말 많고 탈 많은 클라우드, 보안에 긍정 효과 일으킨다

혼잡한 클라우드 도입 양상... 스스로 지키기 위한 노력들 일어나
더 엄격해지고 계약서에 꼼꼼하게 명시하고...다중인증 기본 될 수도

문가용 기자  globoan@boannews.com
[2016.9.28.]

[보안뉴스 문가용] 이제 IT에 몸담고 있는 사람이라면 누구나 클라우드가 뭔지 이해하고 있을만한 때다. 정보보안에 몸담고 있는 사람이라면 아직 ‘보안에 그렇게 이상적인 플랫폼은 아니’라는 생각이 대부분일 것이다. 보안에 있어서 클라우드란 아직 ‘물음표’를 자아내는 이름이지만, 그럼에도 클라우드 때문에 변하는 보안 업계 내 움직임들이 있다. 클라우드가 그만큼 ‘보안을 이유로 거부’할 수 없는 현상이라는 뜻이다. 이 변화들을 정리해본다.

1. 보안, 더 엄격해지다

다중인증은 미사일 발사 기지에나 적용되던 것이었는데, 클라우드에 데이터를 저장하고 있는 기업들에게도 ‘기본 소양’이 되고 있다. 이처럼 클라우드로 옮겨간다는 건 기업이 보다 강력하고 엄격한 보안 정책 및 장치들을 적용해야 한다는 뜻이 되고 있다.

<중략>

2. 감사를 받아야 할 때

IT 종사자들이라면 외주 서비스를 활용할 때 컴플라이언스 문제 때문에 여러 가지 감사를 먼저 하는 것이 상식이다. 즉, 해당 서비스 제공업체와 우리 회사가 계약을 맺는다고 할 때 법적으로 어긋나는 사항은 하나도 없나 꼼꼼하게 점검하는 것이다. 이는 보안 관리라는 회사 전략의 차원에서 매우 중요한 일이지만, 그 외주 서비스가 클라우드 업체라면 얘기가 조금 달라진다. 기술적으로 클라우드의 퍼포먼스를 감사한다는 게 단순한 일이 아니기 때문이다.

<중략>

3. 암호화 정책은 무엇인가요?

보안 담당자들이 기존의 네트워크를 가로지르는 암호화된 트래픽을 모니터링 했듯이, 클라우드에서의 암호화된 트래픽 또한 주시해야 한다. 이는 클라우드 내 사용자의 권리와 책임에 대해 확실히 알고 있으며, 이를 철저하게 통제할 수 있다는 뜻이 된다.

<중략>

4. 모든 데이터가 평등하지는 않다

클라우드는 백업과 저장에 매우 용이하다. 게다가 비싼 것부터 저렴한 것까지 서비스도 다양하다. 선택의 여지가 넓다. 그렇기 때문에 곧잘 빠지는 유혹이 있으니, 민감한 정보든 아니든 한 곳에 똑같이 ‘때려넣는’ 것이다. 하지만 싸고 빠르게 저장할 곳이 많다고 해서 아무거나 닥치는 대로 집어넣는 건 어리석은 짓이다. 게다가 추후에 특정 기기나 데이터를 따로 관리하기 시작하면 쓸데없는 비용이 발생하기도 한다. 데이터는 중요도나 민감도에 따라 차등적인 가치를 부여해 관리해야 한다.

<중략>

5. 큰 혼란의 시기

정보유출 사고가 발생한다면, 누구의 책임인가? 이걸 판단해내는 건 악명이 자자할 정도로 어려운 일이다. 최초 보고에서부터 고객들 및 관련 규제 기관에 알리고 복구 작업을 진행하면서 손해 배상에 필요한 법정 절차까지도 밟아나가는 모든 과정에서 숱하게 듣는 질문이고, 가장 답하기 어려운 부분이다. 그렇기 때문에 최근에는 아예 계약을 최초에 맺을 당시부터 이 부분을 정하고 넘어가라고 전문가들은 조언한다.

<중략>

6. 애플리케이션 보안도

애플리케이션 보안에 대해 보안 담당자들은 할 말이 많다. 개발자들이 보안의 기본수칙을 전혀 지키지 않아 애초에 취약점이 많은 상태로 소비자들에게 공개된다는 것이다. 그렇다면 클라우드 제공업체들이 제공하는 클라우드 앱이라고 해서 다를 것이 없다고 봐도 된다. 이는 클라우드 서비스 자체를 이용하는 것과는 또 다른 문제다. 집에 들어가려면 문을 열어야 하듯이, 클라우드 내부로 들어가려면 앱을 거쳐야 한다.

<중략>

7. 클라우드와 컴플라이언스

보안 담당자에게 컴플라이언스란? 골퍼에게 있어 천둥벼락과 같은 존재다. 하나도 반가울 것이 없다는 것이다. 법이나 필수로 정해진 각종 정책과 표준을 지키는 것은 중요하나, 그것들을 지키기 위해 들어가는 노력이 효과에 비해 터무니없이 크다. 게다가 최근 유럽연합에서의 데이터 프라이버시 정책(GDPR)이 바뀌면서 데이터를 아무데나 저장하는 게 금기시되는 분위기다.

<중략>

기사 상세 내용 보기_클릭