보안 / 클라우드

클라우드 컴퓨팅 보안, 갈 길이 멀다 : 가트너

Ellen Messmer | Network World 2013.04.12
가트너 애널리스트 제이 하이저에 따르면, 가트너 고객들은 클라우드 계약에 제시되는 보안과 신뢰성 조항에 '실망하는' 경우가 많다.
 
가트너 리서치 부사장 제이 하이저에 따르면 클라우드 컴퓨팅의 보안이 높은 수준에 이르려면 아직 갈 길이 멀다. 하이저는 보안 문제가 개선될 때까지 민감한 데이터를 보유한 기업과 정부 조직들은 클라우드 기반 서비스를 도입하지 않을 것이라고 말했다.
 
하이저는 가트너 고객을 대상으로 한 온라인 프레젠테이션에서 "금융 기업들은 중소기업에 비해 클라우드 컴퓨팅에 대해 더 보수적인 자세를 보인다"고 전했다. 
 
하이저는 '클라우드 컴퓨팅의 보안 리스크 대비 및 최소화'에서 서비스 공급업체의 역량에 대한 의존도가 더 낮고 더 유연하다는 이유로 서비스 형태의 소프트웨어(SaaS)를 사용할 때보다 서비스 형태의 인프라스트럭처(IaaS)를 사용할 때 보안 기준선을 정립하기가 더 쉽다고 말했다. 
 
그러나 전체적으로 클라우드 서비스 공급업체는 비즈니스 연속성, 재해 복구 방법과 같은 사안에 대해 필요한 만큼의 투명성을 제공하지 않아 고객의 신뢰를 얻지 못하고 있다.
 
하이저는 "거의 모든 가트너 고객들이 보기에 클라우드 컴퓨팅 계약에는 보안과 관련된 구체성이 여전히 부족해 이와 관련해 고객이 실망한다"며, "클라우드 계약은 불완전하다"고 주장했다.
 
클라우드와 고객 사이의 기술적, 법적 의무를 규정하기가 어렵다는 점은 미 정부와 계약 가능한 클라우드 서비스 공급업체를 인증하기 위한 미국 연방 정부의 FedRAMP 프로그램, 그리고 산업 표준을 규정하기 위해 노력 중인 여러 워킹 그룹이 소속된 클라우드 보안 연합(CSA), 두 곳에서 모두 고심하고 있는 부분이다.
 
하이저는 미국 공인 회계사 협외(AICPA)가 SAS70 인증을 SOC 1이라는 서비스 공급자 인증으로 대체했으며, 현재 서비스 공급업체 시스템의 신뢰성과 보안을 나타내기 위한 SOC 2와 SOC 3도 있다는 점을 언급했다. 
 
그러나 하이저는 클라우드 컴퓨팅 보안 표준화를 위한 이와 같은 노력도 중요하지만 내년부터 운용될 예정인 FedRAMPdh CSA 표준이 여전히 초기 프로젝트이며, 실질적인 영향을 미치기까지는 아직 몇 년이 더 걸릴 수 있다고 지적했다. 
 
하이저는 ISO/IEC 27017 클라우드 보안 표준과 27018 클라우드 프라이버시 표준에 대해서도 비슷한 입장을 전했다. 클라우드 컴퓨팅 보안을 위한 이런 모든 노력은 가치 있는 일이지만 성숙 단계에 이르기 위해서는 1년에서 길게는 5년까지 걸릴 수 있다는 것이다.
 
그때까지 기업과 정부는 요구 사항을 명확히 하고 클라우드 서비스와 보안 옵션을 최대한 면밀하게 평가해야 한다. 하이저는 시작점은 우선 클라우드 서비스로 옮길 데이터의 민감성을 확인하는 것이라고 언급했다. 하이저는 "기업들은 데이터가 손실될 경우 어떻게 되는지, 중요한 경쟁적 가치를 지닌 데이터인지, 데이터가 규제 대상인지 등을 파악해야 한다. 결국 관건은 서비스의 타당성을 판단하는 것"이라고 설명했다.
 
하이저는 현재 클라우드 컴퓨팅에서 가장 성숙하고 즉시 사용 가능한 보안 통제 방법으로 신원 및 접근 관리 메커니즘과 서버 기반 암호화를 꼽았다. 
 
하이저는 "클라우드 고객은 암호화 키가 어떻게 관리되고 보관되는지, 그리고 위험 관리가 적정 선에서 이뤄지는지 확인해야 한다"고 강조했다. 또한 "게이트웨이 기반 암호화 또는 브로커 게이트웨이나 프록시도 사용 가능한 옵션이며 빠른 속도로 바뀌고 있다"고 전했다. 포렌식 조사는 현재 현실적으로 어렵고, 전체적인 보안 통제 관점에서 클라우드 컴퓨팅을 위한 '견고한 기술 기반'을 다지는 데 아마 앞으로 5~10년은 더 걸릴 것이라고 덧붙였다.
 
클라우드 컴퓨팅의 경제적인 매력은 강력하고, 경우에 따라서 경제적 혜택이 잠재적인 위험을 감수할 가치가 있는 것처럼 보이기도 한다. 가트너는 고객들에게 민감도가 낮은 데이터를 클라우드 서비스로 전환하는 방안을 고려하라고 조언했다. 그러나 민감도가 '보통' 수준만 되어도 반드시 위험 평가를 수행해야 하며 데이터의 민감도가 높다면 클라우드 서비스를 이용할 생각을 접어야 한다.
 
또한 하이저는 이 과정에서 비즈니스 관리자가 개입해서 데이터를 자신들이 '소유'한다는 것을 확인하고, 클라우드 컴퓨팅에 관련된 위험성을 정확히 파악해야 한다고 말했다.
 
하이저는 "클라우드 서비스 공급업체가 해킹에 대한 배상책임을 제시하는 경우는 극히 드물다"고 말했다. 지금은 고객들이 일종의 공급망 클라우드로 진입하고 있는 중인데도 SaaS는 운영 투명성에 있어 IaaS보다 여전히 더욱 불투명한 상태를 유지하고 있다. 클라우드 공급업체가 비즈니스를 접을 위험이 상존하므로 공급업체가 데이터를 반환하거나 백업을 위한 비상 대책이 있다는 확신이 필요하다. 
 
하이저는 2년 전 멈보(Mumboe) SaaS가 사업을 접으면서 고객에게 2주 내에 데이터를 회수하라고 통보한 사례를 언급했다. 이 사건 후 클라우드가 때로는 증발할 수 있으며 비상 사태에 대한 대응책이 있어야 한다는 인식이 형성됐다.
 
아마존, 구글, 마이크로소프트와 같이 현재 클라우드 컴퓨팅을 대표하는 업체들에서도 데이터 분실 사건이 있었다. 잠시 후 되찾은 경우도 있지만 영영 찾지 못한 경우도 있다. 
 
하이저는 "복원은 쉬운 과정이 아니다. 서비스와 가용성 손실을 최우선적으로 고려해야 한다"고 말했다. 특히 서비스에서 라이브 업그레이드가 수행될 때 대대적인 데이터 손상이 발생할 수 있다고 하이저는 경고했다.
 
IT 관리자들은 애플리케이션, 서비스, 서버, 스토리지, 네트워크와 보안을 내부에서 세부적으로 통제할 수 있다는 개념에 익숙하다. 하이저는 클라우드 컴퓨팅에서는 이처럼 익숙한 수준의 유연성을 결코 얻을 수 없다는 사실을 인식해야 할 필요가 있다고 덧붙였다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.