기고 | 클라우드 컴퓨팅에서의 리스크 관리

CIO

1경기 침체가 이어지고 있는 가운데 클라우드 컴퓨팅은 비용을 절감해주는 대안으로 인식되고 있다. 그리고 사실 그렇기도 하다. 그러나 비용 절감 대책이 효과적이려면 실용적이어야 한다.

 

구글과 마이크로소프트, IBM을 필두로 여러 클라우드 서비스 제공기업들은 CIO들에게 다양한, 그리고 중요한 비용 절감 대안을 제시하고 있다. 클라우드에 모든 걸 밀어 넣고 느긋하게 앉아있기만 하면 된다는 유혹은 아주 구미가 당긴다. 하지만 세상에 완벽한 것이란 없다. 클라우드 컴퓨팅에도 CIO와 CTO들이 구매 결정을 내리기 전 알아야 할 위험들이 상존하고 있다.

 

자산을 클라우드로 옮길 때 위험을 관리하는 방법에 대해 설명하기 전에 클라우드 컴퓨팅을 이해하도록 돕는 몇 가지 수치를 살펴보자. 클라우드 컴퓨팅은 이미 대중화됐을까?

 

ISACA's의 2010년 조사 결과는 클라우드 컴퓨팅과 관련해 몇 가지 재미있는 통계를 제시하고 있다. IT 담당자의 45%는 위험이 이익을 상쇄한다고 응답하고 있다. 기업에 아주 중요한 애플리케이션을 클라우드로 옮기겠다고 대답한 사람은 전체의 10%에 불과했다. ISACA의 통계는 클라우드 컴퓨팅이 어느 정도 대중화 됐지만, 주된 선택의 대상이 되는 서비스로는 자리잡지 못했다고 지적하고 있는 것이다.

 

즉 정보 자산의 전부 또는 일부를 일정 형태의 클라우드 컴퓨팅 기반으로 성공적으로 이전한 기업들이 있긴 하지만, 대다수는 아직까지 클라우드 컴퓨팅을 선택하는데 확신을 갖고 있지 않다. 그렇다면 기업들이 클라우드 컴퓨팅 전략을 이행에 옮기기에는 환경이 성숙하지 못한 것일까?

 

그렇지 않다!

 

아직까지도 클라우드 전략을 염두에 두고 있지 않는 CIO는 조만간 경쟁에서 뒤쳐지게 될 것이다. 대부분의 기업들은 클라우드로 안전하게 그리고 비용 효과적으로 옮길만한 영역들을 보유하고 있다. 물론 정보자산을 어느 정도 수준으로 클라우드로 옮길지, 이렇게 함으로써 이익을 창출해낼지는 정보 자산을 대상으로 위험 평가를 한 이후 결정해야 한다. 이를 위해서는 먼저 위험을 이해하고 각각에 따른 이전 전략을 수립해야 한다. 다음은 이 때 점검해야할 요소들이다.

 

데이터 접근: 기업의 정보를 클라우드로 옮기게 되면, 내부 데이터 센터에 데이터를 보관할 때 적용했던 물리적, 논리적, 인적 통제 수단은 무용지물이 된다. 클라우드 제공기업들은 저마다의 채용 정책과 인력 순환 정책, 접근 통제 절차를 보유하고 있다. 따라서 클라우드 제공자의 데이터 관리 및 채용 관행에 대해 질문을 던지고, 이를 이해해야 한다. IBM과 같은 대형 제공기업들은 전체 과정은 물론, 민감한 데이터를 클라우드로 옮기는 방법, 누가 접근하는지에 대한 정보를 현장을 상세히 설명하곤 한다.

 

규제 준수: 데이터를 제공기업의 클라우드에 위치시켜 놓았다고 해서 규제 준수와 관련된 책임에서 벗어날 수 있는 건 아니다. 데이터에 영향을 미칠 수 있는 여타의 보안 및 온전성 문제에 대해 스스로의 고객에게 설명하고 책임을 져야 한다는 사실에는 변함이 없다. 클라우드 제공기업은 정기적인 외부 감사, PEN 테스트, PCI 표준 순응, SAS 70 Type II 순응 등을 통해서만 클라이언트의 위험을 경감시킬 수 있다. 그러나 기업의 정보에 대한 위험을 저울질 해보는 책임은 각자에게 있다. 따라서 클라우드 제공기업들이 위험을 제대로 경감할 표준과 절차를 확보하고 있는지 확인해야 한다.

 

데이터의 지리적 분산: 데이터는 기업의 소재지와는 다른 주, 도시, 지역에 위치할 수도 있다. 정보 제공자는 계약에 따라 데이터 보안을 확보할 의무를 갖는다. 하지만 데이터가 위치한 지역이나 정부의 법을 준수하는 게 우선이다. 즉 기업의 권리가 밀릴 수 있다. 따라서 이에 대해 질문을 던지고 관련 위험을 평가해야 한다.

 

데이터 손실 및 복구: 클라우드의 데이터는 예외 없이 암호화된다. 이는 데이터의 보안을 확보하기 위한 방법이다. 하지만 대가가 따른다. 파손된 암호화 데이터를 복구하기란 비암호화 데이터를 복구하는 것보다 어렵다. 따라서 긴급 복구가 필요한 경우, 서비스 제공자가 어떤 방법으로 데이터를 복구하게 되는지, 기간은 얼마나 걸리는지를 파악해야 한다. 제공 기업은 긴급 복구 시나리오의 데이터 복구 상황에서 벤치마킹 사례를 입증할 수 있어야 한다.

 

제공기업이 인수합병 되는 경우: 계약을 맺은 클라우드 제공기업의 일부 부문이 누군가에게 인수합병 되는 건 일상적인 건 아니다. 하지만 제공기업은 이런 시나리오를 인정하고 해소할 수 있는 내용을 계약상으로 제공해야 한다. 고객으로서의 출구전략은? 데이터를 다른 곳으로 옮겼을 때 직면할 수 있는 기술적 문제들은? 간단히 말해 출구전략이 무엇인지 고려해야 한다.

 

데이터 유효성: 클라우드 제공기업들은 서비스를 제공하기 위해 네트워크와 장비, 애플리케이션, 스토리지 컴포넌트를 두루 이용한다. 이들 구성요소 중 하나만 잘못되어도, 정보에 접근을 할 수가 없다. 따라서 클라우드로 이전하기로 결정을 내리기 전에, 특정 종류의 정보가 없을 경우 발생할 수 있는 상황을 이해하는 게 중요하다. 예를 들어 온라인 소매업체라면, 클라우드에 고객 주문 기입 시스템을 이전해둔 상황에서 시스템이 고장 나는 상황은 받아들일 수 없다. 또 벤더가 보장하는 가동시간을 고려해, 정보를 쓰지 못할 수도 있는 수준을 따져봐야 한다.

 

클라우드 컴퓨팅은 상대적으로 새로운 형태의 서비스이다. 따라서 적극적으로 질문을 던져야 한다. 또 필요하다면 컨설팅 기업을 고용해 도입과정을 돕도록 해야 한다. 클라우드 제공자 선정과정에는 많은 실사가 필요하기도 하다. 현재로서는 성과를 달성할 수 있는 명확한 방법이란 없다. 단 위험만 잘 관리하면 그 보상은 아주 크다.

 

* Sri Prakash는 이콤 캐나다 Inc의 테크놀로지 리스크 관리 컨설턴트다. ciokr@idg.co.kr