2017.11.16

‘큰 재앙을 부르는 작은 착오’··· 기업의 클라우드 실수 10가지

John Edwards | CIO
낙관적인 사람들은 “구름 위에서는 항상 해가 빛난다”는 말을 즐겨 쓴다. 하지만 그 구름 아래에 높은 바람과 억수 같은 비, 번개, 이따금 내리는 골프공만한 우박이 있다는 사실을 언급하지 않는다.

Credit: Getty Images Bank

클라우드 컴퓨팅도 마찬가지다. 긍정적으로 보면 신뢰성, 유연성, 관리성, 확장성 향상 등 다양한 이점을 제공한다. 그러나 그 이면에는 클라우드의 어두운 면이 자리잡고 있다. 오히려 하나의 오류, 실수, 계산 착오가 큰 재앙을 불러올 수도 있다. 이처럼 기업이 막대한 손실과 소송이라는 최악의 상황을 피하기 위해서는 다음과 같은 보편적인 실수 10가지를 조심해야 한다.

1. 관리와 전략 계획 없이 클라우드로 이행하는 것
클라우드에서는 인프라 자원을 매우 쉽게 조정할 수 있지만 부주의로 의한 정책, 보안, 비용 문제를 발견하지 못할 가능성도 그만큼 높다. 기술 컨설팅 업체 SPR 컨설팅(SPR Consulting)의 클라우드 인프라 사례 책임자 크리스 한센은 “촘촘한 관리와 계획이 이상적이지만 한 번에 해결할 필요는 없다. 자동화가 가능한 작은 부분부터 시작하라. 이를 통해 모니터링/관리, 보안, 금융 등 관리의 핵심 3영역을 관리하고 문제를 신속하게 찾고 해결할 수 있다”라고 말했다.

이는 기업 내 누가 보안과 데이터 백업, 비즈니스 연속성 등 클라우드 관련 작업을 담당하는지 완전히 파악하는 것이 중요하다는 것을 알려준다. 보안 자동화 플랫폼 업체 소스클리어(SourceClear)의 CSO 로버트 우드는 “무엇인가 잘못됐는데 이를 파악하지 못하면 기업은 매우 어려운 상황에 부닥칠 수 있다”라고 말했다.

2. 무엇이든 클라우드에 넣을 수 있다는 생각
지난 수년간 많이 좋아지긴 했지만 여전히 많은 애플리케이션이 클라우드에 적합하지 않다. 디지털 고객 참여 전문 업체 리퀴드허브(LiquidHub)의 파트너 조 그로버는 “아직 완성되지 않았거나 레거시 시스템과의 복잡한 통합이 필요한 애플리케이션을 클라우드로 이전하면 애플리케이션 성능, 사용자 경험 및 참여, 결과 등에 심각한 문제를 일으킬 수 있다. 시간을 갖고 (클라우드로의) 이행을 통해 얻고자 하는 것을 파악한 후 예상 결과를 검증해야 한다”라고 말했다.

3. 클라우드를 온프레미스 데이터센터처럼 취급하는 것
많은 기업이 클라우드 환경을 마치 온프레미스 데이터센터처럼 취급한다. 여기서 비롯된 실수 때문에 상당한 비용을 부담하기도 한다. 기술 통합 업체 워크스테이트(Workstate)의 클라우드 기술 서비스 그룹 사장 데니스 알리오는 “많은 기업이 마이그레이션 여부를 판단할 때 총소유비용(TCO)을 지나치게 중요하게 본다. 클라우드 서비스는 상당한 비용 절감 효과를 제공하지만 완전히 다른 자원 관리 프로세스가 필요하다. 이런 조건이 충족되지 않으면 돈을 절약하는 것이 아니라 오히려 낭비할 수도 있다”라고 말했다.

예를 들어, 데이터센터에서 클라우드로 단일 애플리케이션 서버를 이동하는 경우를 보자. 이때 TCO 분석은 하루 중 서버를 사용하는 시간이 좌우한다. 온프레미스 데이터센터에서는 서버를 항상 켜 두어도 시설의 유틸리티 비용이 크게 상승하지 않는다. 반면 클라우드에서는 일반적으로 시간 단위로 비용을 지급하므로 상황이 전혀 다르다.

알리오는 “클라우드에서의 TCO 분석은 하루 8시간 클라우드를 사용하는 것으로 전제할 가능성이 크다. 따라서 클라우드 시스템 관리 그룹이 사용하지 않는 서버를 끄는 것을 고려하지 않을 경우 비용이 최대 3배까지 늘어날 수 있다”라고 말했다.

4. 클라우드 서비스 업체가 모든 것을 처리할 것이라고 믿는 것
업계의 선두 클라우드 서비스 업체(CSP)는 규모에 상관없이 모든 고객에 포천(Fortune) 50 IT 직원에 해당하는 운영 역량을 제공한다. 그러나 일반적으로는 책임을 공유하며, 주로 서비스 인프라 구성 요소 등 제어할 수 있는 것에만 책임을 진다. 특히 보안 조치를 배치, 유지, 실행하는 여러 작업은 온전히 고객이 관리해야 한다.

작가이자 컨설턴트이고 현재 CSA(Cloud Security Alliance)의 TTCS(Top Threats to Cloud Security) 워킹그룹 공동 의장인 존 마이클 C. 브룩은 “사전에 시간을 갖고 배치할 클라우드 우수 사례를 확인하며 클라우드 디자인 패턴을 따르고 책임을 파악해야 한다. 클라우드 서비스 제공자가 모든 것을 처리할 것이라는 생각은 버려야 한다”라고 말했다.

5. “들어서 옮기는 것”이 유일한 클라우드 마이그레이션 방식이라고 믿는 것
클라우드가 아무리 비용 이점을 제공한다고 해도 그 전략이나 구조적 선택이 형편없으면 순식간에 날아가고 만다. 단순히 기존의 자체 시스템의 가상화된 이미지를 CSP 인프라로 이전하는 이른바 “들어서 옮기는(lift and shift)” 클라우드 이전은 관리하기 쉬운 반면 잠재적으로 비용 효율적이지 못하고 장기적으로 위험이 크다.

브룩은 "들어서 옮기는 방식은 필요에 따라 인프라를 확장, 축소하는 탄력적인 확장성을 제대고 지원하지 못한다. 이런 방식에서도 문제가 안 되는 시스템이 있을 수 있지만 기업 아키텍처 전체를 CSP로 옮기면 비용이 비싸고 비효율적이게 될 가능성이 크다. 따라서 미리 시간을 투자해 클라우드에 맞게 아키텍처를 다시 디자인하는 것이 좋다. 이렇게 해야 클라우드의 이점이 배가된다”라고 말했다.


6. 서비스 성능 모니터링 실패
현재 이용하는 클라우드 서비스가 애초 기대대로 운영되고 있는지 정기적으로 평가하지 않으면 순식간에 돈을 낭비하고 필수 비즈니스 활동을 저하시킬 수 있다. 글로벌 표준 컨설팅 업체 AES(Advisera Expert Solutions)의 정보 보안 분석가 랜드 리얼은 “기업은 기대했던 결과와 실제 결과 사이의 격차를 줄이기 위해 핵심 성능 지표를 정기적으로 검토하고 이에 따라 적절한 조치를 취해야 한다”라고 말했다.

7. 기존 IT 인력이 즉시 클라우드를 감당할 수 있다고 가정하는 것
사이버 보안 평가 서비스 업체 업가드(UpGuard)의 사이버 위험 조사 책임자 크리스 빅커리는 “기존이 ‘평범한’ 기업 자체 네트워크는 'CEO의 어린 조카’도 관리할 수 있다는 농담이 통할 정도였다. 반면 애저(Azure), 아마존웹서비스(AWS), 기타 클라우드 플랫폼은 이와 완전히 다르다. 클라우드 관리 전문가를 채용할 예산이 없다면 정보 또는 연산 사이클을 클라우드로 이전하기 전에 IT 인력을 교육하는데 상당한 시간을 투자해야 한다”라고 말했다.

클라우드에 무지가 자칫 보안 재앙으로 이어질 수 있다. 실제로 수백 개 기업이 자사의 데이터가 인터넷으로 공개되고 있다는 사실조차 몰랐고 이런 데이터에는 민감한 기업 정보가 포함돼 있었다. 빅커리는 “해커가 이를 악용하면 데이터를 외부로 유출하거나 혹은 내부 네트워킹을 완전히 장악할 수 있다. 따라서 기업은 적합한 사람을 고용하기 위한 추가 지출을 부담하거나 기술 부서가 적절한 업무 처리를 위해 필요한 충분한 지식과 서비스를 확보할 수 있도록 교육해 잠재적인 재난을 막아야 한다”라고 말했다.

8. 자동화된 스크립트를 맹신하는 것
클라우드 환경으로 이행하는 이점 중 하나는 컴퓨팅 자원을 할당, 회수하는 작업을 자동화할 수 있다는 것이다. IT 컨설팅 업체 캐슬링 그룹(Kastling Group)의 COO 데이비드 R. 리는 “유형에 상관없이 자동화는 많은 기업에 도움이 된다. 단, 적절히 작성하지 못하고 과도하게 복잡하며 잘 문서로 만들지 않으면 긴 다운타임(Downtime)으로 이어져 핵심 비즈니스 활동에 영향을 줄 수 있다. 통제된 환경에서 자동화된 스크립트를 테스트하고 교육하면 이런 위험을 줄일 수 있다”라고 말했다.

9. 보안은 더는 문제가 아니라고 생각하는 것
클라우드 서비스 전체는 놀라운 수준의 보안을 제공한다. 알리오는 “가능한 모든 유형의 전문업체와 협력하기 때문에 (CSP는) 개별 기업 차원에서 절대 직면하지 않을 보안 문제까지 생각하고 대비한다”라고 말했다. 문제는 고객의 형편 없는 시스템 관리와 신뢰할 수 없는 소프트웨어 개발 프로세스, 무계획적인 보안 정책까지 고쳐주지는 않는다는 점이다.

알리오는 “이는 고객이 직접 해결해야 한다. 최근 에퀴팩스(Equifax) 정보 유출 사건의 원인이 웹 서버의 소프트웨어 패치 실패였는데, 에퀴팩스가 애플리케이션을 관리형 클라우드 서비스로 이행했다면 유출을 자동으로 막았을 것이다. 클라우드 서비스를 적절히 이행하지 못하면 보안에 공백이 남을 수 있다”라고 말했다.

10. 비즈니스 연속성과 재난 복구 계획을 무시하는 것
클라우드에 넣는 모든 것이 100% 안전한 것은 아니다. 대형 클라우드 업체가 일반 기업보다 훨씬 높은 수준의 업타입(Uptime)을 제공하는 것은 사실이지만 그렇다고 시스템과 사람에 의한 장애가 아예 없는 것은 아니다. IT 컨설팅 업체 버추얼 오퍼레이션스(Virtual Operations)의 IT 비즈니스 서비스 부사장 팀 플랫은 “업무에 필수적인 프로세스를 클라우드에서 운영할 경우 다운타임을 관리할 준비를 해야 한다”라고 말했다.

클라우드에서도 업타임이 빠르게 줄어들 수 있다. 예를 들어, 아마존 S3(Simple Storage Service)는 2017년 2월 단순한 명령어 오타로 인해 대규모 장애를 일으켰다. 이 서비스 장애는 다른 아마존 서비스와 아마존을 기반으로 서비스를 하던 기업까지 영향을 줬다.

많은 클라우드 서비스가 자동 백업과 복구 옵션을 제공한다. 그러나 플랫은 “이를 당연한 것으로 여겨서는 안 된다”라고 지적했다. 악의적인 해커 또는 불만을 품은 시스템 관리자가 중요한 데이터를 삭제한다면 어떻게 될까? 데이터를 복구할 장치가 있는가? 플랫은 “온프레미스 시스템에 적용되는 모든 고려 사항이 클라우드 기반 시스템에도 적용돼야 한다. 적절한 백업, 복구 메커니즘에 대해서도 마찬가지다”라고 말했다. ciokr@idg.co.kr 



2017.11.16

‘큰 재앙을 부르는 작은 착오’··· 기업의 클라우드 실수 10가지

John Edwards | CIO
낙관적인 사람들은 “구름 위에서는 항상 해가 빛난다”는 말을 즐겨 쓴다. 하지만 그 구름 아래에 높은 바람과 억수 같은 비, 번개, 이따금 내리는 골프공만한 우박이 있다는 사실을 언급하지 않는다.

Credit: Getty Images Bank

클라우드 컴퓨팅도 마찬가지다. 긍정적으로 보면 신뢰성, 유연성, 관리성, 확장성 향상 등 다양한 이점을 제공한다. 그러나 그 이면에는 클라우드의 어두운 면이 자리잡고 있다. 오히려 하나의 오류, 실수, 계산 착오가 큰 재앙을 불러올 수도 있다. 이처럼 기업이 막대한 손실과 소송이라는 최악의 상황을 피하기 위해서는 다음과 같은 보편적인 실수 10가지를 조심해야 한다.

1. 관리와 전략 계획 없이 클라우드로 이행하는 것
클라우드에서는 인프라 자원을 매우 쉽게 조정할 수 있지만 부주의로 의한 정책, 보안, 비용 문제를 발견하지 못할 가능성도 그만큼 높다. 기술 컨설팅 업체 SPR 컨설팅(SPR Consulting)의 클라우드 인프라 사례 책임자 크리스 한센은 “촘촘한 관리와 계획이 이상적이지만 한 번에 해결할 필요는 없다. 자동화가 가능한 작은 부분부터 시작하라. 이를 통해 모니터링/관리, 보안, 금융 등 관리의 핵심 3영역을 관리하고 문제를 신속하게 찾고 해결할 수 있다”라고 말했다.

이는 기업 내 누가 보안과 데이터 백업, 비즈니스 연속성 등 클라우드 관련 작업을 담당하는지 완전히 파악하는 것이 중요하다는 것을 알려준다. 보안 자동화 플랫폼 업체 소스클리어(SourceClear)의 CSO 로버트 우드는 “무엇인가 잘못됐는데 이를 파악하지 못하면 기업은 매우 어려운 상황에 부닥칠 수 있다”라고 말했다.

2. 무엇이든 클라우드에 넣을 수 있다는 생각
지난 수년간 많이 좋아지긴 했지만 여전히 많은 애플리케이션이 클라우드에 적합하지 않다. 디지털 고객 참여 전문 업체 리퀴드허브(LiquidHub)의 파트너 조 그로버는 “아직 완성되지 않았거나 레거시 시스템과의 복잡한 통합이 필요한 애플리케이션을 클라우드로 이전하면 애플리케이션 성능, 사용자 경험 및 참여, 결과 등에 심각한 문제를 일으킬 수 있다. 시간을 갖고 (클라우드로의) 이행을 통해 얻고자 하는 것을 파악한 후 예상 결과를 검증해야 한다”라고 말했다.

3. 클라우드를 온프레미스 데이터센터처럼 취급하는 것
많은 기업이 클라우드 환경을 마치 온프레미스 데이터센터처럼 취급한다. 여기서 비롯된 실수 때문에 상당한 비용을 부담하기도 한다. 기술 통합 업체 워크스테이트(Workstate)의 클라우드 기술 서비스 그룹 사장 데니스 알리오는 “많은 기업이 마이그레이션 여부를 판단할 때 총소유비용(TCO)을 지나치게 중요하게 본다. 클라우드 서비스는 상당한 비용 절감 효과를 제공하지만 완전히 다른 자원 관리 프로세스가 필요하다. 이런 조건이 충족되지 않으면 돈을 절약하는 것이 아니라 오히려 낭비할 수도 있다”라고 말했다.

예를 들어, 데이터센터에서 클라우드로 단일 애플리케이션 서버를 이동하는 경우를 보자. 이때 TCO 분석은 하루 중 서버를 사용하는 시간이 좌우한다. 온프레미스 데이터센터에서는 서버를 항상 켜 두어도 시설의 유틸리티 비용이 크게 상승하지 않는다. 반면 클라우드에서는 일반적으로 시간 단위로 비용을 지급하므로 상황이 전혀 다르다.

알리오는 “클라우드에서의 TCO 분석은 하루 8시간 클라우드를 사용하는 것으로 전제할 가능성이 크다. 따라서 클라우드 시스템 관리 그룹이 사용하지 않는 서버를 끄는 것을 고려하지 않을 경우 비용이 최대 3배까지 늘어날 수 있다”라고 말했다.

4. 클라우드 서비스 업체가 모든 것을 처리할 것이라고 믿는 것
업계의 선두 클라우드 서비스 업체(CSP)는 규모에 상관없이 모든 고객에 포천(Fortune) 50 IT 직원에 해당하는 운영 역량을 제공한다. 그러나 일반적으로는 책임을 공유하며, 주로 서비스 인프라 구성 요소 등 제어할 수 있는 것에만 책임을 진다. 특히 보안 조치를 배치, 유지, 실행하는 여러 작업은 온전히 고객이 관리해야 한다.

작가이자 컨설턴트이고 현재 CSA(Cloud Security Alliance)의 TTCS(Top Threats to Cloud Security) 워킹그룹 공동 의장인 존 마이클 C. 브룩은 “사전에 시간을 갖고 배치할 클라우드 우수 사례를 확인하며 클라우드 디자인 패턴을 따르고 책임을 파악해야 한다. 클라우드 서비스 제공자가 모든 것을 처리할 것이라는 생각은 버려야 한다”라고 말했다.

5. “들어서 옮기는 것”이 유일한 클라우드 마이그레이션 방식이라고 믿는 것
클라우드가 아무리 비용 이점을 제공한다고 해도 그 전략이나 구조적 선택이 형편없으면 순식간에 날아가고 만다. 단순히 기존의 자체 시스템의 가상화된 이미지를 CSP 인프라로 이전하는 이른바 “들어서 옮기는(lift and shift)” 클라우드 이전은 관리하기 쉬운 반면 잠재적으로 비용 효율적이지 못하고 장기적으로 위험이 크다.

브룩은 "들어서 옮기는 방식은 필요에 따라 인프라를 확장, 축소하는 탄력적인 확장성을 제대고 지원하지 못한다. 이런 방식에서도 문제가 안 되는 시스템이 있을 수 있지만 기업 아키텍처 전체를 CSP로 옮기면 비용이 비싸고 비효율적이게 될 가능성이 크다. 따라서 미리 시간을 투자해 클라우드에 맞게 아키텍처를 다시 디자인하는 것이 좋다. 이렇게 해야 클라우드의 이점이 배가된다”라고 말했다.


6. 서비스 성능 모니터링 실패
현재 이용하는 클라우드 서비스가 애초 기대대로 운영되고 있는지 정기적으로 평가하지 않으면 순식간에 돈을 낭비하고 필수 비즈니스 활동을 저하시킬 수 있다. 글로벌 표준 컨설팅 업체 AES(Advisera Expert Solutions)의 정보 보안 분석가 랜드 리얼은 “기업은 기대했던 결과와 실제 결과 사이의 격차를 줄이기 위해 핵심 성능 지표를 정기적으로 검토하고 이에 따라 적절한 조치를 취해야 한다”라고 말했다.

7. 기존 IT 인력이 즉시 클라우드를 감당할 수 있다고 가정하는 것
사이버 보안 평가 서비스 업체 업가드(UpGuard)의 사이버 위험 조사 책임자 크리스 빅커리는 “기존이 ‘평범한’ 기업 자체 네트워크는 'CEO의 어린 조카’도 관리할 수 있다는 농담이 통할 정도였다. 반면 애저(Azure), 아마존웹서비스(AWS), 기타 클라우드 플랫폼은 이와 완전히 다르다. 클라우드 관리 전문가를 채용할 예산이 없다면 정보 또는 연산 사이클을 클라우드로 이전하기 전에 IT 인력을 교육하는데 상당한 시간을 투자해야 한다”라고 말했다.

클라우드에 무지가 자칫 보안 재앙으로 이어질 수 있다. 실제로 수백 개 기업이 자사의 데이터가 인터넷으로 공개되고 있다는 사실조차 몰랐고 이런 데이터에는 민감한 기업 정보가 포함돼 있었다. 빅커리는 “해커가 이를 악용하면 데이터를 외부로 유출하거나 혹은 내부 네트워킹을 완전히 장악할 수 있다. 따라서 기업은 적합한 사람을 고용하기 위한 추가 지출을 부담하거나 기술 부서가 적절한 업무 처리를 위해 필요한 충분한 지식과 서비스를 확보할 수 있도록 교육해 잠재적인 재난을 막아야 한다”라고 말했다.

8. 자동화된 스크립트를 맹신하는 것
클라우드 환경으로 이행하는 이점 중 하나는 컴퓨팅 자원을 할당, 회수하는 작업을 자동화할 수 있다는 것이다. IT 컨설팅 업체 캐슬링 그룹(Kastling Group)의 COO 데이비드 R. 리는 “유형에 상관없이 자동화는 많은 기업에 도움이 된다. 단, 적절히 작성하지 못하고 과도하게 복잡하며 잘 문서로 만들지 않으면 긴 다운타임(Downtime)으로 이어져 핵심 비즈니스 활동에 영향을 줄 수 있다. 통제된 환경에서 자동화된 스크립트를 테스트하고 교육하면 이런 위험을 줄일 수 있다”라고 말했다.

9. 보안은 더는 문제가 아니라고 생각하는 것
클라우드 서비스 전체는 놀라운 수준의 보안을 제공한다. 알리오는 “가능한 모든 유형의 전문업체와 협력하기 때문에 (CSP는) 개별 기업 차원에서 절대 직면하지 않을 보안 문제까지 생각하고 대비한다”라고 말했다. 문제는 고객의 형편 없는 시스템 관리와 신뢰할 수 없는 소프트웨어 개발 프로세스, 무계획적인 보안 정책까지 고쳐주지는 않는다는 점이다.

알리오는 “이는 고객이 직접 해결해야 한다. 최근 에퀴팩스(Equifax) 정보 유출 사건의 원인이 웹 서버의 소프트웨어 패치 실패였는데, 에퀴팩스가 애플리케이션을 관리형 클라우드 서비스로 이행했다면 유출을 자동으로 막았을 것이다. 클라우드 서비스를 적절히 이행하지 못하면 보안에 공백이 남을 수 있다”라고 말했다.

10. 비즈니스 연속성과 재난 복구 계획을 무시하는 것
클라우드에 넣는 모든 것이 100% 안전한 것은 아니다. 대형 클라우드 업체가 일반 기업보다 훨씬 높은 수준의 업타입(Uptime)을 제공하는 것은 사실이지만 그렇다고 시스템과 사람에 의한 장애가 아예 없는 것은 아니다. IT 컨설팅 업체 버추얼 오퍼레이션스(Virtual Operations)의 IT 비즈니스 서비스 부사장 팀 플랫은 “업무에 필수적인 프로세스를 클라우드에서 운영할 경우 다운타임을 관리할 준비를 해야 한다”라고 말했다.

클라우드에서도 업타임이 빠르게 줄어들 수 있다. 예를 들어, 아마존 S3(Simple Storage Service)는 2017년 2월 단순한 명령어 오타로 인해 대규모 장애를 일으켰다. 이 서비스 장애는 다른 아마존 서비스와 아마존을 기반으로 서비스를 하던 기업까지 영향을 줬다.

많은 클라우드 서비스가 자동 백업과 복구 옵션을 제공한다. 그러나 플랫은 “이를 당연한 것으로 여겨서는 안 된다”라고 지적했다. 악의적인 해커 또는 불만을 품은 시스템 관리자가 중요한 데이터를 삭제한다면 어떻게 될까? 데이터를 복구할 장치가 있는가? 플랫은 “온프레미스 시스템에 적용되는 모든 고려 사항이 클라우드 기반 시스템에도 적용돼야 한다. 적절한 백업, 복구 메커니즘에 대해서도 마찬가지다”라고 말했다. ciokr@idg.co.kr 

X