[4월 기획] 클라우드로 전환, 보안은 걸림돌이 아닌 디딤돌

[CCTV뉴스=신동훈 기자] ICT 산업은 클라우드 컴퓨팅 혁명으로 패러다임이 변화하고 있다. IoT, 빅데이터 모바일 등 첨단 IT 산업 근간과 기반이 클라우드로 변화가 점점 빨라지고 있다. 클라우드는 ICT 비용절감, 업무혁신을 위해 정보 시스템을 자체 구축, 사용하는 방식에서 서비스 형태로 이용하는 것을 말한다.

해외 주요국은 클라우드를 통해 공공부문 확산 및 산업 경쟁력 강화를 추진하고 있다. 이미 클라우드 강국인 미국은 아마존웹서비스(IaaS 1위), 마이크로소프트(PaaS 1위), 세일즈포스닷컴(SaaS 1위) 등 클라우드 부문에서 강점을 보이고 있고 특히 독보적인 클라우드 사업자인 AWS는 2016년 서울 리전을 오픈 하면서 국내 IT 인프라 시장을 잠식하고 있다. 중국 정부 역시 바이두, 알리바바, 텐센트 등의 거대 기업에 적극 투자하며 클라우드 산업 육성 의지를 강하게 드라이브 하고 있다.

IT 시장조사기관 가트너에 의하면, 전세계 퍼블릭 클라우드 서비스 시장은 2016년 2092억 달러에서 연평균 16.3% 성장해 2020년 3833억 달러에 이를 것으로 예상하고 있다.

우리나라도 클라우드 중요성을 인식하고 세계 최초로 클라우드 컴퓨팅법을 2015년 9월 시행함과 동시에 2015년 11월 클라우드 서비스 활성화를 위한 정보보호 대책, 체계적인 클라우드 산업 육성을 위해 ‘제1차 클라우드 컴퓨팅 발전 기본계획(2016~2018)을 수립하기도 했다.

■ 클라우드 도입, 장점과 유의사항은?

클라우드 컴퓨팅이란, 인터넷을 통해 클라우드 서비스 공급자가 제공하는 IT 인프라를 사용자가 원하는 만큼 사용하고, 사용한 만큼 지불하는 서비스이다. 기존 온-프레미스 시스템에서 클라우드 시스템으로 변환 시 어떤 장점이 있을까?

먼저, 초기 투자 비용과 시간을 아낄 수 있다. 레거시 시스템(서버 호스팅, 코로케이션, 전산실 구축) 등은 아무리 빨라도 며칠, 최대 몇 주 시간이 소요되는 반면, 클라우드는 몇 번 클릭만으로 세팅이 가능하다. 또 필요한 만큼만 구입해서 활용하면 되기 때문에 기업은 다른 사업 영역에 자본을 투자할 수 있다.

가장 큰 장점은 필요한 만큼만 구입해 활용할 수 있기에 유연하게 활용할 수 있는 유틸리티적 특성이 있다. 예를 들어 이벤트를 자주하는 기업은 레거시 환경에서 항상 최대 트래픽을 기준으로 서버를 세팅해야 하는데, 클라우드 환경에서는 온-디멘드 특성을 활용해 트래픽에 대응할 수 있고 평상시에는 서버를 삭제해 비용절감을 이룰 수 있다. 이런 특유의 탄력성을 무기로 변화가 많은 게임사, 커머스, 미디어, 스타트업, 금융 등에서 효율적인 플랫폼으로 자리 잡았다.

IT 직원 인건비 절감이 가능하다. 복리 후생, 기타 고용 비용 등 경력 있는 IT 직원에게 소모되는 비용은 하드웨어나 소프트웨어 비용보다 훨씬 크다. 클라우드를 활용함으로써 공유된 인프라를 지원하므로 IT 직원 비용을 더 줄일 수 있다.

신뢰도가 높고 불필요한 중복을 없앨 수 있다. 이중화 및 안전성이 뛰어난 시스템을 구축하려면 장애로부터 보호할 추가 하드웨어 등 소요되는 경비가 만만치 않지만, 클라우드는 그럴 필요가 없다.

하지만 클라우드 도입 전 분명하게 염두해야할 것은 클라우드는 서비스라는 것이다. 서비스 이용에 대한 요구를 명확히 할 필요가 있다. 또한 서비스를 제공하는 클라우드 공급자에 있어서도 적절한 서비스를 제안할 필요가 있다. 단순히 비용절감이라는 이유로 클라우드에 접근해서는 서비스 공급자와 이용자간의 주종이 바뀌는 경우도 발생할 수 있다.

중앙대학교 산업보안학과 김정덕 교수는 “머리를 만지러 헤어숍을 갔을 때, 알아서 잘라달라고 하고 나서 불평을 얘기할 수 없다. 그리고 헤어디자이너도 고객에게 맞는 제안을 통해 서비스 만족도를 높여야 한다”며 “클라우드도 마찬가지로 하나의 서비스로 접근할 필요가 있다”고 말했다.

가상화 기술의 발전으로 클라우드 서비스 공급자가 공급할 수 있는 가용 자원량과 제어능력이 크게 향상돼, 2000년대 중반부터 기업 외에 일반 사용자들도 활발하게 클라우드 컴퓨팅 서비스를 활용하고 있다. 이와 함께, 사용자의 요구에 맞는 서비스 공급을 위한 노력도 이뤄지고 있다.

노규남 가비아 CTO는 “Usage가 낮은 서버를 클라우드 자원으로 투입하면, IDC 운영을 효율화할 수 있다”며 “실제로 장비 노후화에 따른 교체나 관리 인력 고용 등 관리 운영의 부담을 줄이려는 기업들이 클라우드를 많이 도입하려고 한다”고 언급했다.

■ 보안은 여전히 클라우드 전환 걸림돌

이런 다양한 장점을 가지고 있음에도 불구하고 국내에서는 아직도 클라우드 전환이 늦어지고 있다. 2016년 학계 자료에 따르면, 미국 시장은 공공 시장 도입이 40%를 넘었지만 당시 국내 공공 시장 도입은 3.3%에 불과했다. 현재도 10% 미만일 것으로 예상된다.

우리나라는 클라우드 컴퓨팅 발전법을 시행한지 3년이 지났지만, 아직까지 공공과 민간에서 클라우드 도입이 활발히 이뤄지지 않고 있다. BSA 소프트웨어 얼라이언스가 발표한 2018 글로벌 클라우드 컴퓨팅 스코어카드(2018 Global Cloud Computing Score card)에 따르면, 우리나라는 24개 주요 IT 국가 중 12위인 중간 성적을 기록했다. BSA측은, 한국은 클라우드 컴퓨팅을 위한 법률 및 규제 환경이 클라우드 혁신을 위해 더 개선될 필요가 있다고 지적했다. 여기에 더해 공무원과 IT 담당 직원 인식 개선 등이 필요하다는 업계 목소리도 전해진다.

현재 클라우드로 대대적인 전환이 이뤄지진 않고 기존 노후된 레거시 시스템을 클라우드 도입하거나, 예산이 책정된 곳만 클라우드로 전환이 이뤄지고 있는 상황이다.

전문가들은 향후, 공공 및 기업 대부분이 효율성과 증가하는 데이터양의 부담으로 클라우드로 이전될 것이라는 의견이지만 중요한 정보를 남에게 맡기는데서 오는 불안감이 걸림돌로 작용할 것이라 보고 있다.

보안은 어떤 경우에도 가장 높은 우선 순위를 가지는 검토요소이다. 클라우드로 전환 시 보안을 포함한 많은 인프라를 클라우드 사업자에게 위탁하게 되는데 이 때 사업자가 신뢰할 만한 기술수준과 윤리를 갖췄는지 확인하기 어려워 도입이 꺼려지게 된다. 또한, 클라우드 서비스에 대한 보안사고 발생 시의 리스크가 크기 때문이다. 그렇기에 아마존웹서비스(AWS), 마이크로소프트 애저 등 전 세계적으로 인지도 있는 클라우드 사업자에게 클라우드 쏠림 현상이 이뤄지고 있기도 하다.

클라우드 서비스로 인해 기업의 보안성이 향상되는 것도 고민해봐야 한다. 클라우드는 대규모 시스템에서 많은 고객에게 서비스를 제공하면서, 그에 맞는 수준의 보안스택과 전담 보안조직을 갖추고 있다. 필요에 따라서는 고객사의 요청에 따라 개별적인 보안정책을 제공하기도 한다. 내부 보안조직이 존재하지 않거나 충분한 예산을 투입하기 어려운 경우, 클라우드 서비스를 통한 보안성 업그레이드를 꾀할 수 있다.

그렇다고 이용자의 부주의로 인한 보안사고에서 자유로울 수는 없다. 클라우드 서비스의 특성상 어느 곳에서고 인터넷에 접속할 수 있는 환경이면 접근할 수 있기 때문에 이용자의 주의는 필수적이다.

김정덕 교수는 “클라우드 서비스 보안의 키워드는 ‘책임공유제(Shared Responsibility)’라고 할 수 있다. 서비스를 제공하기에 이에 대한 책임도 모두 제공자에 있는 것이 아닌, 보안사고의 주체에 따른 책임이 돌아간다는 것”이라며 “권리에 대한 이해와 책임에 대한 노력이 필요하다”고 전했다.

■ 클라우드 보안 위협, 기존 위협과 큰 차이 없다

클라우드 서비스에 대한 보안 위협은 클라우드 서비스 시작과 맥을 같이한다. 대표적인 사례로는 마이크로소프트 클라우드 서비스 환경 오류로 기업정보가 노출된 경우와, 플레이스테이션 네트워크 해킹, 구글 클라우드의 서비스의 유저 데이터 손실, 애플 클라우드 계정탈취를 통한 개인사진 유출 등이 있다.

최근에는 테슬라의 아마존 클라우드 계정이 암호화폐 채굴에 불법 사용됐다. 클라우드 보안위협은 해킹, 구현오류 및 시스템오류, DDoS 공격 등이 있으며, 내부관리자의 실수나 부도덕, 자연재해, 관리 부실 등의 문제가 있다. 또한, 클라우드는 해커들의 좋은 목표가 된다. 일단 공격에 성공하면, 공격범위의 확대가 용이하고 얻을 수 있는 이득이 크기 때문이다.

소프트웨어정책연구소 안성원 선임연구원은 “대부분의 클라우드 보안 위협은 전통적으로 분류되는 보안 위협의 범주를 크게 벗어나지 않고 일반적인 정보시스템과 같은 보안문제를 가지고 있다”며 “해결 방안도 기본적으로 유사하다”고 밝혔다.

김정덕 교수 역시 클라우드 서비스의 보안 위협은 기존의 네트워크 환경에서의 보안위협과 크게 다르지 않다는 입장이다. 때문에 보안솔루션을 구축하는 것과 함께 인적요소에 대한 인식개선과 보안정책 마련이 중요하다고 보고 있다.

■ 클라우드 보안 안전대비책, ‘클라우드 보안 인증제’

클라우드 도입에 방해가 되는 보안 때문에 국내 공공과 민간에서는 이런 인지도 있는 외산 클라우드 사업자 혹은 클라우드 보안 인증제를 도입한 기업의 클라우드를 선호하고 있는 상황이다.

클라우드 보안 인증제는 한국인터넷진흥원에서 운영하는 인증제로, ▲공공기관에 안전성 및 신뢰성이 검증된 민간 클라우드 서비스를 공급하고 ▲객관적이고 공정한 클라우드 서비스 보안 인증을 실시하여 이용자의 보안 우려를 해소하며 ▲클라우드 서비스 경쟁력을 확보하고자 하는 목적으로 지난 2015년 9월부터 시행되고 있다. 국내에서는 KT, 네이버, 가비아 등이 클라우드 보안 인증을 받았으며, 2018년 LG CNS가 인증을 받았다. 그렇다고 인증을 받지 않은 기업의 보안성에 대해 우려의 눈빛을 보낼 필요는 없다.

한국인터넷진흥원 인프라보호단 클라우드보안관리팀 고현봉 팀장은 “클라우드 보안인증제는 민간기업이 공공부문에 서비스를 제공할 수 있는 체계를 마련한 것으로 공공수요창출에 특화된 서비스로 공공영역으로의 진출 교두보를 마련한 것”이라고 밝혔다.

클라우드 보안인증을 세 번째로 획득한 가비아의 경우, 공공사업을 추진하며 보안과 유연한 기술지원, 공공 서비스를 강점으로 삼아 경쟁력을 확보하고 있다. 보안관제전문업체 자격을 취득해 공공 및 엔터프라이즈에서 요구하는 수준의 관제업무를 직접 수행하거나, 자회사인 보안전문기업 엑스게이트와 협력해 보안스택을 업그레이드 하고 있다.

가비아는 현재 고객이 중요하게 생각하는 장애 및 보안 이벤트를 빠르게 예측 또는 감지하기 위해 클라우드 인프라에서 수집되는 정보들을 신경망으로 처리하는 솔루션도 테스트하고 있는데 이를 통해 안정적인 클라우드 인프라 운영에 도움될 것으로 기대하고 있다.

인증제도도 중요하지만 간과하지 말아야 할 것은 지속성이다. 단지 인증만으로 그쳐서는 안 된다. 한국인터넷진흥원에서는 클라우드 보안인증제 최초평가 이후, 매년 사후평가를 진행해 클라우드보안 서비스의 보안 평가 인증 기준을 준수하고 있는지를 확인하고 분기별 점검을 통해 지속성을 점검한다. 그리고 만료일 이전에 유효기간 연장을 목적으로 한 평가를 진행하고 있다.

클라우드 보안인증제에 대해 김정덕 교수는 “인증평가와 사후평가 등을 통한 준수여부에 대한 확인도 중요하지만 지속적인 감시·관리기능이 필요하다”며 “무엇보다 서비스 사업자가 안정적인 서비스를 제공하기 위한 노력이 있어야 한다”고 말했다.

■ 클라우드 전환, 보안 때문이라도 해야 한다?

지난 3월 20일 진행된 마이크로소프트 디지털트랜스포메이션 서밋 기자간담회 자리에서 한국 마이크로소프트 고순동 사장은 “보안 때문이라도 클라우드로 전환해야겠다는 고객의 소리를 많이 듣는다”고 언급했다. 클라우드 도입에 있어 보안은 걸림돌이 아닌 디딤돌이 되고 있는 것.

애저는 마이크로소프트가 전 세계적으로 제공하는 보안, 개인정보보호, 규제준수, 투명성 원칙을 기반으로 설계된 신뢰할 수 있는 클라우드(Trusted Cloud) 서비스를 제공한다. 특히 70개 이상의 가장 폭 넓은 클라우드 관련 컴플라이언스 인증을 받아 탄탄한 보안을 선사하고 있다.

마이크로소프트 관계자는 “수십 년간 쌓아온 경험을 토대로 엔터프라이즈 소프트웨어를 구축하고 세계에서 가장 규모가 큰 온라인 서비스를 운영하면서 업계 최고의 보안 기술 및 방침을 구축해왔다”며 “이는 고객 데이터를 안전하게 보호하는 탄탄한 기반이 된다. 더불어, 애저는 공격에 대한 빠른 복원력은 선사하며 업계 최고 수준의 보안을 제공한다. 이에, 영국 국방부와 같은 높은 수준의 보안을 요구하는 기관에서도 마이크로소프트 클라우드를 도입해 디지털 트랜스포메이션을 진행하고 있다”고 전했다.

마이크로소프트 외에 다른 클라우드 사업자들도 클라우드 전환에 보안이 가장 걸림돌이라는 걸 알기에 클라우드 보안 측면에 많은 투자를 하고 있다.

KT UCLOUD의 경우 물리적으로도 높은 보안성을 갖추고 있다. 천안 CDC는 통제구역으로 지정돼 외부 출입을 제한하고 있고 건물 내부, 외부에 CCTV를 통해 감시 체계를 구축했다. 또한, 지문인식기 10개소, 카드리더기 47개소 등 출입통제 설비도 설치, 운영중이다.

노규남 가비아 CTO는 “클라우드는 대규모 시스템에서 많은 고객을 운용하게 되므로 그에 맞는 수준의 보안스택과 전담 보안조직을 갖추지 않을 수 없다”며 “따라서 내부에 보안조직이 존재하지 않거나 충분한 예산을 투입하기 어려운 경우 클라우드로 이전이 좀 더 보안적으로 개선되며 비용면에서 효율적일 수 있다”고 말했다.

4차 산업 시대, 언제 어디서나 손쉽게 대량의 데이터를 저장·관리 및 활용·분석 가능하게 하는 클라우드 서비스는 초연결사회 핵심 기반 기술이 될 것으로 기대된다. 하지만 아직까지 국내에서는 보안, 보호기술, 인프라 등 여러 이유로 공공과 민간 부문의 이용률이 저조한 상황이다.

특히 영상감시 분야에서는 해외 보다 국내 클라우드 서비스 도입이 더디고 이미 중국 등 선진국에 뒤쳐진 상황이다. 영상 데이터의 크기, 영상 데이터에서 유효한 데이터를 추출하기 위해서는 빅데이터 분석을 기반으로 한 AI 기술을 활용이 대두되고 있는 가운데, 파트 2에서는 영상감시 시장에서의 클라우드에 대해 알아본다.