최근 기업들이 앞다퉈 클라우드를 도입하는 움직임을 보이는 가운데, IT 환경은 ‘프랑켄슈타인’식 접근법으로 진화했다. 프랑켄슈타인이 괴물을 조립한 방식처럼, 여러 요소들을 모아 구성했지만 각 부분이 연결되지 않은 클라우드 시스템을 일컬어 ‘프랑켄클라우드(Frankencloud)’ 모델이라고 한다.
보안 측면에서 이러한 복잡성은 완화돼야 할 문제이다. 일반적으로 조직의 보안 팀에서는 최대 10곳의 공급업체가 제공하는 25~49개의 보안 툴을 사용하고 있다. 하지만 각 툴이 제대로 연결되지 않아 보안 사각지대가 생기고, 단편적으로 구축된 시스템은 또 다른 문제를 야기한다.
결국, 복잡성은 보안의 적이다. 미국 역사상 최악의 공급망 공격으로 꼽히는 최근의 솔라윈즈 해킹 사태는 이로 인해 발생한 보안 허점을 노린 것이다. 하지만 의회 증언에서는 보안 자체가 아닌, 퍼블릭 클라우드와 하이브리드 클라우드 중 어느 것이 더 안전한지에 대한 논쟁으로 이어지는 안타까운 사태가 발생하기도 했다.
클라우드 보안의 경우 어떤 클라우드가 안전한가를 기준으로 선택해서는 안되며, 오히려 현재 운용하고 있는 시스템에 맞춘 보안 시스템을 설계해야 한다. 프랑켄클라우드 모델처럼 유기적으로 연결되지 않은 시스템이 아니라, 단일 관제소를 통해 위협을 전체적인 관점에서 파악하고 복잡성을 완화할 수 있는 시스템을 도입해야 한다.
이런 관점에서 클라우드 환경 가운데 최근 기업과 조직에게 가장 유력한 기술 요소로 떠오르고 있는 하이브리드 클라우드를 고려하는 것이 필요하다. IT 비용관리 솔루션 제공업체 ‘플렉세라’의 최근 조사에 따르면 올해 직원 1천 명 이상 대기업 고객 중 92%가 하이브리드 클라우드를 포함한 멀티 클라우드 전략을 취하고 있다고 밝혔다. 또한 포레스터 리서치의 최근 연구에 따르면 기술 부문 의사결정권자들 중 85%가 하이브리드 클라우드 전략에서 온프레미스 인프라가 매우 중요하다는 데 동의했다.
하이브리드 클라우드 모델은 기업의 온프레미스 시스템의 일부를 퍼블릭 클라우드 리소스 및 서비스형 리소스와 결합해 하나로 취급한다. 이런 특성으로 인해 하이브리드 클라우드는 보안에서도 그 효과를 확인할 수 있다.
클라우드 기반 인증 시스템을 예로 들어보자. 한밤 중에 직원의 기기에서 로그인이 감지된 가운데, 누군가 다른 지역에서 동일한 기기를 사용해 기밀 정보에 액세스를 시도하는 일이 발생했다고 하자. 별개의 시스템이라면 이상 행동에 대한 조치가 취해지지 않아 데이터를 잃게 되지만, 하이브리드 클라우드로 구축된 통합 보안 시스템으로는 두 행위 모두 자동으로 차단할 수 있다.
관련기사
- 삼성SDS-LG CNS, 나란히 클라우드 보안 강화2021.04.22
- 윈스 "클라우드보안 너머 MSP로 거듭나겠다"2021.04.20
- 안랩 "보안 고민 안한 클라우드는 기회 다 놓치는 꼴"2021.04.16
- 보안에 역량 집중하는 삼성SDS, 타깃은 비대면·클라우드·OT2021.04.06
클라우드 데이터 스토리지를 통해 데이터를 관리하는 것도 보안 측면에서 매우 중요하다. 최근 빠르게 성장하고 있는 혁신 기술인 ‘컨피덴셜 컴퓨팅’은 클라우드의 보안을 강화하는 기술로, 클라우드 제공업체가 데이터에 접근하는 가능성을 원천 봉쇄한다. 대부분의 클라우드 사업자는 고객사의 데이터에 액세스하지 않겠다고 약속하지만 법원의 명령 등 여러 이유로 불가피하게 고객 데이터에 액세스 할 수도 있다. 그러나, 컨피덴셜 컴퓨팅 기술을 통해서는 사이버 범죄자는 물론 클라우드 기술 제공업체조차 데이터에 액세스하는 일이 기술적으로 불가능해진다.
클라우드 보안의 괴물이 되어버린 ‘프랑켄클라우드’ 모델에 데이터와 보안을 맡기는 일을 이제 멈추어야 한다. 솔라윈즈 사례에서도 볼 수 있었듯, 다양한 기술에 무분별하게 의존할 경우 보안 허점이 발생할 수 있다는 것을 인지하고 이를 클라우드 보안 전략 수립에 반영해야 한다. 또한, 역으로 이러한 다양성을 고려해 보안과 개인정보보호를 위한 장치를 전략적으로 설계한다면 다양한 기술의 활용이 오히려 가장 큰 강점이 될 수 있을 것이다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.