2013.01.04

클라우드와 관련한 칠거지악

David Geer | CSO

자동화, 비용 절감, 데이터 이중화 등은 클라우드 도입을 유도하는 장점들이다. CISO는 클라우드 이전으로 인해 이런 보상이 따른다는 사실을 쉽게 확인할 수 있다. 그러나 기업의 클라우드 이전과정에 얼마나 많은 문제가 초래될 수 있는지 알지 못해 고민을 하는 경우가 많다.

이에 CISO와 보안 전문가들이 클라우드 컴퓨팅의 장점을 저해할 수 있는 7가지 보안 문제를 정리했다.

출발점부터 'ID 점검'에 실패
클라우드에 안전하게 로그인할 수 있는 유일한 방법은 기업의 ID 관리 시스템을 통하는 것이다. 많은 클라우드 서비스가 기업의 직원 누구나 기업에 등록을 하지 않은 상태에서 서비스에 가입을 하고, 각자 ID와 비밀번호를 설정하고, 이를 개인 이메일로 연결할 수 있도록 허용하고 있다. 그러나 이는 IT나 기업이 이를 방치해도 된다는 의미가 아니다.

액스웨이(Axway)의 존 티엘렌스 최고보안책임자(CSO)는 "이런 방식의 출발이 용이하기는 하다. 그러나 기업 IMS와 통합을 하지 않으면 정보가 누출되고, 정책을 위반하도록 만들고, 궁극적으로 클라우드의 보안이 허술해진다"라고 지적했다.

일부 기업들은 불만을 무마하기 위해 독자 서비스 방식을 적용, IaaS를 지나치게 빨리 배치해 IT 부서가 이에 제때 대처를 하지 못하도록 만들고 있기도 하다. 이런 방식에는 거버넌스 문제가 초래된다. 클라우드 서버 접속에 안전장치를 마련하지 못하는 것이다.

인포메이션 서비스 그룹(Information Services Group)의 신기술 애널리스트(Emerging Technology Analyst) 겸 클라우드 전문가(Cloud Expert)인 스탠톤 존스는 "사람들이 VM의 오래된 프로젝트 데이터 등, 절대 봐서는 안 되는 데이터에 접속을 하는 문제가 발생한다"라고 지적했다.

고객이 이용하는 클라우드 서비스는 어떨까? 접속 모델은 어떨까? 오하이오 주립대학(Ohio State University)의 줄리 탈봇 허버드 CISO는 "내부에서 적용하고 있는 SSO 모델과 유사한 사용자 로그인이 되도록 통합을 해야 한다"라고 조언했다.

안전한 API에 대한 수요를 무시
클라우드로 이전할 경우, 사용자에게는 기업의 서비스를 독창적으로 활용할 수 있는 API(Application Programming Interface)가 필요하다. 클라우드는 내부 서비스와 기능에 접속하고자 하는 고객들이 이를 더 쉽게 이용하도록 해줄 수 있다. 이를 구현하는 것이 API 기반의 통합이다.

모바일 개발자들은 이러한 API들을 이용해 가치 있는 기업 내부 시스템과 비즈니스 정보 상단에서 값진 기술을 개발하게 된다. 티엘렌스는 "개발자들이 상용화가 가능한 기술을 개발할 수 있다면, API용 개발자 포털에 대한 투자가 정당화된다"라고 설명했다.

이 때 개발자들이 API 서비스 접속에 사용하는 API 키는 비밀번호와 같다. 비밀번호를 잃어버린다면 어떤 문제가 발생할까? 클라우드 서비스 API를 사용하는 CISO들은 API 키를 보호하기 위한 탄탄한 보안 계획을 수립해야 한다.

클라우드 제공자에 지나치게 의존
클라우드 서비스가 발전하고 새로운 벤더와 방법들이 등장하고 있다. 특히 아마존 같은 클라우드 분야의 전통기업과 페이스북이 소규모로 제공되는 제품과 기준에 대한 베스트 프랙티스를 제시하고 있다.

변화와 발전이 계속되고 있다. 현재 최선으로 간주되는 클라우드 기술 접근법이 앞으로도 최선의 선택이 되리라는 보장이 없다는 이야기다. 티엘렌스는 "클라우드가 아닌 기업 내부 기반 애플리케이션이 경제적으로 더 유리한 상황이 올 수도 있다"라고 언급했다. (OASIS: Organization for the Advancement of Structured Information Standards가 개발한) TOSCA 및 CAMP 같은 새 표준은 기업들이 특정 클라우드 제공자에 고착되지 않으면서 클라우드와 유사한 아키텍처로 이전할 수 있는 툴을 제공하고 있다.

기업들은 이런 툴을 이용해 기업의 니즈에 한층 부합하는 새로운 클라우드 기술을 도입할 수 있는 정도의 독립성을 유지해야 한다. 운영 위험 관리 측면에서도 다른 벤더로 신속하게 이동할 수 있는 유연성을 확보하는 것이 더 유리하다.
 


위험과 책임을 아웃소싱한다고 생각
일부 인프라를 클라우드로 이전할 수 있다. 그러나 위험과 책임, 컴플라이언스 준수까지 완벽하게 이전을 할 수 있는 것은 아니다. 기업은 클라우드 제공자에게 일정 수준 투명한 정보를 요구해야 한다. 위험 모델을 개발하고, 위험 경감 전략을 수립할 수 있어야 하기 때문이다.

 




2013.01.04

클라우드와 관련한 칠거지악

David Geer | CSO

자동화, 비용 절감, 데이터 이중화 등은 클라우드 도입을 유도하는 장점들이다. CISO는 클라우드 이전으로 인해 이런 보상이 따른다는 사실을 쉽게 확인할 수 있다. 그러나 기업의 클라우드 이전과정에 얼마나 많은 문제가 초래될 수 있는지 알지 못해 고민을 하는 경우가 많다.

이에 CISO와 보안 전문가들이 클라우드 컴퓨팅의 장점을 저해할 수 있는 7가지 보안 문제를 정리했다.

출발점부터 'ID 점검'에 실패
클라우드에 안전하게 로그인할 수 있는 유일한 방법은 기업의 ID 관리 시스템을 통하는 것이다. 많은 클라우드 서비스가 기업의 직원 누구나 기업에 등록을 하지 않은 상태에서 서비스에 가입을 하고, 각자 ID와 비밀번호를 설정하고, 이를 개인 이메일로 연결할 수 있도록 허용하고 있다. 그러나 이는 IT나 기업이 이를 방치해도 된다는 의미가 아니다.

액스웨이(Axway)의 존 티엘렌스 최고보안책임자(CSO)는 "이런 방식의 출발이 용이하기는 하다. 그러나 기업 IMS와 통합을 하지 않으면 정보가 누출되고, 정책을 위반하도록 만들고, 궁극적으로 클라우드의 보안이 허술해진다"라고 지적했다.

일부 기업들은 불만을 무마하기 위해 독자 서비스 방식을 적용, IaaS를 지나치게 빨리 배치해 IT 부서가 이에 제때 대처를 하지 못하도록 만들고 있기도 하다. 이런 방식에는 거버넌스 문제가 초래된다. 클라우드 서버 접속에 안전장치를 마련하지 못하는 것이다.

인포메이션 서비스 그룹(Information Services Group)의 신기술 애널리스트(Emerging Technology Analyst) 겸 클라우드 전문가(Cloud Expert)인 스탠톤 존스는 "사람들이 VM의 오래된 프로젝트 데이터 등, 절대 봐서는 안 되는 데이터에 접속을 하는 문제가 발생한다"라고 지적했다.

고객이 이용하는 클라우드 서비스는 어떨까? 접속 모델은 어떨까? 오하이오 주립대학(Ohio State University)의 줄리 탈봇 허버드 CISO는 "내부에서 적용하고 있는 SSO 모델과 유사한 사용자 로그인이 되도록 통합을 해야 한다"라고 조언했다.

안전한 API에 대한 수요를 무시
클라우드로 이전할 경우, 사용자에게는 기업의 서비스를 독창적으로 활용할 수 있는 API(Application Programming Interface)가 필요하다. 클라우드는 내부 서비스와 기능에 접속하고자 하는 고객들이 이를 더 쉽게 이용하도록 해줄 수 있다. 이를 구현하는 것이 API 기반의 통합이다.

모바일 개발자들은 이러한 API들을 이용해 가치 있는 기업 내부 시스템과 비즈니스 정보 상단에서 값진 기술을 개발하게 된다. 티엘렌스는 "개발자들이 상용화가 가능한 기술을 개발할 수 있다면, API용 개발자 포털에 대한 투자가 정당화된다"라고 설명했다.

이 때 개발자들이 API 서비스 접속에 사용하는 API 키는 비밀번호와 같다. 비밀번호를 잃어버린다면 어떤 문제가 발생할까? 클라우드 서비스 API를 사용하는 CISO들은 API 키를 보호하기 위한 탄탄한 보안 계획을 수립해야 한다.

클라우드 제공자에 지나치게 의존
클라우드 서비스가 발전하고 새로운 벤더와 방법들이 등장하고 있다. 특히 아마존 같은 클라우드 분야의 전통기업과 페이스북이 소규모로 제공되는 제품과 기준에 대한 베스트 프랙티스를 제시하고 있다.

변화와 발전이 계속되고 있다. 현재 최선으로 간주되는 클라우드 기술 접근법이 앞으로도 최선의 선택이 되리라는 보장이 없다는 이야기다. 티엘렌스는 "클라우드가 아닌 기업 내부 기반 애플리케이션이 경제적으로 더 유리한 상황이 올 수도 있다"라고 언급했다. (OASIS: Organization for the Advancement of Structured Information Standards가 개발한) TOSCA 및 CAMP 같은 새 표준은 기업들이 특정 클라우드 제공자에 고착되지 않으면서 클라우드와 유사한 아키텍처로 이전할 수 있는 툴을 제공하고 있다.

기업들은 이런 툴을 이용해 기업의 니즈에 한층 부합하는 새로운 클라우드 기술을 도입할 수 있는 정도의 독립성을 유지해야 한다. 운영 위험 관리 측면에서도 다른 벤더로 신속하게 이동할 수 있는 유연성을 확보하는 것이 더 유리하다.
 


위험과 책임을 아웃소싱한다고 생각
일부 인프라를 클라우드로 이전할 수 있다. 그러나 위험과 책임, 컴플라이언스 준수까지 완벽하게 이전을 할 수 있는 것은 아니다. 기업은 클라우드 제공자에게 일정 수준 투명한 정보를 요구해야 한다. 위험 모델을 개발하고, 위험 경감 전략을 수립할 수 있어야 하기 때문이다.

 


X