기업들은 ‘클라우드 컴퓨팅’이 가져올 변화에 귀추를 모으고 있다. 이는 현재의 IT 인프라스트럭처가 비즈니스의 성패를 좌우하는 정보관리, 운영 기능을 제대로 발휘하지 못하고 있기 때문이다. 하지만 보안문제가 해결되지 않는다면 클라우드는 신뢰할 수 없다. 따라서 보안은 기업이 보다 신뢰할 수 있는 클라우드가 되는데 중추적인 역할을 담당한다.
오늘날 기업들은 ‘클라우드 컴퓨팅’이 가져올 변화에 귀추를 모으고 있다. 이는 현재의 IT 인프라스트럭처가 비즈니스의 성패를 좌우하는 정보관리, 운영 기능을 제대로 발휘하지 못하고 있기 때문이다. 특히 기업에서 정보의 양이 급격하게 늘어나고 정보의 내용 역시 복잡해지고 있는 상황에서 IT 인프라스트럭처는 운영, 관리, 유지보수 비용이 상당히 늘어났지만 상대적으로 성능과 유연성은 높지 않아 기업 업무 전체의 생산성이 낮춰졌다.
이와 반대로 클라우드 컴퓨팅은 기업이 사용한 만큼의 비용만 지불하게 만든 구조(pay as you go)이다. 즉 우리가 집에서 한 달 동안 사용한 수도, 혹은 전력만큼만 세금을 지불하는 것과 같은 방식이다. 이는 그 동안 어마어마한 규모의 IT 투자를 했던 기업들에게 매우 매력적인 방식이자, IT의 새로운 진보라 할 수 있다.
클라우드 컴퓨팅이 IT의 대세가 됨에 따라 전 세계 유수 기업들은 클라우드를 적극 도입하려는 움직임을 보이고 있다. 그런데 문제는 상당수가 ‘본격적인 도입’ 단계에 진입하지 않았다는 것이다. 미국 월간지 ‘CIO 매거진(CIO Magazine)’이 실시한 ‘요즘 CIO들의 현안(State-of-the-CIO)’ 설문조사에 따르면 51%의 CIO들이 보안상의 문제 때문에 클라우드 도입을 주저하고 있다고 한다. 클라우드로 옮겨진 정보가 예기치 못한 사고나 공격을 받을까 불안해하는 관리자들의 걱정을 확인할 수 있는 부분이다.
보안문제 해결이 클라우드의 신뢰성 높여
‘보안’은 모든 컴퓨팅 환경에서의 우선 고려 대상 중 하나이다. 과거와 달리 예기치 못한 사고나 공격, 혹은 시스템 내부 결함의 발생률이 높아지고 이를 악용하는 사람들의 숫자가 증가하며 보안의 중요도도 점차 커지고 있다.
그렇지만 보안 문제를 적재적소에 해결할 수 있는 현명한 방안들을 조기에 찾고 이를 구현한다면 기업은 보다 신뢰할 수 있는 클라우드를 마련할 수 있을 것이다. 그렇다면 비즈니스의 미래 성패를 좌우하는 정보를 안전하고 유연하게 관리할 수 있는 클라우드를 구축하기 위해서는 어떤 보안 활동들이 필요할까?
무엇보다도 보안에 필요한 다양한 컴플라이언스, 정책들이 물리적인 영역뿐 아니라 클라우드 컴퓨팅 환경에서도 동일하게 반영되어야 한다. 물리적 환경 내 자원을 모두 클라우드로 자연스럽게 옮기기 위해서는 ‘가교’ 역할을 담당할 기술이 필요한데 ‘가상화’가 바로 이상적인 방법 중 하나이다. ‘가상화’는 클라우드에 필요한 ‘효율성 증대’, ‘민첩성 향상’, ‘데이터센터 내 안전한 보안 기반 마련’을 가능하게 하기 때문이다.
가상화 과정을 완벽하게 거치고 나면 기업 IT 환경은 신뢰성이 높은 정보에 대한 접근 권한 체계를 마련할 수 있다. 이는 향후 기업 IT 환경이 다중 사용자 간의 정보 접근에 대한 권한 제어를 할 수 있는 기반이 되기 때문에 보안성이 탁월한 클라우드 구축을 가능하게 한다.
이후 본격적으로 안전한 클라우드 구현을 위한 가상 환경 내 컴플라이언스, 정책 적용은 다음 네 가지 단계로 구성된다.
가장 먼저 기업 IT 시스템 내 중요도가 낮은 인프라스트럭처 혹은 위험도가 낮은 애플리케이션의 가상화 작업이다. 여기서는 가상화 작업 중 필요한 보안 요구사항들이 거의 없기 때문에 애플리케이션, 인프라스트럭처 가상화를 통해 가상화 툴에 익숙해질 수 있는 기회를 경험할 수 있다.
VM웨어가 실시한 통계조사에 따르면 많은 조직들이 아직까지는 현 단계 수준의 가상화 작업이 주로 진행되고 있으며 전체 서버 중 25%에 해당한다. 그 다음 단계는 중요도가 높은 애플리케이션의 가상화이다. 여기서는 이전단계보다 더 많은 보안 요구사항을 필요로 하지만 전체 환경 내 인프라스트럭처의 확장성과 유연성을 한층 높일 수 있다. 여기서 한 가지 간과할 수 없는 것은 가상화 이후 정보 보안을 위한 규정 준수 체계가 가시적으로 보일 수 있도록 해야 하는 것이다.
세 번째 단계에서는 기업 내부에 클라우드를 구축하고 가상화된 애플리케이션, 인프라스트럭처를 유틸리티로 운영할 수 있도록 준비해야 한다. 이 단계에서는 애플리케이션 워크로드가 정책 및 서비스 레벨로 운영되는 가상 자동화 데이터센터로 구성된다. 세 번째 단계를 거치면 기업은 향후 물리적인 인프라스트럭처, 나아가 가상화 인프라스트럭처에 영향을 줄 정책, 규정들이 적재적소에 반영될 수 있도록 해야 한다.
그런데 여기서 중요한 것은 다양한 서버, 네트워크 등이 한데 통합되기 때문에 정보 접근에 대한 권한 설정이 명확하게 이루어져야 한다. 특정 정보에 대한 접근이 여러 곳에서 발생할 경우 충돌이 일어나거나 혹은 시스템 내부 문제가 발생하기 때문이다. 따라서 시스템이 접근 권한 제어에 대한 변경사항을 바로 확인할 수 있도록 수시로 모니터링 할 필요가 있다.
마지막으로는 다중 사용자 간의 충돌 없이 정보에 원활하게 전달할 수 있도록 가상화 인프라스트럭처를 외부 서비스 공급업체에게 맡겨야 한다. 여기서 외부 서비스 공급업체의 역할은 고객(기업) 내부 클라우드에 필요한 모든 정책, 컴플라이언스들이 반영될 수 있도록 모든 규정 준수 관련 이벤트들을 철저히 관리하는 것이다. 이는 다중 사용자 간 정보가 섞이게 될 경우 클라우드 내 정보 관리, 운영상에 일관성의 문제가 발생하기 때문이다.
클라우드는 IT역사의 새로운 패러다임
경우에 따라서는 2명 이상의 사용자들이 정보의 기밀 유지나 혹은 관련 비즈니스 업무의 명확한 분리를 위해 동일한 물리적인 시스템 상에서의 정보 접근을 원하지 않을 수 있다. 이 경우에는 물리적인 영역과 가상 영역을 적재적소에 연결할 수 있는 방법을 고안할 필요가 있는데 그 중 하나는 가상 시스템이 적합한 하드웨어 시스템 상에서 운영되고 있는지 검증할 수 있는 하드웨어 루트를 활용하는 것이다. 이 때 하드웨어 루트는 사용자가 신뢰할 수 있는 성능을 보여야 하고 가상 시스템은 하드웨어 칩 수준에서 적합한 하드웨어를 사용하고 있는지 확인해야 한다.
신뢰성을 확보한 하드웨어 루트를 활용하면 물리-가상화 영역 사이를 유연하게 연결할 수 있을 뿐만 아니라, 보안 프로필이나 규정 준수 요구사항이 유사한 시스템 풀을 생성하여 워크로드 최적화를 위한 동적 할당이 가능하다. 이와 같은 역량을 갖추면 기업 IT 환경은 신뢰성이 높은 클라우드 전용 리소스 풀을 가동시킬 수 있기 때문에 클라우드에 유연성을 부여할 수 있다. 그리고 기업은 인프라스트럭처가 보고하는 모든 가시적인 결과들을 확인할 수 있기 때문에 미리 보안 태세를 평가하고 감사 인력에 대한 규정 준수 상태를 실시간으로 확인할 수 있다.
이러한 네 단계의 여정을 거치면 클라우드의 ‘블랙 박스(black box)’로 불렸던 하드웨어 및 가상화 영역은 규정 준수에 대한 검토와 분석, 보고 작업이 가능한 클라우드의 최상위 애플리케이션 서비스 계층으로 변신할 수 있다. 따라서 기업은 이전보다 훨씬 수준 높은 인프라스트럭처 레벨단의 정책들을 유연하게 제어할 수 있고 클라우드 공급업체는 이를 가시적으로 보여줄 수 있는 서비스를 구현할 수 있다.
구텐베르그(Gutenberg)의 인쇄술이 인류의 ‘기록의 역사’에 중요한 한 획을 그린 것처럼 오늘날 클라우드 컴퓨팅은 IT 역사에 새로운 패러다임을 가져 올 혁신으로 등장했다. 클라우드는 기업 내 다량의 정보를 인터넷 공간으로 옮겨 저장 공간의 효율화만 가능하게 할 뿐 만 아니라 시간과 장소의 제약 없이 원활하고 일관된 비즈니스 프로세스가 진행될 수 있도록 할 것이다.
신뢰받는 클라우드의 핵심은 ‘보안’
여기서 보안은 기업이 보다 신뢰할 수 있는 클라우드가 되는데 중추적인 역할을 담당한다. 보안은 정보 자체와 다중 사용자 간의 정보 접근, 관리, 운영에 필요한 모든 보호 체계를 제공하기 때문에 정보는 가상화를 통해 위치에 관계없이 동일한 컴플라이언스, 정책을 적용 받을 수 있다.
이와 같은 장점들은 정보보호의 더 나은 발전을 가능하게 할 것이고 클라우드는 이를 제공하는 방식 자체를 뒤집을 것으로 예상한다.
곡식을 얻기 위해 집에서 기르던 가축과 물물교환하던 방식이 이제는 신용카드, 수표, 나아가 채권, 주식과 같은 금융수단으로 바뀌었다. 이와 같은 물물교환 방식은 당장의 재화가 눈에 보이지 않을 뿐만 아니라 남용될 소지가 매우 높은 것이 특징이다. 그럼에도 우리가 이를 매일 사용하는 이유는 무엇일까? 그것은 바로 보이지 않은 화폐에 대해 ‘신뢰성’을 부여했기 때문이다.
클라우드 역시 마찬가지이다. 지금 당장은 보안, 비용, 기술적인 이유 때문에 부담스러울 수 있다. 하지만 보안이 기존 IT 인프라스트럭처의 혁신을 일으키고 궁극적인 비즈니스 가치를 재고시키는데 필요한 ‘터닝포인트가’될 것으로 확신한다.
<글 : 김종덕 한국EMC RSA 정보보안사업부 지사장 (JD.Kim@rsa.com)>
http://www.boannews.com/media/view.asp?page=1&idx=20797&search=&find=&kind=1
댓글 없음:
댓글 쓰기