2017.03.15

벤더 기고 | 클라우드 관리 액션 플랜

Kyle Wood, Jordon De La Cruz | Computerworld
클라우드에서는 데이터와 관련해 ‘누가, 언제, 어디서, 무엇을, 왜’를 지속적으로 추적하는 것이 중요하다.



모든 기업들이 주요 기업 시스템을 클라우드로 이행하고 있다. 복잡하고 값 비쌌던 구내 아웃소싱 이행으로 처리해야 했던 작업을 이제는 클라우드를 통해 상대적으로 단순하고 저렴하게 해낼 수 있다. 그리고 이런 비용 및 복잡성 감소로 인해 클라우드 서비스와 클라우드 서비스 제공자들이 폭발적으로 증가하고 있다.

그러나 많은 기업들이 여러 클라우드 서비스를 이용하면서 데이터의 주체, 대상, 장소, 시기, 이유를 추적하지 못하고 있다. 아래에서는 복수의 클라우드 서비스 및 서비스 제공자를 이용할 때의 잠재적인 문제와 함께, 클라우드 서비스 환경을 활용할 수 있는 액션 플랜에 관해 간략히 살펴보고자 한다.

‘클라우드’란 무엇인가?
‘클라우드’는 데이터를 저장하거나 클라우스 서비스를 제공하기 위한 프라이빗, 퍼블릭, 하이브리드 데이터센터가 뒤죽박죽 섞인 존재다. 클라우드 서비스 제공자는 일반적으로 데이터센터와 별개로 활동하며 생태계 중심적이다. 그들은 사람들이 자신의 데이터를 그들의 환경에 저장하여 자사의 서비스를 더 많이 구매하기를 원한다. 배타성을 달성하기 위해 많은 클라우드 서비스 제공자들이 데이터 액세스 또는 클라우드 환경 사이에서 데이터를 전송할 수 있는 기능을 금지 또는 제한하고 있다. 계획 및 계약 단계에서 이 문제를 해결하지 못하면 악몽으로 이어질 수 있다.

클라우드에 무엇이 있는가?
여러 클라우드 환경과 서비스를 사용하다 보면 어떤 데이터가 어떤 환경으로 유입되고 누가 데이터에 액세스하는지 추적하기 어려울 수 있다. 모든 클라우드 서비스는 다르며 민감도 레벨과 액세스 제한 모니터링 및 실행에 실패하면 끔찍한 결과가 나타날 수 있다. 예를 들어, 한 제공자가 HIPAA를 지원하지만 다른 제공자는 그렇지 않은 경우에 HIPAA 호환 클라우드에서 HIPAA 비호환 클라우드로 비밀 건강 정보를 전송할 때 큰 벌금이 부과될 수 있다.

데이터의 위치는?
경쟁력 있는 서비스를 제공하기 위해서 서비스 제공자는 늘 비용 절감을 염두에 둔다. 그들은 이를 위해 역외에서 데이터를 저장하고 처리한다. 문제는 데이터의 유형과 민감도에 따라 이 활동으로 인해 해외 관할권의 법률이 적용될 수 있다는 점이다.

특히 이런 해외 법률 문제는 데이터를 자국에서 저장하더라도 역외에서 처리하는 경우에도 발생할 수 있다. 보호 받는 건강 정보 또는 금융 데이터 등 민감한 데이터를 처리하는 경우 이런 준수성 의무가 더욱 복잡해진다.

데이터를 언제 교환할 수 있으며 이전 서비스가 존재하는가?
각 클라우드 환경들 사이에서 데이터를 전송할 수 있는 기능이 가능하다 하더라도 항상 허용되는 것은 아니다. 법적 합의에 따라 서비스 제공자 환경들 사이의 데이터 전송이 허용되지 않는 경우가 대표적이다. 마찬가지로 이행 계획에 호환되는 데이터 스키마(Scheme)와 형식을 지정하지 않은 경우 기술적으로 시스템들 사이에서 데이터를 교환하지 못할 수 있다.

또 많은 기업들이 벤더들 사이의 이전을 계획하는데 어려움을 겪는다. 서비스 제공자와의 관계 종료에 대한 적절한 계획이 없다면 클라우드 벤더가 데이터를 새로운 서비스 제공자로 마이그레이션(Migration)할 때 도울 의무가 없거나 모든 데이터를 삭제하고도 법적 책임을 지지 않을 수 있다.

벤더가 그렇게 많은 이유는 무엇인가?
특정 비즈니스 필요를 해결하기 위해 개발된 클라우드 서비스가 많아지면서 기업으로서는 여러 사업 영역에서 각기 클라우드 서비스를 구매할 이유가 발생할 수 있다. 또한 기업이 변화하고 클라우드 벤더의 서비스가 확장되면서 클라우드 서비스가 중첩 또는 중복될 수 있다. 클라우드 시스템이 중복되면 비용이 증가하며 민감한 데이터가 관련된 경우 보안 및 계약 위반의 위험에 더 많이 노출된다.

앞으로의 방법은?
위에서 확인한 문제들은 빙산의 일각에 불과하다. 벤더 관리 전략은 산업과 위험 허용치를 포함하여 여러 요소에 좌우된다. 벤더 관리 프로세스를 개발하고 이행하는 것이 중요하다. 자신만의 벤더 관리 프로세스를 개발하기 위해 할 수 있는 것들이 있다.

- 조직 내에서 주요 이해당사자들을 파악하고 다기능팀을 구성하여 벤더 관리 문제를 해결하며 그 과정에 참여하게 하면 된다. 팀 구성원들에는 경영, 법률, IT, 조달 부문이 포함될 수 있다. 조직의 주요 이해당사자들의 지원과 참여가 없다면 완전한 솔루션을 구축하려는 노력이 성공할 가능성이 없다.

- 조직이 보유한 데이터의 유형을 파악하고 조직이 데이터를 분류하기 위해 사용할 기준을 수립해야 한다.

- 수립된 분류 기준을 활용해 데이터를 취급하고 관리하며 시스템에 액세스하는 방식에 관해 직원 및 벤더들의 기대치를 설정하는 정책과 절차를 개발해야 한다.

- 어떤 벤더가 어떤 시스템에 액세스할 수 있는지 그리고 그들이 액세스 유형과 범위를 파악하여 조직 전반의 데이터 흐름 방식을 파악해야 한다.

- 프로세스를 준수하되 부지런해야 한다. 프로세스는 일관되게 적용할 때에만 효과가 있다.

적절한 계획, 관리, 실행을 통해 확장되는 클라우드 서비스 포트폴리오를 성공적으로 관리할 수 있다.

* 카일 우드는 테크놀로지 트랜잰션 및 프라이버시 그룹 퍼킨스 코이 LLP(Perkins Coie LLP)의 선임 카운슬이다. 조든 드 라 브루즈는 동사의 부카운슬이다. ciokr@idg.co.kr
 



2017.03.15

벤더 기고 | 클라우드 관리 액션 플랜

Kyle Wood, Jordon De La Cruz | Computerworld
클라우드에서는 데이터와 관련해 ‘누가, 언제, 어디서, 무엇을, 왜’를 지속적으로 추적하는 것이 중요하다.



모든 기업들이 주요 기업 시스템을 클라우드로 이행하고 있다. 복잡하고 값 비쌌던 구내 아웃소싱 이행으로 처리해야 했던 작업을 이제는 클라우드를 통해 상대적으로 단순하고 저렴하게 해낼 수 있다. 그리고 이런 비용 및 복잡성 감소로 인해 클라우드 서비스와 클라우드 서비스 제공자들이 폭발적으로 증가하고 있다.

그러나 많은 기업들이 여러 클라우드 서비스를 이용하면서 데이터의 주체, 대상, 장소, 시기, 이유를 추적하지 못하고 있다. 아래에서는 복수의 클라우드 서비스 및 서비스 제공자를 이용할 때의 잠재적인 문제와 함께, 클라우드 서비스 환경을 활용할 수 있는 액션 플랜에 관해 간략히 살펴보고자 한다.

‘클라우드’란 무엇인가?
‘클라우드’는 데이터를 저장하거나 클라우스 서비스를 제공하기 위한 프라이빗, 퍼블릭, 하이브리드 데이터센터가 뒤죽박죽 섞인 존재다. 클라우드 서비스 제공자는 일반적으로 데이터센터와 별개로 활동하며 생태계 중심적이다. 그들은 사람들이 자신의 데이터를 그들의 환경에 저장하여 자사의 서비스를 더 많이 구매하기를 원한다. 배타성을 달성하기 위해 많은 클라우드 서비스 제공자들이 데이터 액세스 또는 클라우드 환경 사이에서 데이터를 전송할 수 있는 기능을 금지 또는 제한하고 있다. 계획 및 계약 단계에서 이 문제를 해결하지 못하면 악몽으로 이어질 수 있다.

클라우드에 무엇이 있는가?
여러 클라우드 환경과 서비스를 사용하다 보면 어떤 데이터가 어떤 환경으로 유입되고 누가 데이터에 액세스하는지 추적하기 어려울 수 있다. 모든 클라우드 서비스는 다르며 민감도 레벨과 액세스 제한 모니터링 및 실행에 실패하면 끔찍한 결과가 나타날 수 있다. 예를 들어, 한 제공자가 HIPAA를 지원하지만 다른 제공자는 그렇지 않은 경우에 HIPAA 호환 클라우드에서 HIPAA 비호환 클라우드로 비밀 건강 정보를 전송할 때 큰 벌금이 부과될 수 있다.

데이터의 위치는?
경쟁력 있는 서비스를 제공하기 위해서 서비스 제공자는 늘 비용 절감을 염두에 둔다. 그들은 이를 위해 역외에서 데이터를 저장하고 처리한다. 문제는 데이터의 유형과 민감도에 따라 이 활동으로 인해 해외 관할권의 법률이 적용될 수 있다는 점이다.

특히 이런 해외 법률 문제는 데이터를 자국에서 저장하더라도 역외에서 처리하는 경우에도 발생할 수 있다. 보호 받는 건강 정보 또는 금융 데이터 등 민감한 데이터를 처리하는 경우 이런 준수성 의무가 더욱 복잡해진다.

데이터를 언제 교환할 수 있으며 이전 서비스가 존재하는가?
각 클라우드 환경들 사이에서 데이터를 전송할 수 있는 기능이 가능하다 하더라도 항상 허용되는 것은 아니다. 법적 합의에 따라 서비스 제공자 환경들 사이의 데이터 전송이 허용되지 않는 경우가 대표적이다. 마찬가지로 이행 계획에 호환되는 데이터 스키마(Scheme)와 형식을 지정하지 않은 경우 기술적으로 시스템들 사이에서 데이터를 교환하지 못할 수 있다.

또 많은 기업들이 벤더들 사이의 이전을 계획하는데 어려움을 겪는다. 서비스 제공자와의 관계 종료에 대한 적절한 계획이 없다면 클라우드 벤더가 데이터를 새로운 서비스 제공자로 마이그레이션(Migration)할 때 도울 의무가 없거나 모든 데이터를 삭제하고도 법적 책임을 지지 않을 수 있다.

벤더가 그렇게 많은 이유는 무엇인가?
특정 비즈니스 필요를 해결하기 위해 개발된 클라우드 서비스가 많아지면서 기업으로서는 여러 사업 영역에서 각기 클라우드 서비스를 구매할 이유가 발생할 수 있다. 또한 기업이 변화하고 클라우드 벤더의 서비스가 확장되면서 클라우드 서비스가 중첩 또는 중복될 수 있다. 클라우드 시스템이 중복되면 비용이 증가하며 민감한 데이터가 관련된 경우 보안 및 계약 위반의 위험에 더 많이 노출된다.

앞으로의 방법은?
위에서 확인한 문제들은 빙산의 일각에 불과하다. 벤더 관리 전략은 산업과 위험 허용치를 포함하여 여러 요소에 좌우된다. 벤더 관리 프로세스를 개발하고 이행하는 것이 중요하다. 자신만의 벤더 관리 프로세스를 개발하기 위해 할 수 있는 것들이 있다.

- 조직 내에서 주요 이해당사자들을 파악하고 다기능팀을 구성하여 벤더 관리 문제를 해결하며 그 과정에 참여하게 하면 된다. 팀 구성원들에는 경영, 법률, IT, 조달 부문이 포함될 수 있다. 조직의 주요 이해당사자들의 지원과 참여가 없다면 완전한 솔루션을 구축하려는 노력이 성공할 가능성이 없다.

- 조직이 보유한 데이터의 유형을 파악하고 조직이 데이터를 분류하기 위해 사용할 기준을 수립해야 한다.

- 수립된 분류 기준을 활용해 데이터를 취급하고 관리하며 시스템에 액세스하는 방식에 관해 직원 및 벤더들의 기대치를 설정하는 정책과 절차를 개발해야 한다.

- 어떤 벤더가 어떤 시스템에 액세스할 수 있는지 그리고 그들이 액세스 유형과 범위를 파악하여 조직 전반의 데이터 흐름 방식을 파악해야 한다.

- 프로세스를 준수하되 부지런해야 한다. 프로세스는 일관되게 적용할 때에만 효과가 있다.

적절한 계획, 관리, 실행을 통해 확장되는 클라우드 서비스 포트폴리오를 성공적으로 관리할 수 있다.

* 카일 우드는 테크놀로지 트랜잰션 및 프라이버시 그룹 퍼킨스 코이 LLP(Perkins Coie LLP)의 선임 카운슬이다. 조든 드 라 브루즈는 동사의 부카운슬이다. ciokr@idg.co.kr
 

X