2013.03.18

클라우드 보안 평가, 어떻게 할 것인가

John Moore | CIO
SaaS 도입 기업들이 보안 문제를 간과하는 경우가 종종 있다. 전문가들은 기업들이 무엇을 요구해야 하며 무엇을 테스트해야 하고 클라우드 서비스 업체 계약을 위한 표준이 무엇인지 모르기 때문이라고 지적했다.

기업의 SaaS 도입이 확산됨에 따라, ‘누가 클라우드 보안을 평가하고 확인할 것인가?’라는 문제가 제기됐다.

이 물음은 일부 측면들에서 복잡성을 내재하는 클라우드 컴퓨팅 환경의 본질로 인해 꽤 답하기 까다로운 질문으로 여겨질 수 있는 것이 사실이다. SaaS 도입은 고객과 소프트웨어 공급자, 그리고 잠재적으로는 클라우드 소프트웨어 호스팅과도 관련 있는 문제다. 일부 프로젝트들에는 중개인인 클라우드 서비스 브로커가 개입하는 경우도 있다.

오늘날 SaaS 앱은 이메일이나 ERP 등의 핵심 비즈니스 기능을 포함한 다양한 영역들을 포괄하고 있다. 시장이 이 정도까지 성장했음에도 불구하고 클라우드를 받아들이는 많은 고객들은 여전히 자신들이 이용하게 될 상품의 보안 수준에 관해 업체가 설명하는 말을 그대로 수용하는 경향을 보여주고 있다.

지난 해 IT 보안 트레이닝 기관 SANS 인스티튜트(SANS Institute)가 발표한 보고서에 따르면, 외주 공급 혹은 클라우드 기반 애플리케이션을 도입하는 과정에서 적절한 테스트와 확인 절차를 거친다고 응답한 기업은 전체의 22%에 불과했다.

SaaS 업체 심사는 쉽지 않은 과제다
SANS의 애널리스트들은 사용자들에게 SaaS 공급자들의 말을 곧이곧대로 믿어선 안 된다고 조언했다. 그러나 물론 SaaS 보안 수준을 검증하는 것이 절대 쉬운 과정은 아닐 것이다.

SANS의 애널리스트이자 이번 연구 보고서의 공동 저자인 짐 버드는 SaaS 공급자 심사를 위한 적절한 가이드라인이 없는 시장 상황을 지적했다. 제한된 예산과 자산 역시 고민을 야기하는 요인이다. 버드는 “대부분의 기업들은 자신들의 자체적 솔루션을 보호하는데 투입할 자산도 부족한 상황을 겪고 있다. 그들에게 공급자까지 신경 쓸 여유는 없다”라고 말했다.

업계 전문가들도 SaaS 소프트웨어를 사용하기로 결정했다면 도입하기 전과 도입 후에도 매년 해당 IT업체를 평가할 필요가 있다고 강조했다. 때로는 해당 SaaS 업체에 관한 외부 기관의 평가를 통해 이와 관련한 부담이 조금은 줄어들 수도 있을 것이다.

SSAE 16(Statement on Standards for Attestation Engagements No. 16)과 같은 감사 표준이나 ISO 27001 등의 보안 프레임워크는 구매자들에게 클라우드 공급자의 보안 수준을 확인할 수 있게 하는 지표가 될 수 있다. 또한 최근에는 정부 차원의 클라우드 보안 평가 표준인 연방 위험 및 인증 관리 프로그램(FedRAMP, Federal Risk and Authorization Management Program)이 출범하기도 했다.

FedRAMP 승인을 최초로 획득한 클라우드 서비스 공급자인 오토매틱 리소소(Autonomic Resources)의 CEO 존 키스는 이 클라우드 심사 프로그램이 정부 영역 밖에서도 효력을 발휘할 것이라 설명했다. 그는 “이 모델이 상업 영역으로 확산될 것으로 전망하고 있다”라고 말했다.

클라우드 보안 평가, 어렵지만 외면해선 안될 작업이다
매사추세츠 주 서드버리에 있는 보안 컨설팅 업체 시스템엑스퍼츠(SystemExperts)의 컨설턴트 폴 힐은 “보안 평가가 이제 필수 단계가 되었다. SaaS 업체나 클라우드 서비스를 이용하고자 한다면 그에 따르는 업체 평가와 리스크 및 책임 확인은 그 누구도 아닌 바로 당신의 몫임을 기억하라”고 말했다.

힐은 현장 방문이나 심층 인터뷰 등이 서비스를 검토하는 방법이 될 수 있을 것이라 소개했다. 또는 업체에게 질문 사항들을 전달해 그들이 스스로 보안 수준을 평가해 보도록 할 수도 있을 것이다. 외부 감사원의 도움을 받는 것 역시 전반적인 보안 상황을 확인해보는데 도움을 줄 수 있다.




2013.03.18

클라우드 보안 평가, 어떻게 할 것인가

John Moore | CIO
SaaS 도입 기업들이 보안 문제를 간과하는 경우가 종종 있다. 전문가들은 기업들이 무엇을 요구해야 하며 무엇을 테스트해야 하고 클라우드 서비스 업체 계약을 위한 표준이 무엇인지 모르기 때문이라고 지적했다.

기업의 SaaS 도입이 확산됨에 따라, ‘누가 클라우드 보안을 평가하고 확인할 것인가?’라는 문제가 제기됐다.

이 물음은 일부 측면들에서 복잡성을 내재하는 클라우드 컴퓨팅 환경의 본질로 인해 꽤 답하기 까다로운 질문으로 여겨질 수 있는 것이 사실이다. SaaS 도입은 고객과 소프트웨어 공급자, 그리고 잠재적으로는 클라우드 소프트웨어 호스팅과도 관련 있는 문제다. 일부 프로젝트들에는 중개인인 클라우드 서비스 브로커가 개입하는 경우도 있다.

오늘날 SaaS 앱은 이메일이나 ERP 등의 핵심 비즈니스 기능을 포함한 다양한 영역들을 포괄하고 있다. 시장이 이 정도까지 성장했음에도 불구하고 클라우드를 받아들이는 많은 고객들은 여전히 자신들이 이용하게 될 상품의 보안 수준에 관해 업체가 설명하는 말을 그대로 수용하는 경향을 보여주고 있다.

지난 해 IT 보안 트레이닝 기관 SANS 인스티튜트(SANS Institute)가 발표한 보고서에 따르면, 외주 공급 혹은 클라우드 기반 애플리케이션을 도입하는 과정에서 적절한 테스트와 확인 절차를 거친다고 응답한 기업은 전체의 22%에 불과했다.

SaaS 업체 심사는 쉽지 않은 과제다
SANS의 애널리스트들은 사용자들에게 SaaS 공급자들의 말을 곧이곧대로 믿어선 안 된다고 조언했다. 그러나 물론 SaaS 보안 수준을 검증하는 것이 절대 쉬운 과정은 아닐 것이다.

SANS의 애널리스트이자 이번 연구 보고서의 공동 저자인 짐 버드는 SaaS 공급자 심사를 위한 적절한 가이드라인이 없는 시장 상황을 지적했다. 제한된 예산과 자산 역시 고민을 야기하는 요인이다. 버드는 “대부분의 기업들은 자신들의 자체적 솔루션을 보호하는데 투입할 자산도 부족한 상황을 겪고 있다. 그들에게 공급자까지 신경 쓸 여유는 없다”라고 말했다.

업계 전문가들도 SaaS 소프트웨어를 사용하기로 결정했다면 도입하기 전과 도입 후에도 매년 해당 IT업체를 평가할 필요가 있다고 강조했다. 때로는 해당 SaaS 업체에 관한 외부 기관의 평가를 통해 이와 관련한 부담이 조금은 줄어들 수도 있을 것이다.

SSAE 16(Statement on Standards for Attestation Engagements No. 16)과 같은 감사 표준이나 ISO 27001 등의 보안 프레임워크는 구매자들에게 클라우드 공급자의 보안 수준을 확인할 수 있게 하는 지표가 될 수 있다. 또한 최근에는 정부 차원의 클라우드 보안 평가 표준인 연방 위험 및 인증 관리 프로그램(FedRAMP, Federal Risk and Authorization Management Program)이 출범하기도 했다.

FedRAMP 승인을 최초로 획득한 클라우드 서비스 공급자인 오토매틱 리소소(Autonomic Resources)의 CEO 존 키스는 이 클라우드 심사 프로그램이 정부 영역 밖에서도 효력을 발휘할 것이라 설명했다. 그는 “이 모델이 상업 영역으로 확산될 것으로 전망하고 있다”라고 말했다.

클라우드 보안 평가, 어렵지만 외면해선 안될 작업이다
매사추세츠 주 서드버리에 있는 보안 컨설팅 업체 시스템엑스퍼츠(SystemExperts)의 컨설턴트 폴 힐은 “보안 평가가 이제 필수 단계가 되었다. SaaS 업체나 클라우드 서비스를 이용하고자 한다면 그에 따르는 업체 평가와 리스크 및 책임 확인은 그 누구도 아닌 바로 당신의 몫임을 기억하라”고 말했다.

힐은 현장 방문이나 심층 인터뷰 등이 서비스를 검토하는 방법이 될 수 있을 것이라 소개했다. 또는 업체에게 질문 사항들을 전달해 그들이 스스로 보안 수준을 평가해 보도록 할 수도 있을 것이다. 외부 감사원의 도움을 받는 것 역시 전반적인 보안 상황을 확인해보는데 도움을 줄 수 있다.


X