2018.05.24

기고 | '클라우드 위험 완화는 이렇게' 7가지 전략

Bruce Harpham | CIO

클라우드 서비스는 우리 생활의 일부로, 매년 더 많은 엔터프라이즈 기능을 담당한다. 한때는 클라우드 서비스가 단순한 스토리지나 대응 관리로 제한됐다면 이제는 ERP와 같은 핵심 기능으로 향하고 있다. 또한 클라우드가 점점 더 광범위한 필수 서비스를 제공하는 만큼 IT리더는 오늘날의 클라우드 환경에 내재된 리스크를 염두에 두고 이를 완화하기 위한 예방 조처를 해야 한다.



클라우드 컴퓨팅의 위험을 평가하고 완화하기 위해 조직에서 해야 할 일을 정리했다.

클라우드에서 리스크 성향 평가
은행 업계에서는 조직의 의사 결정을 유도하는 리스크 성향을 설정하는 것이 일반적이다. 예를 들어, 보수적인 리스크 성향이라면 불확실한 대출은 늘리면서도 수익은 감소하는 쪽으로 견인할 수 있다. 리스크 성향이 좀 더 ‘최첨단’이라면 호황기에 더 높은 수익을 제공할 것이다. 단점은 해당 은행이 다음 위기를 맞을 때 엄청난 타격을 받는다는 것이다.

IT관리의 관점에서 볼 때 리스크 성향은 기업 실사, 지속적인 모니터링, 위험 감소에 대한 투자 의사에 대해 알려줄 것이다. 예를 들어 제한된 리소스를 최대한 활용하기 위해 위험 완화에 대한 계층화된 접근 방식을 설정할 수 있다. ‘티어 1(Tier 1)’ 클라우드 서비스의 실패 위험성은 직원 배치(예: 전담 관리자가 있는 경우), 정기적인 테스트 및 최상위 업체 지원 비용 투자를 통해 줄어들 수 있다.

클라우드 이용 문화 재검토
클라우드 제공 업체는 사용 용이성과 유연성을 강조한다. 회사에서 클라우드의 편의성을 경험하면 자체적으로 구축한 기존 인프라를 유지하려는 욕구가 거의 없어진다. 그러나 클라우드 서비스에 대해 무심한 태도를 지니면 직원들이 어리석은 위험을 감수하게 될 수도 있다.

에이브포인트(AvePoint)의 제품 전략 담당 부사장인 존 호지스는 "클라우드 서비스는 종종 데이터의 '임시 사용'을 장려한다. 다시 말해 나는 어디에서나 원하는 것을 수집, 검색, 저장할 수 있다"라고 말했다. 호지스는 "콘텐츠 저장과 공유 방법에서 실제적인 공동 사용의 위험성이 있는 박스, 드롭박스 또는 원드라이브 같은 시스템에서 종종 이런 상황을 본다. 간단한 해결책은 무엇일까? 공동 사용 방식이 문제로 작용하는 서비스는 금지하는 것이다”고 이야기했다.

고위험 클라우드 서비스를 차단하면 도움이 되지만 문제를 완전히 해소하지는 못한다. 호지스는 “슬랙(Slack) 채널이나 마이크로소프트 팀즈(Microsoft Teams) 등의 다른 시스템과 같이 기업이 제공하는 계정을 사용하면 사용자는 항상 데이터 공유에 가장 편리한 경로를 선택하게 된다. 이러한 행동은 데이터 보존에 대한 기록 보존 정책이나 제한 사항과 일치하지 않을 수 있다"고 설명했다. 회사가 소송이나 그와 유사한 조사를 받는 경우 기록 보존 정책이 일관되게 적용되지 않으면 골치 아픈 일이 생길 수 있다.

위험을 줄이기 위한 제로 트러스트 모델 활용
제로 트러스트(Zero trust)는 시스템에 연결하기 전에 주변 안팎의 모든 사용자, 시스템 또는 장비를 확인하고 유효성을 검사하도록 요구하는 IT 보안 전략이다. 클라우드 위험성을 완화하려고 할 때 제로 트러스트 모델을 어떻게 활용할 수 있을까? 자산과 상해보험 서비스 및 소프트웨어를 전문으로 하는 기업인 인슈리티(Insurity)의 경우, 제로 트러스트 방식은 접근을 엄격히 제한하는 것을 의미한다.

인슈리티의 CIO 조너선 빅터는 "우리는 업무 기능 요구 사항에 따라 최소한의 권리와 권한을 가진 최소 사용자 그룹만 논리적인 접근을 제공한다. 이 통제는 기업 보안팀의 내부 감사와 연례 SOC 감사의 일환인 외부 감사를 통해 실시한다"고 설명했다.

정기적으로 사용자 접근 수준을 검사하고 자신이 합리적인지 아닌지를 확인하라. 관리 접근 권한을 갖고 있는 사용자가 수십 명이나 필요한가? 각각의 고급 사용자는 리스크를 더할 뿐이다.

뉴스에 나오는 IT실패에서의 학습
클라우드 관련 실패에 대한 업계 뉴스를 연구할 시간을 가지면 클라우드 위험을 완화하는 데 도움이 된다. 요즘 기업들의 클라우드 사용 방식이 복잡하고 진화하는 특성은 범죄 행위가 분명한 사고가 실수를 일으킨 데서 배울 점이 있다는 것을 의미한다.

제트스트림 소프트웨어(JetStream Software)의 공동 창립자 겸 사장인 리치 피터슨은 “우리는 데이터 손실에 중점을 두고 있으므로, 2017년 8월 사내 설치 시스템이 당초 고안된 것처럼 클라우드 서비스로 데이터를 백업하지 못했던 메라키(Meraki) 데이터 손실 사례에서 중요한 교훈을 얻었다”고 말했다.

시스코는 클라우드 구성 오류로 인해 데이터가 손실되고 생산성이 저하됐다고 인정했다. IT전문매체 레지스터(Register)는 "시스코에게는 이 사고가 엄청난 혼란이 아닐 수 없다. 메라키는 지원 클라우드 서비스를 두고 네트워크 및 음성 시스템을 실행하는 데 필요한 많은 불필요한 작업을 제거한다는 점을 근거로 판매한 것이기 때문이다. 메라키 팀이 그러한 실수를 저지른 것은, 그리고 만일의 사태에 대비하기 위한 데이터 보호 도구가 겉으로 봐도 부족하다는 점은 그 명성에 있어 매우 큰 감점 요인이다”라 보도했다.

2018.05.24

기고 | '클라우드 위험 완화는 이렇게' 7가지 전략

Bruce Harpham | CIO

클라우드 서비스는 우리 생활의 일부로, 매년 더 많은 엔터프라이즈 기능을 담당한다. 한때는 클라우드 서비스가 단순한 스토리지나 대응 관리로 제한됐다면 이제는 ERP와 같은 핵심 기능으로 향하고 있다. 또한 클라우드가 점점 더 광범위한 필수 서비스를 제공하는 만큼 IT리더는 오늘날의 클라우드 환경에 내재된 리스크를 염두에 두고 이를 완화하기 위한 예방 조처를 해야 한다.



클라우드 컴퓨팅의 위험을 평가하고 완화하기 위해 조직에서 해야 할 일을 정리했다.

클라우드에서 리스크 성향 평가
은행 업계에서는 조직의 의사 결정을 유도하는 리스크 성향을 설정하는 것이 일반적이다. 예를 들어, 보수적인 리스크 성향이라면 불확실한 대출은 늘리면서도 수익은 감소하는 쪽으로 견인할 수 있다. 리스크 성향이 좀 더 ‘최첨단’이라면 호황기에 더 높은 수익을 제공할 것이다. 단점은 해당 은행이 다음 위기를 맞을 때 엄청난 타격을 받는다는 것이다.

IT관리의 관점에서 볼 때 리스크 성향은 기업 실사, 지속적인 모니터링, 위험 감소에 대한 투자 의사에 대해 알려줄 것이다. 예를 들어 제한된 리소스를 최대한 활용하기 위해 위험 완화에 대한 계층화된 접근 방식을 설정할 수 있다. ‘티어 1(Tier 1)’ 클라우드 서비스의 실패 위험성은 직원 배치(예: 전담 관리자가 있는 경우), 정기적인 테스트 및 최상위 업체 지원 비용 투자를 통해 줄어들 수 있다.

클라우드 이용 문화 재검토
클라우드 제공 업체는 사용 용이성과 유연성을 강조한다. 회사에서 클라우드의 편의성을 경험하면 자체적으로 구축한 기존 인프라를 유지하려는 욕구가 거의 없어진다. 그러나 클라우드 서비스에 대해 무심한 태도를 지니면 직원들이 어리석은 위험을 감수하게 될 수도 있다.

에이브포인트(AvePoint)의 제품 전략 담당 부사장인 존 호지스는 "클라우드 서비스는 종종 데이터의 '임시 사용'을 장려한다. 다시 말해 나는 어디에서나 원하는 것을 수집, 검색, 저장할 수 있다"라고 말했다. 호지스는 "콘텐츠 저장과 공유 방법에서 실제적인 공동 사용의 위험성이 있는 박스, 드롭박스 또는 원드라이브 같은 시스템에서 종종 이런 상황을 본다. 간단한 해결책은 무엇일까? 공동 사용 방식이 문제로 작용하는 서비스는 금지하는 것이다”고 이야기했다.

고위험 클라우드 서비스를 차단하면 도움이 되지만 문제를 완전히 해소하지는 못한다. 호지스는 “슬랙(Slack) 채널이나 마이크로소프트 팀즈(Microsoft Teams) 등의 다른 시스템과 같이 기업이 제공하는 계정을 사용하면 사용자는 항상 데이터 공유에 가장 편리한 경로를 선택하게 된다. 이러한 행동은 데이터 보존에 대한 기록 보존 정책이나 제한 사항과 일치하지 않을 수 있다"고 설명했다. 회사가 소송이나 그와 유사한 조사를 받는 경우 기록 보존 정책이 일관되게 적용되지 않으면 골치 아픈 일이 생길 수 있다.

위험을 줄이기 위한 제로 트러스트 모델 활용
제로 트러스트(Zero trust)는 시스템에 연결하기 전에 주변 안팎의 모든 사용자, 시스템 또는 장비를 확인하고 유효성을 검사하도록 요구하는 IT 보안 전략이다. 클라우드 위험성을 완화하려고 할 때 제로 트러스트 모델을 어떻게 활용할 수 있을까? 자산과 상해보험 서비스 및 소프트웨어를 전문으로 하는 기업인 인슈리티(Insurity)의 경우, 제로 트러스트 방식은 접근을 엄격히 제한하는 것을 의미한다.

인슈리티의 CIO 조너선 빅터는 "우리는 업무 기능 요구 사항에 따라 최소한의 권리와 권한을 가진 최소 사용자 그룹만 논리적인 접근을 제공한다. 이 통제는 기업 보안팀의 내부 감사와 연례 SOC 감사의 일환인 외부 감사를 통해 실시한다"고 설명했다.

정기적으로 사용자 접근 수준을 검사하고 자신이 합리적인지 아닌지를 확인하라. 관리 접근 권한을 갖고 있는 사용자가 수십 명이나 필요한가? 각각의 고급 사용자는 리스크를 더할 뿐이다.

뉴스에 나오는 IT실패에서의 학습
클라우드 관련 실패에 대한 업계 뉴스를 연구할 시간을 가지면 클라우드 위험을 완화하는 데 도움이 된다. 요즘 기업들의 클라우드 사용 방식이 복잡하고 진화하는 특성은 범죄 행위가 분명한 사고가 실수를 일으킨 데서 배울 점이 있다는 것을 의미한다.

제트스트림 소프트웨어(JetStream Software)의 공동 창립자 겸 사장인 리치 피터슨은 “우리는 데이터 손실에 중점을 두고 있으므로, 2017년 8월 사내 설치 시스템이 당초 고안된 것처럼 클라우드 서비스로 데이터를 백업하지 못했던 메라키(Meraki) 데이터 손실 사례에서 중요한 교훈을 얻었다”고 말했다.

시스코는 클라우드 구성 오류로 인해 데이터가 손실되고 생산성이 저하됐다고 인정했다. IT전문매체 레지스터(Register)는 "시스코에게는 이 사고가 엄청난 혼란이 아닐 수 없다. 메라키는 지원 클라우드 서비스를 두고 네트워크 및 음성 시스템을 실행하는 데 필요한 많은 불필요한 작업을 제거한다는 점을 근거로 판매한 것이기 때문이다. 메라키 팀이 그러한 실수를 저지른 것은, 그리고 만일의 사태에 대비하기 위한 데이터 보호 도구가 겉으로 봐도 부족하다는 점은 그 명성에 있어 매우 큰 감점 요인이다”라 보도했다.

X