세간의 우려는 대부분 퍼블릭 클라우드에 쏠려 있다. 이에 대해 퍼블릭 클라우드 업체는 제기되는 여러 보안 우려에 대해 만반의 준비를 갖췄다고 항변한다.
외부 해킹에 대한 기술적 조치를 다 취해놨고, 내부인의 정보유출을 방지하기 위해 강도높은 정책을 취하고 있다고 강조한다. 그를 위해 국제적으로 공인된 서비스 인증을 적극적으로 받고 있고 갈수록 보안 규정을 강화할 것이라는 게 퍼블릭 클라우드의 입장이다.
일단 서비스 업체가 악의적으로 고객의 주요 정보를 유출할 지 모른다는 우려에 대해선 강력한 외부 감사를 통해 대응하고 있다.
■퍼블릭 클라우드, 외부 감사를 통해 정보유출 차단
퍼블릭 클라우드의 가장 대표적인 업체인 아마존웹서비스(AWS)는 다수의 국제 인증을 획득해 신뢰성을 확보하고 있다. SOC 1, SSAE16, ISAE 3402, PCI DSS Level 1, ISO 27001, HIPAA 등 계속해서 외부의 인증을 받고 있다.
SOC 1은 주요정보를 담을 수 있느냐를 검증하는 미국 공인회계사 협회(AICP A)가 제정한 연례 SSAE 16의 인증이다. SOC1은 SSAE16 인증 가운데 재무회계정보를 담을 신뢰성을 확보했다는 것을 증명한다. 이와 함께 SOC 타입2는 재무정보를 저장하기 위해 안정성을 보장하고, 정해진 프로세스를 준수한다는 것을 증명한다.
ISO27001은 2005년 10월 국제표준화기구에 의해 제정된 정보보호관리체제에 관한 표준이다. 위험 관리와 보안 정책 자산 분류 등 11개 분야 133개 항목에 대한 규격을 담고 있으며, 현재 정보 보호 분야에서 가장 권위 있는 국제 인증 규격으로 통한다.
PCI DSS는 신용카드 국제 보안규정으로 카드 소지자 데이터 보안 규격이다.
국제인증업무기준(ISAE)3402는 국제감사인증기준위원회(IAASB)가 제정한 아웃소싱 서비스 업체의 보안성과 관련한 인증보고서다.
AWS처럼 마이크로소프트(MS), 랙스페이스 등은 다양한 제3의 기관으로부터 클라우드 보안 감사를 받는다. 가트너의 지난해 조사결과에 따르면 2016년이면 퍼블릭 클라우드 사업자의 40%가 ISO 등 제3의 기관이 수행하는 클라우드 보안 검사를 수용할 것으로 전망했다.
국내 사업자인 KT의 경우 SOC 1, 2 인증과, ISAE 3402 인증을 확보했으며, KT는 금융감독원으로부터 금융거래에 사용되는 IT인프라에 대한 인증도 받았다.
KT는 2010년 4월부터 유클라우드 서비스에 대한 업무체계 및 내부통제 기준 등을 보완했으며, 글로벌 회계법인 언스트앤영으로부터 천안 및 목동 클라우드 데이터센터에 대한 실사와 평가를 통해 인증을 획득했다.
윤동식 KT 클라우드추진본부 상무는 “제3자의 인증을 통해 고객들의 보안에 대한 염려를 불식시키려 계속 노력하고 있다”라며 “안정성을 담보하기 위한 다양한 보완 조치를 강도높게 추가하고 있다”라고 밝혔다.
외부 해킹 우려에 대해서는 원칙적으로 계정 정보가 유출되지 않는 한 불가능하다는 것을 강조한다.
고객에게 할당된 가상서버(VM)과 스토리지는 완벽하게 관리되며 암호화 솔루션을 통해 관리된다는 것이다. 설령 특정 고객의 계정이 해킹당해도 타 고객의 VM엔 접근할 수 없다는 게 서비스업체의 설명이다.
■프라이빗이 퍼블릭을 주저앉힐까
현재의 추세라면 대형 기업들이나 공공기관의 클라우드 이행방향은 프라이빗 클라우드로 쏠릴 가능성이 높아보인다. 퍼블릭 클라우드는 신생기업이나 중소기업, 개인 개발자 등의 롱테일 시장에 머무를 것으로 관측할 수 있다.
IBM, HP, 델, 오라클 등 기존 IT인프라 하드웨어업체들도 프라이빗 클라우드 인프라 구축을 통해 매출을 확보할 수 있을 것으로 예상된다.
퍼블릭 클라우드 사업자가 고수익 사업을 영유하려면 대기업과 공공 시장을 잡아야 한다. 이들이 전세계 IT지출의 상당 부분을 차지하기 때문이다. 소수의 고객만 확보해도 안정적인 매출을 기대할 수 있다.
이상이 일반적인 추론이다. 하지만 프라이빗 클라우드가 퍼블릭 클라우드의 시장을 제한시킨다는 예상은 반만 맞다.
최근 징가는 아마존웹서비스를 사용하다 독자적인 데이터센터를 구축했다. 페이스북 어느 시점에 이르러 자체 데이터센터를 세웠다. 이는 특정 규모 이상의 VM을 운영하게 될 경우 퍼블릭 클라우드보다 프라이빗 클라우드를 이용하는 게 더 용이하다는 것을 의미한다.
업계서는 VM 인스턴스 1천개 이상일 경우 프라이빗 클라우드로 이전하는 게 비용효율적이라고 보고 있다. 고객이 특정 시점엔 이탈하는 게 당연한 수순이란 것이다.
이를 사업자가 가만 두고 볼 리 없다. 퍼블릭 클라우드 서비스 업체는 대형 기업의 인프라를 노린 서비스를 당연히 내놓는다.
■AWS-KT, 가상 프라이빗 클라우드 서비스
AWS는 가상 프라이빗 클라우드(vPrivate)란 서비스를 제공하고 있다. 이는 각 고객들의 요구사항에 맞춰 클라우드 인프라를 제공하는 서비스다. 인프라 구성부터, 서비스수준협약(SLA), 보안규정 등을 맞춤화해 제공한다.
하드웨어를 AWS 데이터센터에 두고 사용하거나, AWS의 하드웨어를 고객사 데이터센터에 설치할 수 있다. AWS는 인프라 비용과 함께 유지보수 서비스를 제공해 수입을 늘린다. 미국 연방정부만을 위한 아마존 GovCloud가 대표적이다.
얼마전 KT도 이와 비슷한 서비스를 출시했다. 하이브리드로 제공되는 KT의 가상 프라이빗 클라우드(VPC)는 퍼블릭 클라우드와 프라이빗 클라우드의 장점을 결합한 서비스로 물리적, 논리적으로 구분된 고객 전용의 클라우드 서비스를 제공한다. 또 KT의 유클라우드 인프라에 사용된 컴퓨팅 하드웨어를 고객사에게 직접 제공하고 인프라 환경을 구축해 주는 서비스도 있다.
이 같은 고객사 구축 및 가상구축 서비스는 프라이빗 클라우드 인프라 구축 사업분야를 공략하는 것이다. IBM, HP, 오라클 등이 노리는 구축 및 유지보수 서비스 시장을 차지하겠다는 노림수로 볼 수 있다. 더불어 시스템구축(SI) 사업자의 시장도 차지하려는 움직임이다.
관련기사
- 클라우드 안전합니까?②:신뢰를 논하다2012.03.30
- KT “클라우드도 하이브리드 시대”2012.03.30
- 클라우드 안전합니까?①:보안을 말하다2012.03.30
- [칼럼]클라우드 서비스로 시작되는 미래 플랫폼 전쟁2012.03.30
프라이빗과 퍼블릭 클라우드는 서로의 시장을 노리고 있다. 하이브리드 클라우드로 수렴될 것이란 전망도 우세하지만, 하이브리드 클라우드는 현재 상황에서 요원해보인다.
현재처럼 기업들이 보안의 문제를 이유로 외부 서비스 차단에 나선다면 결국 양분 구도가 만들어질 수밖에 없다. 내가 갖고 있어 잃어버리지 않을 것이라 생각할 것인지, 전문업체의 기술력과 서비스를 믿고 맡길 것인지 양자 선택뿐이란 이야기다.