코로나19 팬데믹으로 인한 재택근무, 원격 교육 등 IT 기술에 기반한 비대면 생활문화가 확산되고 있다. 그에 따라 클라우드 컴퓨팅에 대한 관심이 갈수록 높아지고 있으며, 클라우드 서비스 수요도 높아지고 있다.
클라우드 서비스 자체가 원격에서 네트워크 접속을 통해 운영하는 개념이기 때문에, 요즘같은 비대면 업무 환경이 확산되면서 운영 장소에 상주하면서 관리하는 시스템 보다 더 적합하고 편리하다.
그러나 우리나라 기업의 클라우드 전환율은 OECD 국가의 평균에 미치지 못하는 20%를 갓 넘기는 수준이다. 왜 우리 기업들은 클라우드로 넘어가기를 꺼려하는 것일까. 클라우드를 도입하면 시스템 관리가 과연 더 편해지는 것일까?
이에 대한 대답을 최광호 안랩 클라우드사업본부장이 내놨다. 테크42가 3일 개최한 웨비나 '클라우드 인사이트 1st'에서 최 본부장은 '우리가 클라우드로 가기 싫은 이유'라는 도발적인 주제로 기업이 클라우드 도입시 고려할 점을 설명했다.
그는 먼저 클라우드의 안전성에 대해 언급했다. 최 본부장은 "허름한 단독주택 보다 고급호텔의 보안이 더 잘돼 있듯이 대개의 클라우드는 안전하다"라고 운을 떼었다. 기계적인 장애는 인지하기도 전에 조치되고, 다수의 침해 공격에도 일괄적으로 대응해 주는 것이 클라우드 시스템의 장점이라는 것이다.
그러나 클라우드 시스템에서 발생하는 사고는 끊이 없이 이어지고 있는 현실이다. 가상 서버를 사용하는 클라우드 시스템에서는 아직 발견되지 않은 OS나 소프트웨어의 취약점이 완전하게 해결된 것은 아니다. 또 CSP(클라우드 서비스 제공사업자)가 이를 전적으로 해결하지도 못하고, 고객의 실수나 설정오류 같은 사고도 발생한다.
이로 인한 사고의 책임 공방을 위해서 CSP는 '책임공유모델'로 사고에 대한 책임을 고객과 나누고 있다. 막상 문제가 생기면 공동 책임을 져야 한다는 것인데, 이것이 우리가 클라우드로 가기 싫은 이유 중 하나다.
최 본부장은 "사고가 나면 담당 부서가 책임지는 것 아닌가 라는 생각에 CSP에 책임을 물으려고 한다. 투명하지 않고, 모든 것을 책임지지 않는 환경에서 사고가 나면 수습하기가 어렵다"라고 지적했다.
또한 이러한 사고를 미연에 방지하기 위해 수행하는 상위부서나 감독기관의 점검, 그리고 소비자보호 및 개인정보 보호 개념의 확산에 따른 고객과의 분쟁도 도입 기업으로서는 큰 부담이다. 온프레미스 시스템이라면 약점을 어느 정도 통제하고 문제 해결을 위해 이를 잠시동안 감출 수 있지만, 클라우드는 그렇지 못한다. 외부 감사자 등에게 일시적으로 문제점을 감추거나 할 수가 없고, 이를 통제할 수도 없다. 일상적인 대응에 어려움을 느끼는 것도 부담 요인이다.
이를 CSP가 알아서 대응해 주지는 않는다. 개별 기업이 적용하고 검토해야 하는 각종 법령과 인증 등의 규제에 대해서 CSP에게 별도의 서비스를 제공 받기는 현실적으로 어렵다. 단위 기업이 마주하는 법 규제 대응은 스스로 처리해야 한다는 것이다.
그럼에도 클라우드의 장점이 더 많기에, 기존 온프레미스 환경에서 클라우드로 이전할 때 고려해야 할 전략이 필요하다.
최 본부장은 클라우드 도입을 위해서 먼저 '메뉴를 이해하라'고 제안한다. 그는 "클라우드 서비스는 IT최신 기술을 고루 갖추고 주문을 기다리는 멋진 식당과 같다. 하지만 다양한 서비스도 무엇인지 모른다면 무용지물"이라고 말했다. 그렇기 때문에 안랩과 같은 MSP가 기업을 대신해서 최적의 클라우드 도입을 도와줄 수 있다고 설명한다. 고객의 비즈니스를 이해하고, 적절한 서비스를 선정해 아키텍팅을 하고 운영을 대행한다는 것이다.
다음 전략은 '한 방에 가려고 하지 마라'는 것이다. 온프레미스에서는 대개 시스템 도입을 한 번에 하는 경우가 많다. 은행들이 수년 마다 차세대라는 이름으로 진행하는 대규모 사업이 대표적인 사례다. 클라우드는 '내가 원할 때 빠르게 사용할 수 있다는 것'이 가장 큰 특징이다. 발주 기간도 필요 없고, 세팅도 오래 걸리지 않는다. 설계가 완료되면 바로 구성하고 이용하면 된다. 미리 계약하고 발주할 필요가 없다는 것이다. 단지 비용만으로 판단해서 클라우드로 한 번에 넘어가면 기존 환경에 익숙한 구성원들의 불만이 폭주할 수도 있다. 최 본부장은 "한 방에 가기 보다는 일정한 단계를 거쳐 점진적으로 적용하는 것이 조직의 학습과 적응 면에서, 또 시스템 신뢰성 측면에서도 안전하다"라고 조언한다.
세번째로는 '언제든지 버릴 수 있도록 하라'는 전략이다. 강력한 단일 퍼블릭 클라우드를 이용할 수도 있지만, 경우에 따라 여러 퍼블릭 클라우드를 함께 사용하는 멀티 클라우드나, 온프레미스나 프라이빗 클라우드를 함께 사용하는 하이브리드 클라우드로 바꿔야 할 수도 있다. 더 경쟁력 있는 제안을 해오는 다른 퍼블릭 클라우드로 바꾸는 편이 나을 수도 있기 때문에 특정 클라우드 서비스에 발이 묶이지 않도록 하라는 것이 최 본부장의 조언이다. 최 본부장은 "특정 업체의 기술이나 특정 CSP의 API를 지나치게 많이 도입한 개발은 지양해야 한다"라고 말했다.
최 본부장은 "요즘 보안 업계에서는 '제로 트러스트 시큐리티 모델'이라는 용어가 화두이다. 모든 사용자와 자산에 대해 신뢰하지 않는다는 전제 하에 보안 체계를 수립하는 것이다"라며, "이를 클라우드 비용관리에 적용하면, 비용이 발생하는 클라우드 서비스 운영에 대해 내외부 누구도 신뢰하지 말고 담당자가 리소스와 비용을 모니터링하고 사용 용도를 관리해야 한다"고 강조했다.
클라우드에서 보안은 어떻게 챙길 것인지에 대해서도 최 본부장은 인사이트를 전달했다.
클라우드에서 보안에 대한 기본원칙은 앞서 언급했듯이 공동책임모델이다. 그러나 보안에서는 원칙적으로 공동책임이라는 것이 없다. 클라우드 플랫폼을 제공하는 업체들은 모두 나의 업무를 위탁 받는 수탁업체에 불과하다고 최 본부장은 설명한다.
최 본부장은 "개인정보 관련 보안사고가 발생하면 직접적인 책임은 CSP에 있더라도, 이들 수탁업체에 대한 관리감독 의무가 있는 사용 기업에 원칙적인 책임이 있다는 의미"라고 설명했다. 100% 내 책임이라고 여기고 정보보호 관리체계를 수립해야 한다는 것이다. 그는 CSP에서 제공 가능한 보안조치를 확인하고, 대응이 필요한 부분의 대책을 주체적으로 추가해야 한다고 말했다. 이를 위해 여러 보안솔루션을 엮어 놓은 CSP의 서비스를 선택하는 것 보다, 통합적인 관리방안을 제시하는 보안업체를 통해 서비스를 제공받는 것을 추천했다.
소셜댓글