2016.09.21

클라우드로 가기 전 따져봐야 할 5가지

Kacy Zurkus | CSO
업계 전문가들이 클라우드 보안, 규제 준수, 기존 시스템 관리 등 클라우드로 이전하기 전 확인해야 할 사항을 공유했다.



지금은 2016년이다. 몇 년 전 가트너는 "2016년이면 은행들이 자기 자본 수익률이 떨어져 비용절감 방편으로 클라우드를 도입하며, 전세계 은행의 60% 이상이 대부분의 거래를 클라우드에서 처리하게 될 것이다"고 밝힌 바 있다.

전 산업의 기업들은 이미 클라우드로 갔거나 가는 중이거나 클라우드를 고려하고 있다.

클라우드로 갈 준비 중인 사람들은 원활한 이전을 위해 고민하고 계획할 사항들이 많다. 어떤 클라우드 업체를 선택할지, 프라이빗으로 갈지 아니면 퍼블릭 클라우드로 갈지를 결정하는 것 외에 CISO는 접근, 암호화, 합법성, 규제 준수 문제를 제어할 수 있는 솔루션 구축을 고민해야 한다.

솔라플레어(Solarflare)의 CEO 러셀 스턴은 많은 금융 기관들이 너무 많은 컴퓨터를 구매하기 때문에 아마존이나 마이크로소프트를 선택하더라도 비용을 절감할 수 없어 프라이빗 클라우드를 구축하고 있다고 지적했다.

하지만 비용보다 더 큰 문제는 고객 데이터를 퍼블릭 클라우드에 보관하는 것이다. 스턴은 "보안 문제가 해결되지 않았다"며 "많은 기업들이 하이브리드 클라우드에 관해 이야기하고 있으며 덜 민감한 데이터를 퍼블릭 클라우드 인프라에 둘 수 있다"고 말했다.

퍼블릭 또는 프라이빗 클라우드에 상관 없이 클라우드 이전 결정은 반드시 보안을 중심으로 이뤄져야 한다. "퍼블릭 클라우드가 이런 기관이 필요로 하는 종류의 보안을 충분히 제공하지 않기 때문에 일부 민족 국가들로부터 강력한 공격을 받고 있다. 퍼블릭 클라우드의 경우 그 위치를 확신할 수 없다"고 스턴은 전했다.

많은 사람이 퍼블릭 클라우드 환경에 불확실성이 너무 많다는 사실에 동의하며, 규제 준수 문제에 관해 걱정해야 하는 기업들은 더 그렇다. 스턴에 따르면, 금융 기관의 가장 큰 문제점은 굳이 외부 조직이 아니더라도 제 3자가 애플리케이션을 구동하는 환경과는 별도의 장소에서 거래를 포착하기 때문에 포렌식 조사로 역추적할 수 있다는 점이다.

클라우드를 가동하기 전에 고려해야 하는 또 다른 문제는 기존의 IT 시스템 인프라보다 클라우드가 더 나은 대안이냐는 것이다. 그렇다면 조직이 기존의 시스템과 클라우드를 통합하는 방법에 대한 질문이 뒤따르게 된다.

스턴은 대부분 구형 시스템의 경우 클라우드가 더 나쁜 대안이라고 지적했다. 그는 "현대 애플리케이션의 경우 클라우드로 이행하기가 더 쉽다. 하지만 20년 전에 만들어진 구형 애플리케이션이 5~10,000개나 되는 기업들도 있다"고 설명했다.


클라우드를 고려하고 있는가?
기업들은 클라우드로 이전하기 전에 클라우드 서비스 업체나 호스팅 업체가 다음의 5가지 질문을 던져봐야 한다.

1. 모든 애플리케이션이 클라우드로 구동하는가? 그렇다면 클라우드에서도 운영하려면 라이선스가 추가로 필요한가?

2. 클라우드로 이전할 때 보안상 이점은 무엇인가?

3. 데이터가 물리적으로 저장되는 곳은 어디인가?

4. 전사적인 암호화 전략이 필요한가?

5. 우리만의 인스턴스(Instance)로 운영되나? 아니면 다른 사람이 우리의 데이터에 접근할 수 있나?

프라이빗 또는 퍼블릭 클라우드 모두 애플리케이션은 특정 방식으로 작동된다. 안타깝게도 구형 애플리케이션을 모두 클라우드로 이동할 수 있는 것은 아니다. 스턴에 따르면, 장기간의 변화가 필요한 또다른 방법은 재작성할 가치가 있는 구형 애플리케이션을 검사할 때까지 프라이빗 또는 퍼블릭 클라우드에서 가능한 것들을 운용할 수 있는다.

트러스티드섹(TrustedSec,)의 GRC 실행 총괄인 알렉스 해머스톤은 클라우드로 가기에 앞서 확인할 것들에 대해 다음과 같이 말했다. "클라우드가 무엇인지 정의부터 정립하라 이는 분명 다른 누군가의 컴퓨터다. 자신의 컴퓨터가 아니다. 클라우드로 이전하려는 이유를 알아야 한다. 어떤 이점은 있나? 비용인가? 아니면 유지보수가 더 쉬운가?"

클라우드로 이전하는 이유로 자주 비용을 언급하지만 대기업의 경우 모든 사용자를 보호하는 실제 비용이 증가할 수 있다.

벡트라 네트웍스(Vectra Networks)의 CSO 건터 올만은 "3~5년의 감가상각 수명으로 하드웨어와 기기를 구매하는 대신에 그들은 서비스를 구매한다. 그들은 이제 일반적으로 보호하는 서버 또는 사용자 수를 기준으로 비용을 지불한다. 카펙스(Capex)와 오펙스(Opex)에서 보안 지출이 크게 달라질 수 있다"고 설명했다.

예를 들어, 지금 당장 조직을 보호하고 싶다면 1만 5,000달러짜리 방화벽을 구매하여 설치하면 된다. 올만은 "이러한 환경에 있는 사용자 수가 몇 명이든 신경 쓰지 않는다. 하지만 클라우드로 이전하면 방화벽 비용은 클라우드 사용자 수에 따라 달라진다"고 전했다.

계약은 매우 중요하며 서비스 수준 합의를 이해하고 제공자가 SLA를 충족하지 못하는 경우에 대한 재정적 고려사항을 인지해야 한다. 해머스톤은 "누가 책임지느냐가 중요한 게 아니라 징수할 수 있는 대상이 누구인지가 중요하다"고 강조했다.

데이터가 어디에 저장되나?
또 기업은 자사 데이터의 정확한 물리적인 위치에 관해서도 물어야 한다. 해머스톤은 "규제 요건에 영향을 끼칠 수 있다. 제공자가 답을 모른다면 분명 주의해야 한다. 특정 시설이나 지역에 보관하고 있다는 확신이 있어야 한다"고 밝혔다.

법률과 규제가 복잡하기 때문에 클라우드 서비스를 제공하기 위해 전 세계의 여러 지역에 데이터센터를 건립한 업체들일수록 고객에게 이러한 확신을 줄 수 있어야 한다. "EU 국가들은 데이터가 EU 밖으로 반출되는 것을 원치 않기 때문에 EU에 데이터센터를 구축하고 싶어 한다"고 해머스톤은 이야기했다.

해머스톤에 따르면, 입지를 굳힌 클라우드 업체는 이미 수년 전 보안 실무자들이 걱정했던 보안 문제를 해결했다. 해머스톤은 "그 업체들은 어떤 유형의 보안 통제를 마련했는지 설명할 수 있을 것이다. 자신이 다른 3개의 기업과 같은 클라우드에서 관리되지 않도록 자체 인스턴스로 관리되고 있는지 질문하라. 이를 통해 나도 다른 사람의 데이터에 접근할 수 없고 다른 사람도 자신의 데이터에 접근할 수 없다"고 설명했다.

해머스톤은 보안 통제 측면에서 클라우드를 서버와 똑같이 취급해야 한다고 강조했다. "서버에서 암호화해야 한다면 클라우드에서도 암호화해야 한다"는 게 그의 주장이다.

하지만 라이선스 합의에 주의해야 한다. 해머스톤은 "종종 클라우드 업체가 위치 선정을 잘못해 벌금을 내게 돼 소프트웨어 업체들이 더 많은 돈을 버는 경우가 있다. 애플리케이션을 이전하는 경우 라이선스도 함께 옮겨야 한다"고 설명했다.

프로젝트 이행 조직도 같은 수준의 보안 기술을 자체 인프라 안에 도입해야 하며, IDS나 데이터 유출에 대비하여 거기에 가상 버전을 배치해야 한다.

올만은 "같은 기술과 자체 트래픽에 대한 동일한 가시성을 확보하고 있는지 확인해야 한다. 클라우드 보안을 위해 대체할 업체를 찾아 봐야 하는 기업도 있을 것이다. 많은 전통적인 업체들이 일부 가상 기기가 있지만 일반적으로 여러 신규 보안 업체들은 클라우드에 집중했으며 훨씬 성숙한 클라우드 기반 보안 제품을 보유하고 있다"고 말했다.

많은 기업들이 가상 세계에서 주도권을 잃을까 걱정하기 때문에 클라우드로의 이행을 계획하는 것이다. 하지만 현실적으로 클라우드는 어떤 물리적인 장소에 존재한다. 올만은 물리적인 보안에 대해 더는 우려할 필요가 없다는 생각이 클라우드에서 발생하고 있는 맹점이라고 지적했다.

그는 "여전히 물리적인 인프라에 존재하며 물리적인 인프라는 보안이 필요하다. 클라우드 업체의 물리적인 보안을 모니터링해 물리적인 인프라 내의 취약성을 감지하기가 어렵다"고 밝혔다.

기업들은 잘 알려지지 않은 맹점의 위험을 방지하기 위해 자사 데이터가 저장되는 가상 및 물리적 장소의 보안 확보에 관해 질문해야 한다. ciokr@idg.co.kr




2016.09.21

클라우드로 가기 전 따져봐야 할 5가지

Kacy Zurkus | CSO
업계 전문가들이 클라우드 보안, 규제 준수, 기존 시스템 관리 등 클라우드로 이전하기 전 확인해야 할 사항을 공유했다.



지금은 2016년이다. 몇 년 전 가트너는 "2016년이면 은행들이 자기 자본 수익률이 떨어져 비용절감 방편으로 클라우드를 도입하며, 전세계 은행의 60% 이상이 대부분의 거래를 클라우드에서 처리하게 될 것이다"고 밝힌 바 있다.

전 산업의 기업들은 이미 클라우드로 갔거나 가는 중이거나 클라우드를 고려하고 있다.

클라우드로 갈 준비 중인 사람들은 원활한 이전을 위해 고민하고 계획할 사항들이 많다. 어떤 클라우드 업체를 선택할지, 프라이빗으로 갈지 아니면 퍼블릭 클라우드로 갈지를 결정하는 것 외에 CISO는 접근, 암호화, 합법성, 규제 준수 문제를 제어할 수 있는 솔루션 구축을 고민해야 한다.

솔라플레어(Solarflare)의 CEO 러셀 스턴은 많은 금융 기관들이 너무 많은 컴퓨터를 구매하기 때문에 아마존이나 마이크로소프트를 선택하더라도 비용을 절감할 수 없어 프라이빗 클라우드를 구축하고 있다고 지적했다.

하지만 비용보다 더 큰 문제는 고객 데이터를 퍼블릭 클라우드에 보관하는 것이다. 스턴은 "보안 문제가 해결되지 않았다"며 "많은 기업들이 하이브리드 클라우드에 관해 이야기하고 있으며 덜 민감한 데이터를 퍼블릭 클라우드 인프라에 둘 수 있다"고 말했다.

퍼블릭 또는 프라이빗 클라우드에 상관 없이 클라우드 이전 결정은 반드시 보안을 중심으로 이뤄져야 한다. "퍼블릭 클라우드가 이런 기관이 필요로 하는 종류의 보안을 충분히 제공하지 않기 때문에 일부 민족 국가들로부터 강력한 공격을 받고 있다. 퍼블릭 클라우드의 경우 그 위치를 확신할 수 없다"고 스턴은 전했다.

많은 사람이 퍼블릭 클라우드 환경에 불확실성이 너무 많다는 사실에 동의하며, 규제 준수 문제에 관해 걱정해야 하는 기업들은 더 그렇다. 스턴에 따르면, 금융 기관의 가장 큰 문제점은 굳이 외부 조직이 아니더라도 제 3자가 애플리케이션을 구동하는 환경과는 별도의 장소에서 거래를 포착하기 때문에 포렌식 조사로 역추적할 수 있다는 점이다.

클라우드를 가동하기 전에 고려해야 하는 또 다른 문제는 기존의 IT 시스템 인프라보다 클라우드가 더 나은 대안이냐는 것이다. 그렇다면 조직이 기존의 시스템과 클라우드를 통합하는 방법에 대한 질문이 뒤따르게 된다.

스턴은 대부분 구형 시스템의 경우 클라우드가 더 나쁜 대안이라고 지적했다. 그는 "현대 애플리케이션의 경우 클라우드로 이행하기가 더 쉽다. 하지만 20년 전에 만들어진 구형 애플리케이션이 5~10,000개나 되는 기업들도 있다"고 설명했다.


클라우드를 고려하고 있는가?
기업들은 클라우드로 이전하기 전에 클라우드 서비스 업체나 호스팅 업체가 다음의 5가지 질문을 던져봐야 한다.

1. 모든 애플리케이션이 클라우드로 구동하는가? 그렇다면 클라우드에서도 운영하려면 라이선스가 추가로 필요한가?

2. 클라우드로 이전할 때 보안상 이점은 무엇인가?

3. 데이터가 물리적으로 저장되는 곳은 어디인가?

4. 전사적인 암호화 전략이 필요한가?

5. 우리만의 인스턴스(Instance)로 운영되나? 아니면 다른 사람이 우리의 데이터에 접근할 수 있나?

프라이빗 또는 퍼블릭 클라우드 모두 애플리케이션은 특정 방식으로 작동된다. 안타깝게도 구형 애플리케이션을 모두 클라우드로 이동할 수 있는 것은 아니다. 스턴에 따르면, 장기간의 변화가 필요한 또다른 방법은 재작성할 가치가 있는 구형 애플리케이션을 검사할 때까지 프라이빗 또는 퍼블릭 클라우드에서 가능한 것들을 운용할 수 있는다.

트러스티드섹(TrustedSec,)의 GRC 실행 총괄인 알렉스 해머스톤은 클라우드로 가기에 앞서 확인할 것들에 대해 다음과 같이 말했다. "클라우드가 무엇인지 정의부터 정립하라 이는 분명 다른 누군가의 컴퓨터다. 자신의 컴퓨터가 아니다. 클라우드로 이전하려는 이유를 알아야 한다. 어떤 이점은 있나? 비용인가? 아니면 유지보수가 더 쉬운가?"

클라우드로 이전하는 이유로 자주 비용을 언급하지만 대기업의 경우 모든 사용자를 보호하는 실제 비용이 증가할 수 있다.

벡트라 네트웍스(Vectra Networks)의 CSO 건터 올만은 "3~5년의 감가상각 수명으로 하드웨어와 기기를 구매하는 대신에 그들은 서비스를 구매한다. 그들은 이제 일반적으로 보호하는 서버 또는 사용자 수를 기준으로 비용을 지불한다. 카펙스(Capex)와 오펙스(Opex)에서 보안 지출이 크게 달라질 수 있다"고 설명했다.

예를 들어, 지금 당장 조직을 보호하고 싶다면 1만 5,000달러짜리 방화벽을 구매하여 설치하면 된다. 올만은 "이러한 환경에 있는 사용자 수가 몇 명이든 신경 쓰지 않는다. 하지만 클라우드로 이전하면 방화벽 비용은 클라우드 사용자 수에 따라 달라진다"고 전했다.

계약은 매우 중요하며 서비스 수준 합의를 이해하고 제공자가 SLA를 충족하지 못하는 경우에 대한 재정적 고려사항을 인지해야 한다. 해머스톤은 "누가 책임지느냐가 중요한 게 아니라 징수할 수 있는 대상이 누구인지가 중요하다"고 강조했다.

데이터가 어디에 저장되나?
또 기업은 자사 데이터의 정확한 물리적인 위치에 관해서도 물어야 한다. 해머스톤은 "규제 요건에 영향을 끼칠 수 있다. 제공자가 답을 모른다면 분명 주의해야 한다. 특정 시설이나 지역에 보관하고 있다는 확신이 있어야 한다"고 밝혔다.

법률과 규제가 복잡하기 때문에 클라우드 서비스를 제공하기 위해 전 세계의 여러 지역에 데이터센터를 건립한 업체들일수록 고객에게 이러한 확신을 줄 수 있어야 한다. "EU 국가들은 데이터가 EU 밖으로 반출되는 것을 원치 않기 때문에 EU에 데이터센터를 구축하고 싶어 한다"고 해머스톤은 이야기했다.

해머스톤에 따르면, 입지를 굳힌 클라우드 업체는 이미 수년 전 보안 실무자들이 걱정했던 보안 문제를 해결했다. 해머스톤은 "그 업체들은 어떤 유형의 보안 통제를 마련했는지 설명할 수 있을 것이다. 자신이 다른 3개의 기업과 같은 클라우드에서 관리되지 않도록 자체 인스턴스로 관리되고 있는지 질문하라. 이를 통해 나도 다른 사람의 데이터에 접근할 수 없고 다른 사람도 자신의 데이터에 접근할 수 없다"고 설명했다.

해머스톤은 보안 통제 측면에서 클라우드를 서버와 똑같이 취급해야 한다고 강조했다. "서버에서 암호화해야 한다면 클라우드에서도 암호화해야 한다"는 게 그의 주장이다.

하지만 라이선스 합의에 주의해야 한다. 해머스톤은 "종종 클라우드 업체가 위치 선정을 잘못해 벌금을 내게 돼 소프트웨어 업체들이 더 많은 돈을 버는 경우가 있다. 애플리케이션을 이전하는 경우 라이선스도 함께 옮겨야 한다"고 설명했다.

프로젝트 이행 조직도 같은 수준의 보안 기술을 자체 인프라 안에 도입해야 하며, IDS나 데이터 유출에 대비하여 거기에 가상 버전을 배치해야 한다.

올만은 "같은 기술과 자체 트래픽에 대한 동일한 가시성을 확보하고 있는지 확인해야 한다. 클라우드 보안을 위해 대체할 업체를 찾아 봐야 하는 기업도 있을 것이다. 많은 전통적인 업체들이 일부 가상 기기가 있지만 일반적으로 여러 신규 보안 업체들은 클라우드에 집중했으며 훨씬 성숙한 클라우드 기반 보안 제품을 보유하고 있다"고 말했다.

많은 기업들이 가상 세계에서 주도권을 잃을까 걱정하기 때문에 클라우드로의 이행을 계획하는 것이다. 하지만 현실적으로 클라우드는 어떤 물리적인 장소에 존재한다. 올만은 물리적인 보안에 대해 더는 우려할 필요가 없다는 생각이 클라우드에서 발생하고 있는 맹점이라고 지적했다.

그는 "여전히 물리적인 인프라에 존재하며 물리적인 인프라는 보안이 필요하다. 클라우드 업체의 물리적인 보안을 모니터링해 물리적인 인프라 내의 취약성을 감지하기가 어렵다"고 밝혔다.

기업들은 잘 알려지지 않은 맹점의 위험을 방지하기 위해 자사 데이터가 저장되는 가상 및 물리적 장소의 보안 확보에 관해 질문해야 한다. ciokr@idg.co.kr


X