Offcanvas

보안 / 신기술|미래 / 아웃소싱 / 클라우드

'서비스로서의 보안' 뜬다··· 비용절감·유연성 확보한 3사의 사례

2013.02.08 Bob Violino  |  Computerworld


그는 “다양한 비즈니스 프로세스를 아웃소싱 한다는 개념 자체에 대해선 별 거부감이 없었다. 지난 수 년간 그것이 거의 일종의 기준처럼 되어 왔다. 그러나 보안은 아웃소싱이 불가능한 종류의 것으로 생각되었다. 보안은 최대한 회사 가까이에 두어야 하는 그런 분야인 것이다”라고 말했다.

콕스에서 서비스로서의 보안을 아웃소싱 하기 위해 제안 요청서(RFP) 평가 절차를 처음 밟았을 때, 콕스 경영진들은 벤더 중 한 곳이 최종 명단에 들지 못 할 것이라 예측했다. 먼스터맨은 “그래서 그 벤더가 1위를 했을 때 우리는 모두 놀랐다. 탄탄하고 중립적인 평가 기준을 가지고 있었기에 우리는 그 결과가 편견이나 다른 것에 의한 착각이 아니라 객관적인 결과임을 확신할 수 있었다”고 말했다.

먼스터맨은 “중립적인 RFP 평가 프로세스를 통해 분명한 결과를 얻은 콕스는 아웃소싱 벤더(이 경우 베라코드(Veracode))의 강점과 가치를 분명히 평가할 수 있었다. 베라코드를 고려 대상에 포함 시킨 건 그저 한 벤더라도 빠뜨리지 않기 위해서였을 뿐, 실제로 그들이 1위를 할 것이라곤 예상치 못했다”라고 말했다.

그는 “클라우드 기반 서비스의 도입은 ‘탄탄한 계약’에서부터 시작해 결국에는 믿을 수 있는 파트너십을 형성하는 것으로 마무리된다. 그리고 이 과정에서는 서비스를 제공하는 사람들에 대해 잘 알수록 훨씬 더 마음이 편해진다. 우리 회사 내부에서도 다른 직원들을 설득시키기 위해 애쓴 사람들이 있었다. 아웃소싱에 가장 강력하게 반대했던 이들조차도 첫 해 성과를 보고 나서 마음을 돌렸다. 어쨌거나 결과가 좋으면 반대하기 힘든 법이다”라고 그는 말했다.

그 결과들에는 애플리케이션 보안 프로그램의 실행 속도와 방어 능력도 포함돼 있었다. 먼스터맨은 “회사의 반대파들을 설득해 낸 영웅들은 또 보안 프로그램과 관련된 모든 부서들과 협력하고, 직접적인 훈련을 담당했으며, 빠르고 정확한 피드백을 제공하는 역할까지 했다. 개발 팀에서 몇몇 사람들이 자원해 프로그램을 소개하고 개발과 보안 사이의 파트너십을 형성하는 데 도움을 주었다. 그들 덕분에 이 프로그램이 단순한 보안 지시로 보이지 않을 수 있었다”라고 강조했다.

다른 리스크들
그렇지만 사람들에게 서비스로서의 보안 개념을 받아들이게 하는 것만이 유일한 문제는 아니다.

가트너의 핑그리는 “외부 서비스를 이용했을 때 가장 최악의 가능성 중 하나는 아마 보안 데이터의 중앙화로 인한 데이터 누출일 것이다. 클라우드 고객들은 보안 관련 데이터를 클라우드 서비스 환경에 맡기는 것에 여전히 불안을 느끼고 있다”고 말했다.

핑그리는 “기업 외부에 데이터를 저장하려면, 그리고 그 데이터를 안전하게 보호하려면 암호화가 필수이다. 암호화를 위해 사용된 키는 기업이 가지고 있는 것이 이상적이며, 클라우드 공급자의 직원들이 액세스 할 수 없어야 한다”라고 강조했다.

그는 또 여기에 덧붙여, 중요 서비스를 클라우드에 중앙화시키는 것은 한 번의 정지 만으로도 고객들에게 재앙에 가까운 영향을 미칠 수 있으며 엄청난 손실을 입힐 수 있는 리스크를 키우는 것이라고 설명했다.

핑그리는 “만일 클라우드 벤더에게 문제가 생길 경우 ‘당신 업체도 함께 망하는 것’이다. 일부 공급자들은 정지 및 데이터 유출 예방책을 사전에 세워뒀을 수도 있지만, 개중에는 그렇지 못한 공급자들도 있다. 따라서 이런 위기 상황에 대한 대처가 우수한 서비스로서의 보안 공급자를 신중하게 골라야 한다”라고 말했다.

핑그리는 “또 클라우드 정지가 염려되는 기업들은 공급자에게 계약의 일환으로써 어떻게 시스템 지속성을 보장할 수 있는지 물어봐야 하며 혹시라도 정지가 발생할 경우 그 곳에 보관된 데이터와 애플리케이션들을 곧바로 옮길 수 있도록 예비 클라우드 공급자를 물색해 놓아야 한다”고 덧붙였다.

대개는 정지를 예방하기 위한 조치가 돼 있으므로 서비스 정기가 발생할 확률이 상대적으로 낮긴 하지만, 이메일 같은 중요한 비즈니스 애플리케이션이 상당 기간 동안 유실될 리스크가 여전히 존재한다고 실바의 디아브는 말했다. 그는 이를 ‘리스크 관리와 보상의 대결’이라 표현했다.

많은 공급자들이 단순하고 확정적이며 타협이 불가능한 서비스 수준 협약(SLA, Service Level Agreements)을 제공하는 한편 제한적인 법적 책임만을 진다는 것도 이런 서비스들을 이용함으로써 발생할 수 있는 또 다른 리스크라고 디아브는 설명했다.

전반적인 서비스로서의 보안, 또는 베스트 프랙티스(best practice)에 관한 정보를 모색하는 기업들은 다양한 자산들을 활용할 수 있을 것이다. 한 예로 클라우드 시큐리티 얼라이언스(Cloud Security Alliance) 산하 서비스로서의 보안 워킹 그룹(Security as a Service Working Group)은 2012년 10월 피어 리뷰(peer review) 프로세스를 완료하고 실행 지시 문서를 발행한 바 있다.

워킹 그룹의 문서에는 신원 및 접근 관리, 데이터 손실 방지, 웹 보안(Web security), 침입 관리, 이메일 보안, 암호화, 비즈니스 지속성 및 재난 복구, 네트워크 보안, 보안 평가 등 각 서비스 카테고리에 관한 피어 리뷰 문서가 포함되어 있다.

이들 중 많은 서비스가 비교적 최근의 것임을 감안하면, 서비스로서의 보안 도입 전 이 자료를 살펴보는 것이 많은 도움이 될 것이다. ciokr@idg.co.kr

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.