SAP가 말하는 클라우드 보안 3계명

일반입력 :2014/11/10 09:46

손경호 기자

클라우드 서비스는 데이터가 어느 곳에서 어떤 방식으로 유통되고 있는지 파악하기 어렵기 때문에 관리 포인트 역시 명확치 않은 경우가 많다.

기업들은 클라우드를 통해 업무에 필요한 기본적인 정보를 공유하지만 민감한 데이터에 대해서는 여전히 클라우드 상에 올리길 꺼리고 있다.

이러한 가운데 기업용 애플리케이션 소프트웨어 분야 핵심 기업 중 하나인 SAP의 클라우드 솔루션 전략 담당 스벤 데네켄 부사장은 SAP는 클라우드 보안에서 '1-2-3'를 가장 우선 순위를 두고 있다고 밝히면서 클라우드를 안전하게 사용할 수 있게 하는 보안 3계명에 대해 설명했다. 150개국, 6만5천명 직원들이 자체 클라우드 솔루션을 활용하고 있는 SAP에게도 보안은 중요한 문제다.

9일(현지시간) 미국 지디넷에 따르면 데네켄 부사장은 먼저 데이터센터나 클라우드 솔루션 혹은 고객 데이터를 처리하는 곳의 물리적 위치에 대해 IT담당자들이 주의를 기울여야 한다고 설명했다. 유럽 중에서도 특히 독일은 연방정보보호법(Federal Data Protection Act)를 통해 고객 데이터를 저장하는 센터의 지정학적인 위치를 믿을만한 곳으로 지정할 수 있도록 하고 있다.

두번째는 클라우드 컴퓨팅 환경에서는 보안을 바라보는 기본적인 자세가 바뀌어야 한다는 점이다. 핵심 자산을 믿을 수 있게 하고, 어떤 서비스 제공자의 브랜드 가치를 높일 수 있다.

SSL(Secure Sockets Layer)로 사용자 기기에 대한 데이터 암호화를 하는 것이 좋은 사례다. 이를 통해 모든 수준의 클라우드 컴퓨팅을 통제할 필요가 있다. 데이터센터에서부터 데이터베이스, 미들웨어, 애플리케이션 영역까지 모두 해당한다. 좋은 퍼블릭 클라우드 모델은 모든 스택 영역은 보안 감사를 위해 엄격한 보안 표준을 따라야 한다.

임직원, 애플리케이션, 각종 시스템, 네트워크 등을 대상으로 수단과 방법을 가리지 않고 들어오는 비인가된 데이터 접속 및 오남용, 기밀데이터 유출에 대응해야 한다.

클라우드 컴퓨팅은 기업 내 IT담당 직원들이 겪는 일상적인 업무에 대한 부담을 줄여주고, 더 생산성을 높일 수 있도록 돕는다. 그동안 클라우드 사업자들은 그들에게 특화된 업무에 집중할 수 있게 한다. 이러한 과정이 반복되고, 자동화 되면 매뉴얼에 따라 처리해야 하는 수 많은 일들을 줄인다.

세번째는 웹 상에 무장지대와 비무장지대(DMZ)를 구분해 관리하는 방법이다. 우리나라로 따지면 인터넷, 내부시스템을 별도로 관리하자는 망분리와 유사한 개념이다.

글로벌 환경에서 인정받는 보안감시 표준으로는 EU 95/46 EC, PCI-DSS, ISO 27002, BS7799, ASIO-4, FIPS Moderate, BS10012, SSAE-16/SOC2 등이 있다. 이들 인증은 데이터 센터와 각종 IT서비스에 대한 기본적인 안전성을 보장해준다.

관련기사

모든 제조사들은 이러한 인증을 받는 것과 동시에 네트워크 아키텍처는 멀티-티어를 지원해야 한다. 망분리 환경을 지원할 필요가 있다는 것이다.

예를 들어 엔드유저 트래픽은 관련 웹서버(DMZ존)에만 제한적으로 들어올 수 있도록 할 필요가 있다. 여러 호스팅 환경에서 개별 티어 역시 DMZ와 같은 형태로 관리돼야 한다. 이들은 방화벽이나 가상 로컬 영역 네트워크(VLAN)을 통해 분리된다.