어떤 조직이건 보안 전문가들이 클라우드 보안 문제로 고민하고 있고, 바로 그 점이 클라우드 서비스 이용을 주저하게 한다.
하지만 현실은 직원들이 이미 수백 개의 애플리케이션, 특히 SaaS를 사용하고 있다. 가트너 조사 담당 부사장인 제이 헤이저는 "어떤 기업 클라우드 정책이나 보안 프로젝트도 타당하기만 한 것은 않다. 클라우드 컴퓨팅은 회사 전체에 많은 복잡성을 일으킨다. 보안과 위기관리에 대한 관점의 모호함은 특히 다루기 어렵다"고 강조했다.
공식 정책으로 클라우드 컴퓨팅을 소개할 때 헤이저가 느끼는 주요 딜레마 중 하나는 클라우드 컴퓨팅이 실제로 무엇을 의미하는 바에 아무도 동의할 수 없다는 것이다.
헤이저에 따르면, CISO는 클라우드 컴퓨팅을 컴퓨팅 형태로 바라보지만 기업의 다른 임원들은 클라우드 컴퓨팅을 인터넷으로 접근하는 것들로 생각한다.
클라우드 보안의 3가지 영역
헤이저는 클라우드 컴퓨팅을 어떻게 정의하든지 간에 클라우드를 어떻게 사용할지에 관한 전략과 정책이 있느냐가 중요하다고 강조했다.
그 결과 현업 임원들은 기업이 클라우드 보안 우려의 3가지 영역에 초점을 맞출 수 있도록 협력해야 한다.
멀티-테넌시
기업이 다른 고객과 공간을 공유하는 멀티-테넌시는 서비스에서 한정된 유연성을 제공해 준다.
헤이저는 "물리적 제어에서 데이터와 함께 보안이 우려 된다"고 설명했다.
실제로 퍼블릭 클라우드를 사용할 계획이 없다는 기업 가운데 38%는 주된 이유로 보안과 개인정보 보호를 지목하기도 했다.
그러나 보안과 개인정보 보호는 기업이 현재 회사를 운영 방법에 큰 변화를 포기할 때 사용하는 핑계일 수도 있다.
헤이저는 "보안 사고와 멀티-테넌시 간에 상관관계가 없었다"고 말했다. 이어서 "때때로 하이브리드는 몇몇 기업에게 퍼블릭 클라우드 모델 사용을 탐색하는데 더 확신을 갖게 한 방법이 됐다”고 전했다.
가상화
하이저는 가상화가 클라우드 환경을 위해 다른 취약성 관리와 패치 처리를 필요로 한다고 말했다.
그는 "기업이 가상 머신을 관리하기 위해 다른 툴을 사용할 것"이라며 "게다가 복잡하고 역동적이며, 분산돼 있다는 클라우드의 특성은 안정성을 위한 어떤 물리적인 징후가 존재하지 않음을 의미한다”고 밝혔다.
SaaS
SaaS 애플리케이션은 보안과 제어 기능의 수준을 점점 더 올리고 있다. 하지만 이것들은 대부분 최종 사용자의 통제 아래 있으며 최소한의 투명성을 제공하고 커스터마이징하지 않는다.
"많은 기업들이 최소 200개에서 최대 1,000개의 SaaS 애플리케이션을 사용하고 있어 복잡성이 높아지고 있다”고 헤이저는 덧붙였다. ciokr@idg.co.kr
2016.07.11
James Henderson | ARN
추천기사