포레스터는 최근에 클라우드 컴퓨팅에 대한 아주 흥미로운 보고서 몇 가지를 발표했다. 필자는 프라이빗 클라우드에 대한 주제를 다룬 “클라우드 컴퓨팅: 누구의 예측이 옳을까”라는 제목의 기사에서 그 중 한 가지에 대해서 살펴보았다.
필자는 프라이빗 클라우드 컴퓨팅을 구현하기 위해서는 vSphere와 몇 가지 부가 모듈을 구매하는 것 이상, 즉 표준화, 프로세스 리엔지니어링, 그리고 조직의 재정비가 필요하다는 포리스터의 제임스 스태튼(James Staten)의 관점을 검토했다.
이번에도 포리스터에서 첸시 왕 박사가 작성한 데이터 컴플라이언스 요구조건과 실제 제공되는 클라우드 컴퓨팅 간의 충돌로 인해 제기되는 과제들을 분석한 “클라우드에서의 컴플라이언스 : 매수자 위험 부담 원칙”이란 훌륭한 보고서가 하나 더 발표되었다.
왕 박사의 지적대로, 대부분의 데이터 컴플라이언스 법규는 해당 스토리지가 어디에 위치해 있는지에 대한 소재지 결정뿐 아니라 저장된 인프라 데이터까지도 책임을 지는 당사자가 통제한다는 가정을 전제로 제정된 것이다.
실질적으로는 어떤 법규도 서비스 공급업체가 책임을 지는 조직을 대신해서 데이터를 보관할 수도 있다는 점을 인정하고 있지 않다. 결국, 대부분의 컴플라이언스 상황은 데이터에 대한 상당 부분의 통제가 사용자의 손을 벗어나 있다는 명백한 사실에도 불구하고 모든 책임을 클라우드 컴퓨팅 환경 사용자에게 지우고 있다.
왕 박사의 분석 중 몇 가지가 필자의 눈을 끌었다:
1. 불투명한 데이터 위치. SaaS 공급업체 보다는 IaaS 공급업체의 데이터센터(그리고 결국에는, 데이터 스토리지)가 어디에 있는지를 알기가 더 쉽다. 보고서에서 구글은 누군가의 데이터가 어디에서 호스팅되고 있는지를 명확하게 설명할 수 없었거나 데이터의 위치가 특정 지역으로 한정된 것으로 밝혀졌다. 확실히, 위치에 대한 어떤 불투명성도 적용 법규를 준수하고 있는지를 확인하려는 고객에게는 진짜 문제를 유발한다.
2. 불공평한 책임 소재. 오직 하나의 법률만이 서비스 공급업체의 역할을 명확하게 인정하고 있는데, HIPPA 규정에 대한 HITECH 규정이 그것이다. 다른 모든 법규는 모든 책임을 사용자에게 미루고 있다. 필자는 이런 상황을 ‘비대칭적 위험’이라고 부른다. 컴플라이언스는 책임 공유라는 사실에도 불구하고, 대부분 또는 모든 위험이 사용자에게 전가되기 때문이다.
3. 클라우드 서비스 업체의 한계. 클라우드 공급업체가 합법적인 컴플라이언스 조치에 대한 책임을 지고 있다고 떠들어대는 사람들은 한 가지 명백한 장애를 간과하고 있다. 클라우드 공급업체는 대부분 자신의 인프라에 어떤 데이터가 저장되는 지를 모르고 있으므로 해당 데이터에 어떤 법적인 조건이 적용되는지를 알 수 없다.
아마존(Amazon) 같은 기업에서는, 신용 카드와 계정 ID만 있으면 클라우드 기반 애플리케이션을 실행할 수 있다는 사실이 애플리케이션의 컴플라이언스 요구조건을 검증하거나 (실제로, 이해할 수 있는) 방법이 전혀 없음을 의미한다. 이 사실은 계속 강조할 필요가 있다. 클라우드 공급업체에게 컴플라이언스란 이유로 어떤 조치를 취해야만 할지를 생각하게 만들 방법이 전혀 없다. 그러므로 클라우드 공급업체가 앞장 서서 컴플라이언스 요구조건을 충족시키라고 주장하는 것은 비현실적이다.
4. 클라우드 기반 PCI는 실제로 존재하지 않는다. 왕 박사는 클라우드 공급업체에게 있어서 PCI 컴플라이언스를 달성하는 것은 경제적으로 매력적이지 않아 보여서, 대부분의 공급업체가 신경을 쓰고 있지 않다고 기술하고 있다. 우리가 제안하는 표준 권고안은 애플리케이션을 클라우드 환경에 두고, PCI 컴플라이언스에 전문성이 있는 다른 공급업체에게 PCI 지향적인 호출(Call)을 하는 것이다.
권고안에 대해서 왕 박사는 두 가지 유형의 컴플라이언스 조치를 제안한다:
1. 평가하라. 한 가지 접근방식은 공급업체의 컴플라이언스 대책에 대한 논의 (그리고 아마도 감사)를 통해서 클라우드 공급업체의 컴플라이언스 상황을 평가하는 것이다. 필자는 이런 조치가 잘못된 조언이라고는 생각하지 않지만, 클라우드 공급업체가 마주 앉아서 구현된 방안에 대한 논의를 하자는 고객의 요청에 쉽게 질릴 수도 있으므로 모든 사용자에게 실용적이지는 않다.
어떤 경우에도, 상호작용이 많은 모델은 저렴하고 손이 많이 가지 않는 서비스를 원하는 다수의 클라우드 공급업체에게는 어울리지 않는다. 자동화된 방식으로 원격지에서 액세스할 수 있는 표준 클라우드 감사 방안을 개발하려는 노력이 진행 중이다. 이 방식이 컴퓨팅이 진행하는 방향에 훨씬 더 부합되며, 표준 방안을 프로비저닝 워크플로우의 일환으로 액세스 하여 규칙 기반의 엔진에서 자원 배치에 대한 의사 결정을 총괄할 수 있는 가능성도 있다.
2. 보상하라. 또 다른 접근방식은 클라우드 공급업체의 단점을 최소화하기 위한 보상 방안을 구현하는 것이다. 5가지 방안이 밝혀졌는데, ▲ 데이터 세탁이나 익명화 ▲ 데이터 암호화 ▲ 강력한 보안 인증을 가지고 있는 클라우드 공급업체 모색 ▲ 클라우드 공급업체가 필요한 컴플라이언스 대안을 제시하는 것을 조장하기 위해 더 많은 비용 지불 ▲그리고 (5) 프라이빗 클라우드 호스팅 이용하기.
처음 3가지 권고안은 훌륭한 제안이며 클라우드 공급업체의 컴플라이언스 대책 마련 여부에 관계없이 고려해보도록 처방할 예정이다. 이런 단계는 클라우드 공급업체의 대책이 실패하거나 기대에 못 미치더라도 보호 기능을 제공하며, 어떤 클라우드 공급업체가 개입돼 있더라도 모범 사례가 될 것이다.
네 번째와 다섯 번째도 의미는 있지만, 표준화된 자동화 서비스에 초점을 맞춰서 이득을 취하는 클라우드 공급업체가 존재하는 세상에서는 달성할 수 없을 것이다. 추구할 만한 가치는 있지만, 해당 상황에서 실행 불가는 하다고 해서 놀라지는 말라.
앞날을 바라보면서, 왕 박사는 다음 3가지 이유 때문에 클라우드 공급업체가 컴플라이언스 지원과 효율성을 기반으로 차별화하고 경쟁할 것이라고 예측하고 있다. ▲비용을 분산할 수 있고, ▲프로세스를 자동화해 그 결과 컴플라이언스 통제란 측면에서 매우 효율적으로 운영할 수 있으며, ▲규제와 법률적인 요구조건이 현재 중요하고 미래에는 더 중요해 질 것이므로 필수적이다.
다음과 같은 조건 하에 왕 박사의 의견에 동의한다. 컴플라이언스가 중요해질 것이다. 하지만, 진정으로 승리할 서비스 공급업체는 자동화된 내부 통제 기능을 필자가 앞서 언급한 자동화된 감사 메커니즘식의 자동화된 탐색 프로세스와 굳건하게 결합시키는 방법을 고안해내는 업체일 것이다.
수작업으로 이루어지는 상호작용, 감사, 방대한 체크 리스트 등의 현행 컴플라이언스 평가 모델은 과거의 비 클라우드 세계에서는 의미가 있었다. 미래의 클라우드 세계에서는, 속도와 민첩성이 핵심적이므로, 고가의 비용은 물론이고 장기간의 노동력 집약적인 프로세스 중간의 수동 감사 메커니즘은 장기적으로 유지될 수 없다. 운영 자동화만으로는 충분하지 않다, 모든 주변 상호작용 역시 자동화될 필요가 있다.
*Bernard Golden)은 컨설팅 기업인 하퍼스트라투스(HyperStratus)의 CEO이다. editor@idg.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.