2013.02.28

"클라우드 보안은 CSO에게 여전히 골칫거리"

Neal Weinberg | Network World
클라우드 서비스 업체와 클라우드 보안 연합과 같은 업계 단체가 최선을 다하고 있는데도 클라우드 보안은 여전히 IT임원들의 골칫거리로 남아있다.

현재 미국에서 개최 중인 RSA 컨퍼런스의 보안 세션에서 IT보안 전문가들은 클라우드 업체들의 투명성이 부족하다고 지적하며 구매 결정을 내리는 게 얼마나 어려운 지에 대해 토로했다.

이 행사 참가자들은 현재 클라우드 보안에 대한 인증이 없다고 지적했다. 그리고 클라우드 업체는 기업 고객들이 사이트에 가서 실제로 기계를 건드리지 못하도록 하고 있다.

징가의 전임 CSO 닐스 풀먼은 IT임원들이 미래의 클라우드 서비스 업체를 철저히 조사할 것을 권했다. "경찰 조사관이 돼서 해당 업체가 얼마나 성숙했는지를 파악해야 한다”라고 그는 말했다.

특히 신생벤처와 일했던 그의 경험을 예로 들면서 "당신이 어려운 질문을 던지면 열의 아홉은 나가 떨어질 것이다”라고 폴먼은 밝혔다.

그는 클라우드 업체의 최우선 순위가 고객사의 보안 사고를 최소화하는 것이라는 점을 기업들이 이해해야 한다고 주장했다. "고객에 미치는 영향을 최소화하는 것을 차선 순위에 둔다면, 고객은 별도의 통제 방안을 마련해야 한다"라고 그는 덧붙였다.

클라우드 운영 업체 v스케일러(vScaler)의 부사장 패트릭 폭스호번은 "IT업체에서 투명성을 증명하라고 요구했다. 그런데 이를 증명할 수 없으면, 그 업체를 감사할 수 없다'라고 강조했다.

그러나 많은 행사 참가자들은 대형 클라우드 업체조차 자사의 보안 정책을 타사에 공개하는 게 익숙하지 않기 때문에 기업들이 활용하지 않는다고 지적했다.

각기 다른 업체의 SaaS, PaaS, IaaS를 사용하고 있다고 밝힌 한 참가자는 이들 3개 업체를 평가하는 데 대한 문제점을 질문했다. 이 참가자의 질문은 “그렇다면, 이러한 감사를 3번 해야 한다는 뜻인가?”였다.

폭스호번은 기업 고객에 대해 여러 방면으로 대처하며 공급 업체의 입장을 밝혔다. “잠재 고객들로부터 보안 관련 질문을 많이 받는데, 이러한 질문들 대부분은 보안이 클라우드에서 구현되는 방법에 적용되지 않는다”라고 그는 답했다.

그는 “정답은 없다. 하지만 IT임원들을 위한 한 가지 제안은 다른 고객들과 이야기를 나누며 그들이 특정 서비스 업체와 어떠했는지를 알아보라고 말하고 싶다. 그게 바로 우리가 오늘 이 자리(RSA 컨퍼런스)에 있어야 하는 불행한 현실이다”라고 폭스호번은 덧붙였다. ciokr@idg.co.kr



2013.02.28

"클라우드 보안은 CSO에게 여전히 골칫거리"

Neal Weinberg | Network World
클라우드 서비스 업체와 클라우드 보안 연합과 같은 업계 단체가 최선을 다하고 있는데도 클라우드 보안은 여전히 IT임원들의 골칫거리로 남아있다.

현재 미국에서 개최 중인 RSA 컨퍼런스의 보안 세션에서 IT보안 전문가들은 클라우드 업체들의 투명성이 부족하다고 지적하며 구매 결정을 내리는 게 얼마나 어려운 지에 대해 토로했다.

이 행사 참가자들은 현재 클라우드 보안에 대한 인증이 없다고 지적했다. 그리고 클라우드 업체는 기업 고객들이 사이트에 가서 실제로 기계를 건드리지 못하도록 하고 있다.

징가의 전임 CSO 닐스 풀먼은 IT임원들이 미래의 클라우드 서비스 업체를 철저히 조사할 것을 권했다. "경찰 조사관이 돼서 해당 업체가 얼마나 성숙했는지를 파악해야 한다”라고 그는 말했다.

특히 신생벤처와 일했던 그의 경험을 예로 들면서 "당신이 어려운 질문을 던지면 열의 아홉은 나가 떨어질 것이다”라고 폴먼은 밝혔다.

그는 클라우드 업체의 최우선 순위가 고객사의 보안 사고를 최소화하는 것이라는 점을 기업들이 이해해야 한다고 주장했다. "고객에 미치는 영향을 최소화하는 것을 차선 순위에 둔다면, 고객은 별도의 통제 방안을 마련해야 한다"라고 그는 덧붙였다.

클라우드 운영 업체 v스케일러(vScaler)의 부사장 패트릭 폭스호번은 "IT업체에서 투명성을 증명하라고 요구했다. 그런데 이를 증명할 수 없으면, 그 업체를 감사할 수 없다'라고 강조했다.

그러나 많은 행사 참가자들은 대형 클라우드 업체조차 자사의 보안 정책을 타사에 공개하는 게 익숙하지 않기 때문에 기업들이 활용하지 않는다고 지적했다.

각기 다른 업체의 SaaS, PaaS, IaaS를 사용하고 있다고 밝힌 한 참가자는 이들 3개 업체를 평가하는 데 대한 문제점을 질문했다. 이 참가자의 질문은 “그렇다면, 이러한 감사를 3번 해야 한다는 뜻인가?”였다.

폭스호번은 기업 고객에 대해 여러 방면으로 대처하며 공급 업체의 입장을 밝혔다. “잠재 고객들로부터 보안 관련 질문을 많이 받는데, 이러한 질문들 대부분은 보안이 클라우드에서 구현되는 방법에 적용되지 않는다”라고 그는 답했다.

그는 “정답은 없다. 하지만 IT임원들을 위한 한 가지 제안은 다른 고객들과 이야기를 나누며 그들이 특정 서비스 업체와 어떠했는지를 알아보라고 말하고 싶다. 그게 바로 우리가 오늘 이 자리(RSA 컨퍼런스)에 있어야 하는 불행한 현실이다”라고 폭스호번은 덧붙였다. ciokr@idg.co.kr

X