구글이라고 안전? 퍼블릭 클라우드 보안을 위해 기업에게 프라이빗 클라우드가 필수다. 구글이나 아마존같은 거대 클라우드 서비스 기업들도 아직까지 완전한 보안을 보장하지 못함을 주목하라
김상현 한국오라클 엔터프라이즈 아키텍처실 상무는 24일 메가뉴스 지디넷코리아가 잠실 롯데호텔에서 연 '제5회 ACC' 기조연설을 통해 기업들이 클라우드 컴퓨팅을 도입하기 전에 보안문제를 심각하게 고민해야 한다고 역설했다.
김 상무는 올 들어 클라우드 컴퓨팅 논의가 '언제'에서 '어떻게'로 옮겨갔다며, 해당 서비스를 업무에 도입하려는 기업이 늘어났음을 강조했다. 이에 따라 기업들이 클라우드에 대해 피상적인 수준에서 문제제기 하는 것을 벗어나, 구체적인 문제점에 대해 고민하기 시작했다는 것이다.그는 클라우드를 어디에 쓸것인가, 어떤 요구사항이 있나를 고민하기 전에 지금은 조금 더 보안에 대해 고민해야 할 때라며 조금만 부주의 해도 보안에 대한 우려가 항상 남아 있는 것이 클라우드 환경이라고 말했다.
서비스 제공자와 사용자간에 명확한 계약관계는 필수 조건이다. 예컨데, 보안이나 업무절차, 방법 등이 명시적으로 계약사항에 언급되지 않을 경우, 데이터 유출이나 손실 등 사용자가 피해를 입는 상황에서 어떠한 보상도 받지 못할 수 있기 때문이다.
또 기업에서 클라우드를 도입할 때, 버추얼 머신을 빌려오는데 이때 데이터가 여러 기계를 자동으로 옮겨다닐 수 있다는 상황도 언급했다. 장비가 바뀌면서 데이터가 잘못 들어갈 가능성도 있다는 뜻이다.
실제로 미디어가 어디에 저장될 지 모르는 상황에서 데이터 유출이나 분실에 대한 우려도 크다. 은행업무자동화기기(ATM)처럼 민감한 데이터를 보유한 스토리지가 제대로 폐기되는지 여부도 확인해야 한다고 그는 덧붙였다.
그러나 아직까지 서비스 제공업체들은 데이터 보안과 관련, 완전한 보장을 약속하지 않고 있다. 아마존의 경우 웹서비스 계약에 '아마존은 보안에 대해 보장하지 못한다' '(보안과 관련해) 사용자에 책임이 있다' '콘텐츠와 애플리케이션을 보호하고 백업하고 보안을 유지해야 할 책임은 사용자에 있다' 등의 조항을 삽입했다.
이와 관련 김 상무는 보안문제에 대해서는 사법체계보다 오히려 서비스 제공업체들이 데이터를 어떻게 관리하는 절자 하나하나를 제대로 명시하는 것이 효과적일 것이라며 데이터센터가 물리적으로 얼마나 격리되어 있고 접근권한에 제한을 뒀는지를 강제적으로 밝혀야 할 것이라고 제안했다.
아울러 최근 소니 게임 네트워크가 해킹을 당한 사례도 들었다. 해커들이 소니를 해킹하기 위해 아마존의 하드웨어 서버를 사용했다는 것이다. 정상적인 방법으로 서버를 대여한 후 소니에 공격을 한 사례인데, 부적절한 아이디로 등록을 하더라도 아마존으로서는 아무런 대응을 할 수 없다는 것을 한계로 지적했다.
관련기사
- 클라우드 강자 KT 비법 들으니...2011.05.24
- [제5회 ACC]"클라우드 활성화 정부가 먼저 나서겠다"2011.05.24
- 클라우드 고수들 총집합...비법 대방출2011.05.24
- 시스코, 고도의 기술과 전략으로 클라우드 '승부수'2011.05.24
김 상무는 이같은 상황에 대한 해결책 중 하나로 기업이 퍼블릭 클라우드를 위한 백업으로 프라이빗 클라우드를 도입할 것을 권유했다.
그는 서비스 제공업체에 이런 부분을 너무 강제할 경우 사업 자체가 위축될 가능성이 있는 것도 사실이라며 그렇기 때문에 우선은 기업들이 퍼블릭 클라우드에서 발생할 수 있는 보안 문제를 해결하기 위해 부분적으로 프라이빗 클라우드를 도입할 필요가 있을 것이라고 강조했다.