2012.07.23

클라우드 벤더에게 물어야 할 ‘재난·재해 질문 10가지’

Stephanie Overby | CIO

클라우드 계약은 대개 업타임 조항 및 서비스 중단에 대한 보상 약관을 포함하고 있다. 그러나 기업들이 전적으로 신뢰할 만한 수준인지는 아직 미지수다. 여기 각종 재난이나 사고에 대비해 고객사 입장에서 확인해야할 10가지 질문을 정리했다.

최근 넷플릭스(Netflix), 핀터레스트(Pinterest), 그리고 인스타그램(Instagram)등을 접속 불가 상태로 만든 아마존 웹 서비스(Amazon Web Services)의 중단 사고가 있었다. 그리고 주요 클라우드 사고 리스트에 그 이름을 올렸다.

국제 클라우드 컴퓨팅 복구 단체(International Working Group on Cloud Computing Resiliency, IWGCR)에 따르면, 2007년 이래 13개 주요 클라우드 서비스 제공 업체에서 발생한 568 시간 가량의 다운타임 사고는 약 7억 1,700만 달러의 경제적 손실을 야기시켰다. 다운타임은 연간 평균 7.5시간 정도 일어났다고 IWGCR은 덧붙였다.

"저렴한 클라우드 서비스는 문제가 생길 경우 큰 손실을 입힐 수 있다"라고 로펌 '슈나이더, 해리슨, 시걸 & 르위스(Schnader, Harrison, Segal & Lewis.)'의 사업 서비스 부서 파트너인 케빈 C. 테일러는 말했다.

대개의 클라우드 계약에는 업타임(uptime) 관련 조항 및 서비스 오류 관련 조항은 포함돼 있다. 그러나 실제로 기업의 고객을 보호할 수 있는 조항은 부족하다. 테일러는 “매월 서비스 요금과 비례해 정해지는 서비스 레벨 계약(SLA) 크레딧이 생산 애플리케이션 다운타임과 관련된 기업의 손실을 보상해 주지는 않는 경우가 대부분"이라고 설명했다.

그는 이어 "심지어 사고 규모가 아주 크고 심각한 경우라 해도 크레딧은 약 2만 불 정도로 얼마 되지 않는다. 그 사고로 인해 고객들이 입는 피해가 수백 만 달러에 이를 수 있음을 고려한다면, 이는 새 발의 피 수준이라 할 것이다"라고 말했다.

그러나 현명한 구매자라면 사전에 다음과 같은 질문을 던져 봄으로써 미리 클라우드 관련 손실을 예방할 수 있을 것이다.

1. 기본 업타입 SLA가 기업이 필요로 하는 것에 적합한가?
99.999%의 업타임에 익숙해져 있는 구매자라면 클라우드 제공자가 제시한 99.9% 업타임 SLA가 불만족스러울 수 있다. "이 질문이야 말로 잠재적 클라우드 제공자에게 가장 먼저 물어봐야 할 내용 중 하나다"라고 아웃소싱 애널리스트 업체 HFS 리서치 사의 위기 전략 및 보안 연구 디렉터 짐 슬래비는 말했다.

그는 이어 "클라우드 서비스 구매자들은 또한 계약에 명시된 각 서비스에 대해 복구 시점과 복구 시간을 명확히 규정해야 한다"라고 덧붙였다.

그러나 그에 따르면 99.999 %의 업타임에 필요한 액티브-액티브 서비스 구성을 취할 경우 매월 최대 50%나 더 많은 비용이 들어 갈 수도 있다.

2. '업타임' 과 '다운타임'을 어떻게 정의할 것인가?
"까다로운 소비자는 어떤 기준으로 다운타임을 나눌 것인지를 분명히 정해 둔다"고 로펌 K&L 게이츠(K&L Gates)의 파트너 토드 A. 피셔(Todd A. Fisher)는 말하며, "다운타임이라는 것이 최종 사용자의 5%가 불편을 겪으면 성립되는 것인지, 25% 인지, 50%인지 명확히 해야 한다. 또 만약 시스템 자체가 작동을 안 하는 것은 아니지만 작동 속도가 너무 느려 최종 사용자들이 제대로 서비스를 이용하지 못하는 경우는 어떻게 해야 할 지도 생각해 봐야 한다"라고 조언했다.

많은 클라우드 제공 업체들에서는 업타임 보장에 몇몇 예외를 두고 있는데, 그 중에는 긴급 상황이나 15분 이내의 사고, 그리고 특정 시간대 가동 등이 있다. 슬래비는 "구매자들은 계약서에 명시된 몇 가지 예외 조항들을 잘 알아둬야 한다"라고 말했다.

그러나 예외 조항이 너무 많을 경우는 주의해야 한다. 예를 들어, 전기 통신 사고의 경우 넉넉한 전기 통신 구조를 확보해야 하는 서비스 제공자의 의무가 간과되는 경우가 많다..

아웃소싱 자문 회사 페이스 하몬(Pace Harmon)의 조너던 쇼 박사는 “예외 조항들에 대한 규제를 전혀 하지 않게 되면, 일부 서비스 제공자들은 이를 온갖 사고에 대한 '면죄부'로 여기게 될 위험도 있다"라고 말했다.

3. 천재지변에 대해서는 어떻게 대처해야 하나?
대부분의 클라우드 계약들은 천재지변 역시 예외 조항에 포함시키고 있다. 판매자의 통제 권한을 벗어나는 자연 재해나 전쟁, 노동 조합 파업과 관련된 경우들이 그것이다. '슈나이더'사의 테일러는 "천재지변 관련 예외 조항들은 판매자로 하여금 SLA를 포함해 서비스 제공자로써의 의무를 소홀히 하게 할 여지가 있다"라며 "따라서 클라우드 서비스를 계약하기 전 천재 지변의 구체적인 내용들을 사전에 합의해야 한다"라고 말했다.

4. 클라우드 환경은 얼마나 안정적인가?
페이스 하몬 사의 쇼 박사는 주요 사고들의 위험성을 가늠해보기 위해서는 클라우드 솔루션의 기술적 측면에서의 기업 실사(due diligence)를 해 보라고 권유했다. 클라우드는 어떻게 구성이 되어 있는가? 정치적으로 불안정한 국가나 지진 단층선에 데이터 센터는 있는가?




2012.07.23

클라우드 벤더에게 물어야 할 ‘재난·재해 질문 10가지’

Stephanie Overby | CIO

클라우드 계약은 대개 업타임 조항 및 서비스 중단에 대한 보상 약관을 포함하고 있다. 그러나 기업들이 전적으로 신뢰할 만한 수준인지는 아직 미지수다. 여기 각종 재난이나 사고에 대비해 고객사 입장에서 확인해야할 10가지 질문을 정리했다.

최근 넷플릭스(Netflix), 핀터레스트(Pinterest), 그리고 인스타그램(Instagram)등을 접속 불가 상태로 만든 아마존 웹 서비스(Amazon Web Services)의 중단 사고가 있었다. 그리고 주요 클라우드 사고 리스트에 그 이름을 올렸다.

국제 클라우드 컴퓨팅 복구 단체(International Working Group on Cloud Computing Resiliency, IWGCR)에 따르면, 2007년 이래 13개 주요 클라우드 서비스 제공 업체에서 발생한 568 시간 가량의 다운타임 사고는 약 7억 1,700만 달러의 경제적 손실을 야기시켰다. 다운타임은 연간 평균 7.5시간 정도 일어났다고 IWGCR은 덧붙였다.

"저렴한 클라우드 서비스는 문제가 생길 경우 큰 손실을 입힐 수 있다"라고 로펌 '슈나이더, 해리슨, 시걸 & 르위스(Schnader, Harrison, Segal & Lewis.)'의 사업 서비스 부서 파트너인 케빈 C. 테일러는 말했다.

대개의 클라우드 계약에는 업타임(uptime) 관련 조항 및 서비스 오류 관련 조항은 포함돼 있다. 그러나 실제로 기업의 고객을 보호할 수 있는 조항은 부족하다. 테일러는 “매월 서비스 요금과 비례해 정해지는 서비스 레벨 계약(SLA) 크레딧이 생산 애플리케이션 다운타임과 관련된 기업의 손실을 보상해 주지는 않는 경우가 대부분"이라고 설명했다.

그는 이어 "심지어 사고 규모가 아주 크고 심각한 경우라 해도 크레딧은 약 2만 불 정도로 얼마 되지 않는다. 그 사고로 인해 고객들이 입는 피해가 수백 만 달러에 이를 수 있음을 고려한다면, 이는 새 발의 피 수준이라 할 것이다"라고 말했다.

그러나 현명한 구매자라면 사전에 다음과 같은 질문을 던져 봄으로써 미리 클라우드 관련 손실을 예방할 수 있을 것이다.

1. 기본 업타입 SLA가 기업이 필요로 하는 것에 적합한가?
99.999%의 업타임에 익숙해져 있는 구매자라면 클라우드 제공자가 제시한 99.9% 업타임 SLA가 불만족스러울 수 있다. "이 질문이야 말로 잠재적 클라우드 제공자에게 가장 먼저 물어봐야 할 내용 중 하나다"라고 아웃소싱 애널리스트 업체 HFS 리서치 사의 위기 전략 및 보안 연구 디렉터 짐 슬래비는 말했다.

그는 이어 "클라우드 서비스 구매자들은 또한 계약에 명시된 각 서비스에 대해 복구 시점과 복구 시간을 명확히 규정해야 한다"라고 덧붙였다.

그러나 그에 따르면 99.999 %의 업타임에 필요한 액티브-액티브 서비스 구성을 취할 경우 매월 최대 50%나 더 많은 비용이 들어 갈 수도 있다.

2. '업타임' 과 '다운타임'을 어떻게 정의할 것인가?
"까다로운 소비자는 어떤 기준으로 다운타임을 나눌 것인지를 분명히 정해 둔다"고 로펌 K&L 게이츠(K&L Gates)의 파트너 토드 A. 피셔(Todd A. Fisher)는 말하며, "다운타임이라는 것이 최종 사용자의 5%가 불편을 겪으면 성립되는 것인지, 25% 인지, 50%인지 명확히 해야 한다. 또 만약 시스템 자체가 작동을 안 하는 것은 아니지만 작동 속도가 너무 느려 최종 사용자들이 제대로 서비스를 이용하지 못하는 경우는 어떻게 해야 할 지도 생각해 봐야 한다"라고 조언했다.

많은 클라우드 제공 업체들에서는 업타임 보장에 몇몇 예외를 두고 있는데, 그 중에는 긴급 상황이나 15분 이내의 사고, 그리고 특정 시간대 가동 등이 있다. 슬래비는 "구매자들은 계약서에 명시된 몇 가지 예외 조항들을 잘 알아둬야 한다"라고 말했다.

그러나 예외 조항이 너무 많을 경우는 주의해야 한다. 예를 들어, 전기 통신 사고의 경우 넉넉한 전기 통신 구조를 확보해야 하는 서비스 제공자의 의무가 간과되는 경우가 많다..

아웃소싱 자문 회사 페이스 하몬(Pace Harmon)의 조너던 쇼 박사는 “예외 조항들에 대한 규제를 전혀 하지 않게 되면, 일부 서비스 제공자들은 이를 온갖 사고에 대한 '면죄부'로 여기게 될 위험도 있다"라고 말했다.

3. 천재지변에 대해서는 어떻게 대처해야 하나?
대부분의 클라우드 계약들은 천재지변 역시 예외 조항에 포함시키고 있다. 판매자의 통제 권한을 벗어나는 자연 재해나 전쟁, 노동 조합 파업과 관련된 경우들이 그것이다. '슈나이더'사의 테일러는 "천재지변 관련 예외 조항들은 판매자로 하여금 SLA를 포함해 서비스 제공자로써의 의무를 소홀히 하게 할 여지가 있다"라며 "따라서 클라우드 서비스를 계약하기 전 천재 지변의 구체적인 내용들을 사전에 합의해야 한다"라고 말했다.

4. 클라우드 환경은 얼마나 안정적인가?
페이스 하몬 사의 쇼 박사는 주요 사고들의 위험성을 가늠해보기 위해서는 클라우드 솔루션의 기술적 측면에서의 기업 실사(due diligence)를 해 보라고 권유했다. 클라우드는 어떻게 구성이 되어 있는가? 정치적으로 불안정한 국가나 지진 단층선에 데이터 센터는 있는가?


X