IBM, '클라우드 보안' 적임자 자처하는 이유

민간 기업에서 부분적인 전산시스템을 넘어 전사 IT인프라를 클라우드로 전환하려는 움직임이 두드러지는 추세다. 올해 공공 분야는 중앙 부처와 지방자치단체 시스템, 금융 분야는 개인신용정보 등 중요정보 포함 시스템까지 클라우드를 활용할 수 있게 됐다.

클라우드 도입 신중론을 지지했던 모든 엔터프라이즈, 공공, 금융 부문 조직에서 무작정 클라우드로 달려들지는 미지수다. 실제 시장이 열리려면 클라우드에서도 기존 구축형 시스템에 준하거나 그 이상의 보안 효과가 가능하다는 믿음이 먼저 자리잡아야 한다.

클라우드를 도입하려는 조직은 단일 벤더가 클라우드와 보안 서비스를 함께 제공하는 통합 서비스를 원한다. IBM은 국내 클라우드 시장 점유율 선두권에 들지 못하고 있지만 클라우드와 보안 사업을 겸하는 사업자로서 현 상황을 기회로 본다.

IBM은 보안 전문업체가 아닌 아마존웹서비스(AWS), 마이크로소프트(MS)와 달리 클라우드 보안에 요구되는 조건을 세심히 파악하고 있다고 자부한다. 클라우드 보안 사업을 담당하는 조가원 한국IBM 보안사업부 실장의 메시지다.

조가원 한국IBM실장과의 인터뷰 내용을 일문일답으로 정리했다.

- 클라우드에서 보안의 중요성은 어느 정도라고 생각하나

"많은 기업들이 클라우드를 말하고 있다. 예전에는 저렴한 비용을 이유로 들었다. 그런데 따져보면 클라우드가 온프레미스보다 꼭 저렴한 것도 아니다. 인공지능(AI), 빅데이터 등 기술 발전이 빠른 시장에 신속하고 유연하게 접근하기 위한 인프라가 클라우드라는 판단에서 비롯되는 움직임이다.

많은 기업들이 클라우드를 쓰고 있지만, 워크로드 전환 비율은 채 20%도 되지 않는다. 일부 시스템 한 두 개 정도만 클라우드로 전환하고, 중요 시스템들은 여전히 온프레미스에 있다는 것이다. 그 많은 시스템들이 클라우드로 가지 못한 이유 중 가장 큰 부분을 보안이 차지하고 있다."

- 클라우드 보안 관련 시장 현황은

"고객들은 클라우드 도입을 위해 먼저 클라우드 벤더에 찾아간다. 아마존, MS, 구글 등 퍼블릭 클라우드에서 어떤 기능을 제공하는지를 확인하게 된다. 그런데 주요 클라우드벤더는 보안 전문 업체가 아니다. 해당 클라우드를 지원하는 보안 기능을 소개해주고, 나머지는 고객 선택에 맡긴다는 식이다. 그러면 고객이 보안 전문 업체를 찾아가게 된다. 하지만 이들은 클라우드를 잘 모른다. 온프레미스 기반 솔루션의 클라우드 라이센스만 사면 클라우드 보안이 해결되는 게 아니다. 심도 깊은 대화 나누다 보면 이 지점에서 논의가 멈춘다.

클라우드 도입 과정에서 기업 내 보안팀이 초기에 관여하기 어렵다는 문제도 있다. 기업 혁신팀, 클라우드추진본부 등에서 대개 추진하곤 한다. 그러다 보니 실제 구축 과정에서 난관에 부딪치는 경우가 많다. 일단 보유한 보안 솔루션 갖고 어떻게든 해보자고 한다던지, 핵심 업무가 아니니 제외하고 시작하자는 식으로 이야기가 진행된다. 그래서 비중요 시스템부터 클라우드 도입이 이뤄지게 된다. 이런 게 현재 시장에서 토로하는 어려운 부분이다."

-클라우드 보안과 기존 보안과의 차이점은

"과거 뉴스를 보면 감사 과정에서 서류 박스 들고 나가는 모습이 등장하곤 했다. 앞으로는 클라우드 벤더에 찾아가서 데이터를 전달받는 상황이 생길 수도 있을 것이다. 클라우드 보안은 확장되는 인프라의 접근관리 보안 대응을 어떻게 할 것인지가 핵심이다. 클라우드는 그 특성상 경계 보안의 관점이 무의미해진다. 그 대신 워크로드 중심의 보안 관점이 필요해진다. 자원을 공유화하는 건데 이를 어떻게 모니터링하고 관리할 수 있을 것인지의 문제다.

소비자와 기업 임직원이 사용하는 시스템 전부가 클라우드로 전환되면, 계정 관리가 중요해진다. 서비스형 소프트웨어(SaaS) 도입에 따른 애플리케이션 계정 관리도 마찬가지다. 인사 시스템 계정과 연계하는 문제, 멀티 테넌시 문제 등이 일례다. 특정 사용자의 부서가 바뀌면 그에 따른 계정 변경 관리도 이뤄져야 한다. 계정이 도용될 경우 영향력도 더 커진다. 관리자 계정이 유출돼 사고로 이어지면 유출 과정을 식별하는 것도 중요하다. 유출되기 전 계정 도용을 식별해낼 수 있는게 최적일 것이다. 사용자의 행태를 식별해 이상 징후가 발견되면 조치를 취하는 식이다.

데이터 보안 쪽으로 예시를 들자면, 기업들은 서버 취약점 점검을 연 1~2회 정도 수행해왔다. 사고를 방지하기 위해선 수시 점검이 필요하다. 그럼에도 국내 기업이 그렇게 하지 않는 이유는 경계보안 기반의 폐쇄망을 쓰고 있기 때문이다. 클라우드 보안 사고의 대표적 사례들을 살펴보면 구성의 취약점에서 생기는 경우가 많았다. 취약점 평가가 수시로 자동화돼야 할 이유다. 클라우드에서는 가상화 환경이 수시로 만들어지고 사라지게 된다. 현재 없어진 환경에서 존재했던 취약점으로 데이터가 침해됐는지 모를 수도 있다.

기업의 보안 정책과 부합하는지도 확인해야 한다. 보안 관련 데이터가 적절한 가독성을 제공하지 못하는 경우도 있다.

국내 기업들이 약 5천 건 정도의 보안 이벤트가 발생한다고 얘기한다. 매일 이 로그 전체를 모니터링할 수는 없다. 평균적으로 약 30%만 살펴보는 상황이다. 클라우드에서는 더 많은 이벤트가 발생하고, 효율적인 모니터링이 필요해진다. 이상 징후만 탐지하는 지능적 보안이 필요하다."

-IBM이 클라우드 보안에서 강점을 갖는 부분은

"각 클라우드의 장단점이 있다. 기업은 멀티 클라우드를 고려하는데, 이를 어떻게 관리할 수 있을지 고민한다. 기업들이 평균적으로 온프레미스에서 쓰는 보안 솔루션 개수가 80개라고 하는데, 멀티 클라우드를 도입하게 되면 이 숫자가 곱하기 2, 3이 되진 않을지 보안 담당자들이 우려하곤 한다. IBM의 보안 목표는 멀티, 하이브리드 클라우드 환경을 지원해주는 것이다. 기업들이 멀티 클라우드를 사용하면서 특정 벤더에 종속될 우려를 덜어주길 희망하고 있다.