기고 | '클라우드 위험 완화는 이렇게' 7가지 전략

CIO

클라우드 서비스는 우리 생활의 일부로, 매년 더 많은 엔터프라이즈 기능을 담당한다. 한때는 클라우드 서비스가 단순한 스토리지나 대응 관리로 제한됐다면 이제는 ERP와 같은 핵심 기능으로 향하고 있다. 또한 클라우드가 점점 더 광범위한 필수 서비스를 제공하는 만큼 IT리더는 오늘날의 클라우드 환경에 내재된 리스크를 염두에 두고 이를 완화하기 위한 예방 조처를 해야 한다.



클라우드 컴퓨팅의 위험을 평가하고 완화하기 위해 조직에서 해야 할 일을 정리했다.

클라우드에서 리스크 성향 평가
은행 업계에서는 조직의 의사 결정을 유도하는 리스크 성향을 설정하는 것이 일반적이다. 예를 들어, 보수적인 리스크 성향이라면 불확실한 대출은 늘리면서도 수익은 감소하는 쪽으로 견인할 수 있다. 리스크 성향이 좀 더 ‘최첨단’이라면 호황기에 더 높은 수익을 제공할 것이다. 단점은 해당 은행이 다음 위기를 맞을 때 엄청난 타격을 받는다는 것이다.

IT관리의 관점에서 볼 때 리스크 성향은 기업 실사, 지속적인 모니터링, 위험 감소에 대한 투자 의사에 대해 알려줄 것이다. 예를 들어 제한된 리소스를 최대한 활용하기 위해 위험 완화에 대한 계층화된 접근 방식을 설정할 수 있다. ‘티어 1(Tier 1)’ 클라우드 서비스의 실패 위험성은 직원 배치(예: 전담 관리자가 있는 경우), 정기적인 테스트 및 최상위 업체 지원 비용 투자를 통해 줄어들 수 있다.

클라우드 이용 문화 재검토
클라우드 제공 업체는 사용 용이성과 유연성을 강조한다. 회사에서 클라우드의 편의성을 경험하면 자체적으로 구축한 기존 인프라를 유지하려는 욕구가 거의 없어진다. 그러나 클라우드 서비스에 대해 무심한 태도를 지니면 직원들이 어리석은 위험을 감수하게 될 수도 있다.

에이브포인트(AvePoint)의 제품 전략 담당 부사장인 존 호지스는 "클라우드 서비스는 종종 데이터의 '임시 사용'을 장려한다. 다시 말해 나는 어디에서나 원하는 것을 수집, 검색, 저장할 수 있다"라고 말했다. 호지스는 "콘텐츠 저장과 공유 방법에서 실제적인 공동 사용의 위험성이 있는 박스, 드롭박스 또는 원드라이브 같은 시스템에서 종종 이런 상황을 본다. 간단한 해결책은 무엇일까? 공동 사용 방식이 문제로 작용하는 서비스는 금지하는 것이다”고 이야기했다.

고위험 클라우드 서비스를 차단하면 도움이 되지만 문제를 완전히 해소하지는 못한다. 호지스는 “슬랙(Slack) 채널이나 마이크로소프트 팀즈(Microsoft Teams) 등의 다른 시스템과 같이 기업이 제공하는 계정을 사용하면 사용자는 항상 데이터 공유에 가장 편리한 경로를 선택하게 된다. 이러한 행동은 데이터 보존에 대한 기록 보존 정책이나 제한 사항과 일치하지 않을 수 있다"고 설명했다. 회사가 소송이나 그와 유사한 조사를 받는 경우 기록 보존 정책이 일관되게 적용되지 않으면 골치 아픈 일이 생길 수 있다.

위험을 줄이기 위한 제로 트러스트 모델 활용
제로 트러스트(Zero trust)는 시스템에 연결하기 전에 주변 안팎의 모든 사용자, 시스템 또는 장비를 확인하고 유효성을 검사하도록 요구하는 IT 보안 전략이다. 클라우드 위험성을 완화하려고 할 때 제로 트러스트 모델을 어떻게 활용할 수 있을까? 자산과 상해보험 서비스 및 소프트웨어를 전문으로 하는 기업인 인슈리티(Insurity)의 경우, 제로 트러스트 방식은 접근을 엄격히 제한하는 것을 의미한다.

인슈리티의 CIO 조너선 빅터는 "우리는 업무 기능 요구 사항에 따라 최소한의 권리와 권한을 가진 최소 사용자 그룹만 논리적인 접근을 제공한다. 이 통제는 기업 보안팀의 내부 감사와 연례 SOC 감사의 일환인 외부 감사를 통해 실시한다"고 설명했다.

정기적으로 사용자 접근 수준을 검사하고 자신이 합리적인지 아닌지를 확인하라. 관리 접근 권한을 갖고 있는 사용자가 수십 명이나 필요한가? 각각의 고급 사용자는 리스크를 더할 뿐이다.

뉴스에 나오는 IT실패에서의 학습
클라우드 관련 실패에 대한 업계 뉴스를 연구할 시간을 가지면 클라우드 위험을 완화하는 데 도움이 된다. 요즘 기업들의 클라우드 사용 방식이 복잡하고 진화하는 특성은 범죄 행위가 분명한 사고가 실수를 일으킨 데서 배울 점이 있다는 것을 의미한다.

제트스트림 소프트웨어(JetStream Software)의 공동 창립자 겸 사장인 리치 피터슨은 “우리는 데이터 손실에 중점을 두고 있으므로, 2017년 8월 사내 설치 시스템이 당초 고안된 것처럼 클라우드 서비스로 데이터를 백업하지 못했던 메라키(Meraki) 데이터 손실 사례에서 중요한 교훈을 얻었다”고 말했다.

시스코는 클라우드 구성 오류로 인해 데이터가 손실되고 생산성이 저하됐다고 인정했다. IT전문매체 레지스터(Register)는 "시스코에게는 이 사고가 엄청난 혼란이 아닐 수 없다. 메라키는 지원 클라우드 서비스를 두고 네트워크 및 음성 시스템을 실행하는 데 필요한 많은 불필요한 작업을 제거한다는 점을 근거로 판매한 것이기 때문이다. 메라키 팀이 그러한 실수를 저지른 것은, 그리고 만일의 사태에 대비하기 위한 데이터 보호 도구가 겉으로 봐도 부족하다는 점은 그 명성에 있어 매우 큰 감점 요인이다”라 보도했다.


수동 및 자동 클라우드 관리 전략 재고
자동화, 가상 비서, 데이터 처리를 통해 기업은 더 많은 제품을 판매할 수 있을 뿐만 아니라 클라우드 서비스도 관리할 수 있다. 바라쿠다 네트웍스(Barracuda Networks)의 경우 클라우드 프로세스를 자동화하기 시작한 이후 수동 보안 작업의 규모가 크게 줄어들었다.

바라쿠다 네트웍스의 데이터 보호 플랫폼 전략 담당 이사인 그레그 아르넷은 다음과 같이 말했다. "시스템 완전성, 데이터 보호 및 규정 준수 제어 요구사항을 보장하기 위해서는 점점 더 늘어나고 지속적인 위협에 대해 연중무휴 경계가 필요하기 때문에 수동 보안 검사 작업을 버리고 자동화 스캔으로 이동했다.”

그러나 자동화를 위한 드라이브에는 클라우드 위험을 완화하는 데 상당한 한계가 있다. 결국 클라우드 제공 업체의 위험 평가를 자동화할 수는 없다. 다만 자동화된 도구를 사용해 문제를 탐지하고 클라우드의 구성을 표준화하면 클라우드 공급 업체와의 관계를 교육하고 관리하는 것과 같은 복잡한 문제에 더 많은 인력을 집중할 수 있다.

가장 민감한 공급 업체에 대한 감사 권한 요청
클라우드 공급 업체를 감사할 수 있는 권한이 있는지가 중요한 주제다. 계약서와 합의 규정이 없는 경우 사고가 발생하면 꼼짝 못 할 수도 있다. 반면 대형 클라우드 제공 업체는 이러한 요구 사항을 추진하고 있다.

어퍼에지(UpperEdge)의 프로젝트 실행 자문 실무 리더인 테드 로저스는 “감사 작업에 있어 많은 클라우드 업체들이 기업에 압력을 가하면서도 감사 권한을 통해 데이터센터 및 프로세스, 절차 및 보안 조치에 대해 감사를 허용하지는 않는다”며 "왜냐하면 그들은 제3자에게 공개하고 감사받는 것을 주저하기 때문이다. 공급 업체는 그저 규정을 준수한다고 말하면서, 그렇지 않을 경우 계약 위반으로 인해 다른 이유로 문제가 발생할 수 있기 때문에 걱정할 필요가 없다고 말할 뿐이다”고 이야기했다.

한 가지 해결책은 클라우드 공급 업체가 개발한 감사 방법을 비판적으로 평가하는 것이다. 로저스는 "클라우드 공급 업체의 감사용 문서에 대한 접근 권한을 얻어라. 특히 데이터 프라이버시 문제로 인해 곤욕을 치르고 있는 페이스북 사례를 고려해 업데이트했는지 확인하라. 이들 클라우드 제공 업체 중 일부는 단지 데이터 프로세서라고 말했다. 그들은 데이터를 건드리지도 않고 버리지도 않는다고 주장한다”고 대안을 제시했다. 그런 다음 ‘공급자가 그 말을 지키는지 어떻게 알 수 있냐’고 질문을 하면 된다고 덧붙였다.

클라우드 제공 업체가 회사에 감사 권한을 부여하지 않는 경우에도 이러한 리스크를 완화할 방법이 있다. 더욱 강력한 보고를 요청하고 주요 위험 지표를 강조할 수 있다. 내부 감사 부서에다 계약 검토 중에 제공해 달라고 요청할 수도 있다.

위험 완화 전략으로써 회피하는 방식 피하기
마지막으로 해킹과 보안만이 고려해야 할 위험 요소는 아니다. 뒤에 남은 리스크도 있다.

KPMG의 사이버 보안 서비스 분야 책임자인 토니 버포만테는 "덜 성숙한 고객들에게 나타나는 중대한 비즈니스 위험은 공격적인 클라우드 변환과 서비스를 추구하지 않는다는 점이다. 클라우드는 단순한 신기술이 아니다. 많은 산업 분야에서 비즈니스 및 운영 패러다임을 바꿔놓았다. 비즈니스가 훨씬 더 민첩하고 경쟁력 있게 변모하는 데 대한 이야기다”고 전했다.

데이터센터를 구축하고 모든 소프트웨어 및 인프라를 자체 개발할 예산이 있거나 관심이 있는 회사는 거의 없다. 실제로 IT능력이 부족한 회사는 대형 클라우드 제공 업체의 위험 관리 기능의 이점을 누릴 수 있다.

ACL의 CTO인 키스 서니는 "우리 경험에 따르면 아마존, 마이크로소프트, 구글과 같은 대규모 클라우드 공급 업체가 안전한 IT환경을 제공할 수 있는 능력은 온프레미스나 맞춤형 데이터센터 구성에 대한 부담을 크게 줄여준다. 우리는 클라우드를 떠나면 비즈니스에 심각한 위험을 초래할 것이라고 강력히 믿는다"고 말했다.

이어서 서니는 "잘 설계된 클라우드 환경이 다른 어떠한 방법으로도 달성할 수 없었던 수준의 보안, 개인 정보 보호 및 가용성 요구 사항을 해결한다는 것을 직접 경험했다. 본사를 새로운 위치로 이전한 2016년에도 비즈니스가 중단되는 시기가 발생하지 않는다는 주요 이점도 알게 됐다. 우리 직원들은 클라우드 서비스를 사용하여 원격으로 작업할 수 있었으며 원활한 작업 전환이 가능했다"고 덧붙였다. 

* Bruce Harpham은 ‘ProjectManagementHacks.com’을 운영하며 기술 및 프로젝트 관리에 대한 글을 저술하고 있다. ciokr@idg.co.kr