-
대세인 클라우드 서비스, 하지만 엔터프라이즈 영역에서는 반드시 넘어야 할 산인 보안. 이들이 어떻게 조화를 이룰 수 있을까?Cloud service 2012. 8. 3. 09:42반응형
요즘 대세라고 불리는 IT 서비스는 뭐가 있을까? 많이들 얘기할 듯 싶다. 스마트폰, 태블릿과 같은 모바일 단말기와 iOS, 안드로이드, 윈도 폰 등의 모바일 OS 등을 통칭하는 모바일 플랫폼이 대세라고 말할 수도 있을 것이고 또 인터넷의 활성화가 낳은 클라우드 컴퓨팅 서비스가 대세라고 말하는 사람도 있을 듯 싶다. 트위터, 페이스북, 구글+와 같은 SNS가 대세라고 말할 수도 있을 것이고 이런 엄청난 양의 데이터를 핸들링하는 빅데이터가 대세라고 말할 수도 있을 것이다. 여하튼간에 IT 세계에 대세라고 불릴만한 아이템들은 참 많은 듯 싶다(그런데 보통 대세는 하나여야 정상인데 말이지 -.-).
이런 다양한(?) 대세들 중에서 개인적으로는 클라우드 컴퓨팅 서비스에 대해서 종종 생각하게 된다. 구름 서비스라는 말처럼 구름 안에다 어떤 데이터든 마구잡이로 막 던져놓고는 어디서든지 꺼내서 쓸 수 있게 만드는 서비스. 유무선 인터넷 서비스가 활발해지고 모바일 플랫폼이 대중화되면서 클라우드 컴퓨팅 서비스는 이른바 각광을 받기 시작한다. 엄청난 양의 데이터를 핸들링하는 빅데이터 처리 기법도 그 안에 녹여져있다. 즉, 지금 말하고 있는 대세들의 공통점, 혹은 연결고리를 만들어주는 것이 클라우드 컴퓨팅 서비스가 아닐까 하는 생각을 해본다. 지금까지 요 몇년간 진행되어온 IT 시장의 흐름을 볼때 왠지 그럴꺼 같다는게 내 생각이다.
이런 클라우드 컴퓨팅 서비스가 대세가 되면서 각 산업군에서 이것을 이용해서 어떻게 효과를 볼 수 있을까에 대한 연구가 많이 일어나는 듯 싶다. 개인적으로는 클라우드 스토리지 서비스로 집에서, 회사에서 PC로 또는 스마트폰이나 태블릿 등으로 자료들을 서로 공유하고 동기화해서 갖고 다님으로 스토리지가 갖고 있는 영역적 한계를 넘어설려는 시도를 지속적으로 하고 있다. 회사에서는 클라우드 컴퓨팅 서비스를 이용해서 각 부서간의 데이터 공유, 혹은 본사와 지사간의 공유, 그것을 넘어서 회사 안과 밖에서의 데이터 공유 및 교류를 진행하려고 시도하고 있다. 그 외에도 다양한 영역에서 클라우드 컴퓨팅 서비스를 활용하려는 시도들이 많이 일어나고 있다.
그런데 이런 클라우드 컴퓨팅 서비스가 활성화되고, 특히 데이터의 공유 및 동기화가 활성화되면서 학교, 공공기관, 기업 등의 이른바 엔터프라이즈 영역에 있는 산업군에서 활용하는데 걸림돌이 되고 있는 부분이 생기고 있다. 다름아닌 보안분야가 바로 그것이다. 클라우드 컴퓨팅 서비스가 엔터프라이즈 영역에 본격적으로 도입되면서 득이 되는 부분도 있지만 기업 핵심 자료들이 외부로 유출되는 사태가 벌어지면서 보안에 대한 이슈가 강력하게 대두되고 있는 것이 현실이기 때문이다. 기업의 자산이 외부로 유출되면 결국 기업 자체의 흥망도 문제가 되지만 자산의 규모에 따라서 국가적인 문제로도 커질 수가 있기 때문에 보안이라는 측면에서는 분명 클라우드 컴퓨팅 서비스, 특히 클라우드 스토리지 서비스는 넘어야 할 산이 많은 것이 사실이다.
보안의 중요성은 뭐 따로 말하지 않아도 될만큼 엄청나다. 기업의 특급 비밀이 담겨져있는 문서나 핵심 기술이 담겨져 있는 문서들이 기업 안에서, 그리고 공유되어야 하는 사람들에게만 돌아다녀야 하는데 이게 경쟁회사의 손에 넘어간다던지, 중국과 같은 해외에 유출되면 기업 자체에도 엄청난 돈과 노력이 투자된 자산이 헛되게 되어버린다. 해외로 유출되면 국가 자체의 경쟁력에도 문제가 생긴다.
기본적으로 보안은 기업주가, 경영자가, 어떤 회사나 팀에서 상급자가 다른 사람들을 믿지 못한다는 전제하에 이뤄진다. 보안의 기본은 인증, 즉 검증이다. 해당 담당자가 아니고는 문서든 컨텐츠든 사용할 수 없다는 것이며 해당 영역 이외의 지역에서도 마찬가지로 적용이 된다. 그렇기 때문에 보안은 상당히 까다롭다. 사람을 믿을 수 없기 때문에 시스템적으로 방어하기 위해서 까다로운 정책들을 적용하고 그것을 강제하기 위해 다양한 제약장치를 걸어둔다. 그래서 보안과 편의성은 늘 반비례한다는 얘기를 하는데 보안이 강화될수록 편의성은 떨어지고 생산성 역시 떨어질 수 밖에 없는 이유는 위에서 얘기한대로 시스템적으로 지키기 위해 정책이 허용하는 모든 범위에서 제약을 걸기 때문이다. 하지만 이것 역시 안전을 위한 최소한의 조치라고 생각하는 것이 기업의 경영자들, 상급자들, 그리고 국가의 경영자들의 판단이라고 생각하면 된다.
대기업에서 일하는 사람들이나 혹은 대기업의 발주를 받고 SI로 일하는 사람들은 해당 기업 안에서 PC를 사용하기 위해서는 다양한 보안 어플리케이션을 설치해야 하는 것을 알고있을 것이다. 회사에 들어갈 때 입고된 제품을 체크하고 나올때 안에서 만든 모든 자료를 다 삭제하고 나와야 하며 보안 어플리케이션을 사용하지 않으면 인터넷이나 다른 자원을 사용할 수 없게 만든다. 그리고 보안 어플리케이션을 설치하면 이것도 안되고 저것도 안되는 상황이 벌어지곤 한다(대표적인 경우가 매체제어인데 USB 저장장치에서 뭔가를 읽는 것은 되는데 쓰는 것이 안되는 경우가 대표적인 케이스라고 보면 된다). 깔고나면 무척이나 불편하다. 하지만 그게 정책이기 때문에 설치해야만 일을 할 수 있다. 이렇게라도 해야 최소한의 안전성을 가져간다고 생각한다.
물론 보안이라는 것 자체에 불신을 갖고 폐지를 해야한다고 말하는 사람들도 존재한다. 어차피 해킹되어서 빠져나갈 것들은 다 빠져나간다는 것이다. 이미 공공재가 된 것이나 다름없는 개인정보들이 대표적인 예이며 또 간혹 벌어지는 기업의 1급 비밀들이 유출되는 것도 마찬가지라는 것이다. 그리고 기업에서 만드는 모든 문서들에 다 보안을 적용할 필요가 없다고 말한다. 물론 맞는 말이다. 기업 안에서 만든 자료들이 모두 1급 비밀에 해당하지는 않을 것이다. 사용자가 보안적용여부를 선택하면 될 것이다. 하지만 보안을 해야 하는 문서에 보안을 걸지 않고 그것을 유통시킨다면? 보안이라는 것은 이런 1%의 가능성을 미리 차단한다는 것을 전제로 시작하기 때문에 이런 주장에 대해서 기업주는 반대적인 반응을 보이는 것이다. 뭐 기본적으로 사람 자체를 못믿겠다는 얘기다(이럴 때 성악설이 힘을 받는게 아닐까 싶다).
뭐 얘기가 길어졌다. 다시 본론으로 들어와서 기업이나 공공기관, 학교 등에서 이런 클라우드 컴퓨팅 서비스, 특히 클라우드 스토리지 서비스나 에버노트와 같은 서비스에 대해서 제한을 두는 경우가 많은데 기본적인 이유는 이런 서비스를 통해서 자료들이 유출될 가능성이 충분히 있기 때문이다. 편의성과 생산성을 생각하자면 이런 서비스를 적극 활용하는 것이 좋지만 보안이라는 측면에서 보면 이것은 독배까지는 아니더라도 비슷한 수준의 재앙으로 이어질 수 있다고 본다.
1차적으로는 개인 스스로가 이런 서비스를 통해서 자료를 유출하는 것에 대한 반응이다. 그리고 2차적으로는 현재 이런 클라우드 컴퓨팅 서비스, 특히 클라우드 스토리지 서비스의 스토리지 자체가 해당 기업이나 공공기관 등에 있는 것이 아닌 서비스를 제공하는 서비스 업체에 있다는 것이다. 그 서비스 업체가 맘만 먹는다면 저장된 자료를 자기들 멋대로 유용할 수 있다는 점이 문제가 된다. 또 해킹될 가능성도 충분히 있다. 이런 문제로 인해 보안이라는 측면에서 클라우드 컴퓨팅 서비스, 특히 스토리지 관련 부분은 많은 논란을 야기하곤 한다.
그렇다면 단순히 보안으로 인해 클라우드 컴퓨팅 서비스를 포기해야 할 것인가? 물론 클라우드 컴퓨팅 서비스 중 가상화 부분을 이용한 보안 부분은 제외하고 스토리지 부분만 놓고 봤을 때를 살펴본다고 가정할 때를 보자. 구글도 그렇고 다른 클라우드 스토리지 서비스나 비슷한 서비스를 제공하는 업체들은 나름대로 다 보안을 철저하게 한다고 말하고 있다. DDoS 공격이나 각종 해킹공격에 대응할 수 있도록 보안에 만전을 기하고 있다고 한다. 하지만 지속적으로 나오고 있는 해킹 이슈들, 보안 취약성 문제들로 인해 불안한 것이 사실이다. 실질적으로 문제가 되는 것은 해킹으로 인해 클라우드 스토리지에 저장된 컨텐츠가 유출되는 것인데 그렇다면 그 컨텐츠 자체에 보안을 걸어서 클라우드 스토리지를 이용하는 방법도 하나의 대안책이 되지 않을까 싶다.
이렇게 보면 된다. 업체에서 제공하는 시스템적인 보안, 네트워크 인프라에 대한 보안과 동시에 컨텐츠 자체에도 보안을 설정해서 놓으면 네트워크 인프라에 대한 방어와 시스템 방어가 뚫리더라도 컨텐츠에 대한 방어가 남아있기 때문에 안전장치를 2중, 3중으로 두는 것이 좋지 않겠는가 하는게 내가 생각하는 클라우드 서비스에 대한 보안에 대한 생각이다. 컨텐츠 보안에는 DRM도 있을 수 있고 DLP도 있을 수 있고 그 외에 무수히 많은 보안 서비스들이 있으니 알아서 적절히 잘 활용하면 될 듯 싶고.
그런데 뭔 클라우드 스토리지 서비스를 이용하는데 이리도 복잡하게, 그리고 귀찮게 사용해야 하는가라고 반문할 수도 있을 것이다. 개인적인 용도로 사용한다면 이렇게까지 할 필요는 없을 것이다. 하지만 기업에서, 학교에서, 공공기관에서, 혹은 국가기관에서, 즉 엔터프라이즈 영역에서 사용하기 위해서는 보안이라는 측면을 결코 무시할 수 없으며 기업주들이나 경영자들이 최소한으로 안전장치라고 생각하는 수준으로 봤을 때에는 저정도는 해야 안심을 할 수 있지 않을까 하는 생각에서 얘기하는 것이다. 물론 다 뚫릴 수도 있겠지만 최소한의 안전장치라는 측면에서는 저정도는 되어야 하지 않을까 싶다. 물론 가장 훌륭한 보안은 사용하는 사람 스스로의 양심을 지켜주는 것이지만 말이다.
다시 한번 말하지만 보안은 사람 자체를 믿을 수 없기에 미연에 시스템적으로 방어한다는 것을 기반으로 깔고 접근한다. 하지만 가장 훌륭한 보안은 그 사람 자체에 있다는 것이다. 뭐 CF에서 말하듯 사람이 길이라는 말을 보안 분야에서도 사용하고 싶다.
반응형댓글