 질문하지 않습니다. 출시 계획이 지연되는 것을 원하지 않기 때문입니다”라고 설명했습니다.

그렇지만 얻는 것도 있습니다. 리치는 “보안 부서를 즉시 개입시킴으로써, 시간이 더 많이 걸릴 수도 있습니다. 그렇지만, 그 대가로 사전에 많은 문제를 예방할 수 있는 고품질의 코드를 얻을 수 있습니다”라고 말했습니다.

미션 : 늘 클라우드 보안 위험요소를 고려하십시오
사무직 근로자들이 드롭박스와 AWS 같은 다수의 유명 클라우드 서비스들에 쉽게 액세스 할 수 있기 때문에 클라우드 컴퓨팅은 더 많은 데이터 위험요소를 추가합니다. 내부 비즈니스 도구가 사용하기 너무 어렵다거나 직원들의 필요사항을 충족하지 못하면, 사용자들은 외부 클라우드 도구를 사용해서 업무를 할 것이고, 그러면 기업 내부에는 섀도우 IT 시스템이 생겨버립니다. 이런 섀도우 IT 시스템들은 비즈니스 컴플라이언스와 보안 표준을 충족하지 못하므로 위험합니다.

리치는 “직원들이 이미 그렇게 하고 있는데, IT가 모르고 있을 수 있습니다”라고 지적했습니다. AWS 상에서 클라우드 서버 설정을 사용하는 것이 IT 부서에게 서버를 설정해달라고 하는 것보다 더 빠르고 쉬울 수 있으며, 비 IT 직원들이 회사의 굴레를 벗어나도록 조장하고 있는 것입니다.

우리 회사는 아니라고 예단하지 마십시오. 대형 소비재 회사가 자사 클라우드 전략을 평가하는 프로세스 중에 진단 도구를 사용한 사례가 있습니다. 리치에 따르면, 이 회사는 회사의 승인 없이, 회사 네트워크를 통해 클라우드 서비스를 사용하는 사람들에 대한 사례를 1,400개나 발견했습니다.

리치는 “이런 것들이 IT 임원들이 클라우드에 대해서 생각해야만 하는 위험의 유형”이라고 주장합니다. 그러기 위해서는 개발자들이 자신들의 애플리케이션에 더 나은 보안을 구축해 넣도록 고무하기 위한 프로세스 개선, 그리고 하이브리드 클라우드 인프라에 데이터 보호와 데이터 암호화 필요사항을 지정하는 새로운 설계 사고방식이 필요합니다.

위험한 미션 : 리더를 위한 교훈
- 클라우드에서 호스팅 할 수 있는 대상과 호스팅 하지 말아야 할 것을 파악하십시오.

- 직원들이 회사 정책과 적절한 보안 절차를 우회해서 승인되지 않은 애플리케이션과 데이터를 클라우드에 호스팅 하는 섀도우 IT에 주의하십시오.

- 클라우드 이전 프로젝트를 계획할 때는 시작 단계부터 보안 전문가들이 회의에 참석해야 합니다.

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.