올 가을 클라우드 발전법 시행을 앞두고 클라우드 인프라로의 이전을 고민하는 기업들이 많다. 클라우드가 가진 비용 효율성과 관리 편의성 증대에 공감하더라도 클라우드 환경으로 시스템을 이전하기 위해서는 다양한 요소를 고려해야 한다. 그 중에서도 담당자들이 우려하는 점은 데이터 보호를 비롯한 보안 문제이다. 기업 IT환경을 책임지고 있는 담당자라면 외부 클라우드 기업에 맡겼을 때 보안과 데이터 유출을 걱정하지 않을 수 없기 때문이다.
하지만 실제 클라우드 데이터센터로 시스템을 이전한 고객들은 이전보다 더 높은 수준의 보안성을 갖추고 프라이버시 기능을 강화하고 있다. 오히려 클라우드 서비스 업체들은 국제 수준의 높은 규제 준수와 보안에 대한 투명한 처리를 하고 있기 때문이다.
클라우드로의 이전을 고려하고 있다면 우선 서비스 사용자가 데이터가 클라우드로 이전이 가능할지, 그렇지 못할지 여부를 판단해야 한다. 예를 들어 의료, 금융 분야와 같이 민감한 개인 정보가 포함되어 있는 경우 아예 국가별로 클라우드 사용을 제한한다거나 하는 법이나 규제가 존재한다. 또한 글로벌 클라우드 데이터센터가 해외에 존재할 경우, 산업분야 및 국가별로 이전할 수 있는 데이터와 이전이 불가능하도록 규제나 법으로 금지된 데이터가 있는지도 확인해야 한다. 유럽연합(EU)의 경우 유럽 지역에서 수집된 민감한 정보의 데이터에 대해서는 EU가 정의한 수준의 데이터 보관환경이 아닌 경우에는 엄격하게 데이터의 전송과 저장을 제한하고 있다. 이에 대해서는 각 업계나 국가별로 매우 다양한 기준을 두고 있기 때문에 여기에서 어떤 일률적인 기준을 제시하기는 어렵다. 이에 대해서는 각 업계나 지역에서 요하는 규제를 따르면 될 것으로 본다.
그 다음으로 데이터의 공개범위에 따른 보호수준을 적절히 설정하여야 한다. 데이터의 민감도에 따라 기밀데이터와 내부데이터 그리고 공개데이터로 나누어 볼 수 있다. 기밀 데이터의 경우 클라우드로 이전 시에는 반드시 암호화 방식을 이용하여 전송 및 저장을 해야 하며 저장 공간의 경우도 동일한 접근 키가 아니라 별도의 Key를 생성하여 관리를 하도록 해야 한다. 기밀은 아니지만 외부에 공개될 경우 문제의 발생이 가능한 거의 모든 기업내부의 데이터는 선택적으로 암호화 과정을 통하여 데이터의 보안을 지킬 수 있다. 일반 공개가 가능한 데이터에 대해서는 사용자가 접근하기 용이한 위치에 저장을 하고 빠른 응답을 제공할 수 있는 구조로 데이터를 관리해야 한다.
프라이버시에 따라서도 데이터에 대한 암호화 및 저장과 접근통제가 이루어져야 한다. 기준은 개인식별정보(PII, Personal Identification Information)를 포함하고 있느냐 없느냐다. ISO27018 표준을 통해서 클라우드 시스템이 PII 데이터를 안전하게 관리하고 있는지도 확인해 볼 필요가 있다.
비즈니스 영향도에 따라 외부에 공개/유출되었을 경우 치명적인 영향을 줄 수 있는 데이터, 제한적인 영향을 줄 수 있는 경우, 그리고 영향이 거의 없거나 제한적인 데이터로도 구분을 할 수 있다.
이렇게 데이터를 분류한 다음에는 그 보관 위치, 접근통제, 삭제에 대한 정책을 수립해야 한다. 이는 기업의 고유한 데이터관리 지침이자 클라우드 상에서 시스템을 관리하기 위한 가장 기초적인 항목으로, 시스템의 데이터를 이전하기 전에 수립을 하는 것이 바람직하다.
기밀로 분류된 데이터의 암호화에 대한 부분은 앞서 언급을 했지만, 데이터를 처리하는 형태에 따라 암호화 과정도 다르게 적용될 수 있다. 이는 클라우드에 저장된 데이터, 잠시 사용되거나 처리과정에만 존재하는 데이터, 서로 다른 시스템 사이를 오가는 ‘이동 중인 데이터’ 등의 형태가 있을 수 있다. 모두 암호화 처리를 할 수도 있지만, 형태에 따라 별도의 방식이 적용이 될 수 있고 이 모든 과정에 대해서도 관리 정책이 수립이 되어야 한다.
기업은 데이터를 보존기간에 따라 영구보존 형태의 데이터, 임시 데이터, 규제에 따라 보존기간을 준수해야 하는 데이터로 구분을 할 수 있다. 이 때 클라우드상의 데이터 삭제 및 보존기간에 대한 개별 서비스 제공자의 정책을 이해할 필요도 있다. 각각의 클라우드에는 기업이 수립한 정책과 별개로 데이터 삭제에 대한 정책이 있다. 사용자가 데이터를 삭제했을 경우 복제본이나 실제 파일을 보존하는 기간을 공지한다. 클라우드에서 사용자가 정상적인 데이터 삭제과정을 통해서 처리한 데이터, 접근 계정 소멸로 인해 삭제된 데이터, 클라우드 서비스 계약 종료에 따라 삭제된 데이터의 보존기간은 서로 다르다. 이는 기업이 유사시 데이터 복원을 하는 경우 중요한 지표이다. 데이터 복원뿐아니라 데이터 이중화 여부와 데이터 등급에 따른 삭제, 저장 위치별 보존기간이란 지표도 마찬가지다.
관련기사
- DW도 클라우드 시대 성큼...경쟁 확산2015.06.30
- VM웨어코리아, 클라우드 주제로 온라인 세미나 개최2015.06.30
- 오라클과 아마존 '클라우드 빅매치' 성사되나2015.06.30
- 오픈스택 설립자가 본 클라우드와 PaaS2015.06.30
이미 데이터를 등급별로 구분하고 보관하고 있다면 클라우드로 이전 시 필요한 부분이 크게 많지 않을 수 있지만 클라우드 환경에 따라 정책을 수립하고 모니터링을 할 수 있는 과정에 대해서 더 신경을 쓸 필요가 있다. 계란을 한 바구니에 담지 않는 것처럼 위험요소에 따라 분류 보관하는 것만으로도 조금 더 안정적인 시스템 운영이 가능하다. 또한 거대한 저장공간을 제공하는 클라우드 저장소에 대한 삭제와 보존기간을 명시함으로서 비용을 절감하고 데이터 유실 위험성을 줄일 수 있다.
클라우드 기업들은 높은 수준의 글로벌 스탠더드를 따르고 있기 때문에 전문성이 없는 기업에서 직접 관리하는 것보다 오히려 안전하다고 볼 수 있다. 그렇다고 모든 데이터를 클라우드로 이전해 무조건 높은 수준의 보안을 적용할 필요도 없다. 클라우드 이전이 가능한 데이터 내에서 계층화를 통해 데이터를 분류해서, 최적의 수준의 보안조치를 취해준다면 가장 효율적이고 안전한 클라우드 활용이 가능할 것이다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.