최근에 인프라나 서비스 플랫폼을 클라우드 서비스로 전환하는 사례가 늘어나고 있다. 아니 이미 보편화되어 있다고 보는 편이 맞을 것이다.
특히, 금융이나 의료 등 민감한 정보를 다루는 서비스까지 규제혁신이라는 추세에 따라 클라우드 서비스를 이용할 수 있도록 허용해달라는 요구가 많은 상황이다.
기업 입장에서도 클라우드 서비스 도입이나 전환이 안정성, 유연성, 비용 효과성 세 마리 토끼를 잡을 수 있다는 막연한 믿음(?)과 업무 효율성이 높아질 것이라는 기대로 적극 검토하고 있는 것이 현실이다.
그렇다면, 정말 클라우드 서비스는 안전하면서, 유연하게 서비스를 운영할 수 있고 비용도 저렴하면서 업무 효율성까지 높일 수 있는 도깨비 방망이 역할을 할 수 있을까?
클라우드 서비스는 기본적으로 가용성(Availability)을 극대화하기 위한 플랫폼이다.
인터넷에 연결된 상태에서 언제 어디서든 빠르게 접근할 수 있고, 인프라나 서비스 사이즈를 쉽게 조정해서 필요한 만큼 효율적으로 이용할 수 있는 기능을 통해 폭주하는 서비스에 적절하게 대응할 수 있도록 구현할 수 있다.
인력, 조직, 사무실과 같이 서비스 운영을 위해 필수적으로 필요한 서버, 네트워크, 어플리케이션 등의 장비들을 기존에는 직접 구매하거나 IDC를 임대하여 운영하는 방식이었지만, 인프라형(IaaS), 플랫폼형(PaaS), SW형(SaaS) 등의 형태로 구분하는 클라우드 방식은 확장성과 서비스 운영 측면에서 직접 구매 방식보다 비용도 저렴하고, 효율적이며 빠르게 대응할 수 있다는 관점(※최근에는 그렇지 않다는 인식도 커져가고 있다.)에서 그 활용 범위가 넓어지고 있다.
하지만 클라우드 서비스의 효율성과 빠른 대응이라는 장점은 정보보호 담당자 입장이 아닌 개발자와 기획자 등 서비스 개발/운영 관점에서 바라보는 시각이다.
정보보호 측면에서 더 효율적이거나 자동으로 보안이 강화되는 부분은 거의 없다.
오히려 더 복잡해진 환경과 더 쉬워진 운영 사이에서 정보보호 정책과 컴플라이언스를 적용하기 위한 아이디어와 솔루션을 제시하기 위해 고민만 깊어질 뿐이다.
그렇다고, 무작정 정보보호를 이유로 변화하는 시장에 대응하는 플랫폼의 진화를 막는 다는 것은 조직의 서비스와 비즈니스 성장에 부담이고, 정보보호의 존재 이유를 다시 묻게 될 뿐이다.
그래서 정보보호 담당자들은 클라우드 서비스 도입 시에 많은 부분을 고민하고 검토해야 한다.
그 중에서 가장 중요한 부분은 사람에 대한 관리다. 특히 클라우드 서비스를 운영하거나 사용하는 인력에 대한 통제 방안을 충분하게 구축하고 있는지가 중요하다.
업무 효율성을 높이기 위해 클라우드 서비스 운영 및 어플리케이션 개발 조직에게 부여되는 다양한 권한들과 인증, 접근통제 방식에 대해 정보보호 관점에서 적절성과 감사(Audit) 기능을 충분하게 활용할 수 있는지를 확인해야 한다.
최근에는 신속한 서비스 환경 구축을 위해 운영, 품질 및 개발을 통합한 DevOps(DevSecOps) 방식을 선호하다 보니 서비스 운영 및 어플리케이션 개발 조직에게는 정보보호가 장애물처럼 여겨질 수 있을 것이다.
그럼에도 불구하고, 정보보호 조직은 정보보호의 기본적인 도메인(인증, 접근통제, 모니터링, 감사 등)에 대한 근본을 잊어서는 안 된다.
클라우드를 통해 혁신적인 플랫폼을 만들더라도 안전한 서비스를 위한 정보보호 활동을 소홀히 하는 경우, 회사는 다양한 이해관계자들로부터 신뢰를 잃어버리게 될 위험에 놓이게 되고, 정보보호 조직은 존재 이유를 찾아야 할 상황이 될 것이란 점은 변하지 않기 때문이다.
글. 보안전략연구소 박나룡 소장
★정보보안 대표 미디어 데일리시큐!★