클라우드가 CIO들에게 새로운 숙제를 안겨주고 있다. 데이터를 안전하게 유지하는 동시에 사용자들의 접속을 확대해야 한다는 숙제다.

 
연방정부의 CIO들이 고객들에 대해 이야기한다면, 이는 대부분 자신들의 기관에 속한 조직의 현업직원들을 의미하곤 한다. 즉 민간부문의 CIO들과 마찬가지로, 연방정부 기관의 CIO들도 사용자 친화적인 애플리케이션 및 서비스 개시에 대한 고민하는 것이다. 아울러 정부의 기준에 부합해야 하며, 이전 그 어느 때 보다 강력한 보안 위협에 대응하도록 준비해야 하는 숙제도 있다.

 

IT 서비스의 새로운 기대감을 안겨주는 클라우드
 현재 미 정부는 클라우드로의 전환을 준비 중에 있다. 이러한 상황은 클라우드의 보안과 고객 서비스 사이의 균형을 깨드리고 있다. 특히 직장에서의 정보 액세스와 기기의 제한에 대한 직원들의 반발이 커지면서 이러한 균형 문제는 더욱 심화되는 경향이라고 연방 뉴스 라디오(Federal News Radio)가 주관한 패널 토의에서 한 고위 IT관리가 말했다.

 

한 정부산하 위원회(the Recovery, Accountability and Transparency Board)의 CIO인 숀 킹스베리는 “고객의 기대수준이 이전보다 높다. 누구나 모바일 기기를 사용하며, 가정에서는 너무나 많은 일을 하고 방대한 정보에 접속한다. 그리고 사무환경에서의 기대수준은 가정에서의 기대수준을 훨씬 상회한다”라고 말했다.

 

미 정부의 클라우드로의 전환은 이미 진행 중이다. 오바마 행정부의 클라우드 우선 정책을 시작으로 정부기관 및 정부부처의 CIO들은 클라우드로의 시스템 이양을 진행해왔다. 그리고 우선적으로 이메일이나 웹호스팅과 같은 지원부처의 프로세스를 클라우드로 전환했다. 하지만 시간이 갈수록 중요도가 높고 조직 업무에 필수불가결한 애플리케이션을 클라우드로 전환하는 요구가 커지고 있는 실정이다.

그간 보안은 정부의 클라우드 기술 확대에 있어서 주요 장애물로 여겨졌다. 또 좀 더 개방되고 협동적 서비스에 대한 요구가 늘어나면서 근본적인 갈등 상황이 발생하고 있다.

 

킹스베리는 “균형을 추구해야 한다. 하지만 서비스를 제공하기 위해서는 희생해야 하는 부분들도 있다”라고 말했다.

이러한 도전은 민감한 종류의 데이터를 다루는 환경, 특히 군사 및 첩보와 관계된 고도의 보안성이 요구되는 환경에서 더 두드러지게 나타날 수 있다. 군인에게 건강관련 혜택을 제공하기 위해 최근 설립된 국방보건기구(Defense Health Agency)의 건강IT분야 고위 관계자인 카예타노 톤튼 중령은 이러한 문제점들이 서로 충돌하는 시점에 직면한 인물이다.

톤튼 중령은 “보안을 확실히 하라고 주문하면 보안 전문가들은 모든 시스템을 차단해버릴 것이다. 그렇다면 질 좋은 의료 서비스 혜택도 사라지는 것”이라고 말했다.

누가, 어떤 데이터를 어디에서 접근하는지에 대한 정밀한 통제를 추가하기
 상황을 세심히 고려하는 보안 프레임워크를 이용함으로써 역할기반의 접근과 네트워크 파라미터를 기반으로 한 전통적인 모델을 뛰어넘을 수 있다고 기대할 수 있다. 보안과 액세스 통제에 대한 소위 ‘3차원적’ 관점은 누가 특정 타입의 정보를 수집해야 하는지에 대해 훨씬 더 정밀한 접근법을 제시하는 것이다.

 

예를 들어, 경찰은 일상적으로 수사관련 신원조회과정을 진행하기 마련이다. 하지만 이러한 접근권한을 사용하여 자신의 딸이 만나기 시작한 남자친구에 대한 신원을 조사한다면 어떨까?

 

국방정보연구원(Defence Intelligence Agency)의 최고혁신책임자(chief innovation officer)인 댄 도니는 정부기관들이 ‘지속적인 컴플라이언스 감시(continuous compliance monitoring)’ 프레임워크를 통해 적절한 보안 관련 프로토콜을 설정하여 이를 통해 어떠한 상황에서 누가 어느 애플리케이션에 접근하는지에 대한 기록을 남기고 접근권을 통제해야 한다고 강조했다.

 

도니는 “클라우드의 속도와 신속성의 문제와 결부되어 액세스 전반에 대한 지속적인 통제의 필요성이 늘어나고 있다. 역할을 부여하는 것만으로는 데이터 보호에 충분하지 않다”라고 말했다.

 

패널 전문가들도 CIO들이 다양한 종류의 데이터들을 대상으로 어느 정도의 보안수준을 적용할 것인지 평가하는 것에 있어서 비슷한 정도의 차별화를 고려해야 한다고 입을 모았다.

 

킹스베리는 “이는 데이터 분류화(categorization)에 달려있다. 꼭 금전적인 문제로만 볼 수는 없지만 분명히 중요한 요소 중 하나인 보안 기준 강화에 따라 지불해야 할 대가가 있다. 하지만 불필요하게 암호화 레이어를 강화하게 되면 비민감성 데이터에 대한 접근도 제한되어 생산성을 저해한다”라고 설명했다.

 

이러한 접근법은 정부기관의 온전한 데이터 자산 평가에 도움이 되며 결과적으로 어떠한 정보가 암호화가 필요하며 그 중 어떠한 정보가 가장 엄격하게 접근이 통제되어야 하는지에 대해 단계별로 분류를 나누어 알려주게 된다.