클라우드 보안 평가, 어떻게 할 것인가

캘리포니아 주 에머리빌에 있는 소셜 고객 경험 솔루션(social customer experience solution) 업체 리튬 테크놀로지스(Lithium Technologies)는 SaaS 업체 보안 평가에 다층적 접근법을 적용하고 있다. 이들 기업은 협업에 박스(Box)를, 신원 관리에 옥타(Okta)를, 그리고 고객 관계 관리에 세일즈포스닷컴(Salesforce.com)을 이용하는 등 비즈니스 활동의 많은 부분을 클라우드 환경에서 처리하고 있다.

이 회사의 최고 고객 책임자(chief customer officer) 미샤 로그비노브는 자신들은 자체적 보안 평가 프로세스를 개발해 운영 중이라 소개했다. 그는 “여기에는 상품의 아키텍처를 검토해 이것이 설계 단계에서부터 보안 문제를 고민해 만들어진 것인지를 파악하는 과정 등이 포함된다. 리튬은 이를 위해 불가피한 상황이 아니라면 꼭 해당 클라우드 업체 상품의 관리 혹은 엔지니어링 담당자와 만남을 가지고 대화를 나눈다”라고 말했다.

로그비노브는 “클라우드 업체가 보안 프로그램을 적절히 구성하고 있는지, 그리고 이것이 소프트웨어 개발 수명주기에 적절히 통합돼 있는지도 고려 사항이다. SSAE 16이나 ISO 27001 등의 감사 및 보안 표준도 보안 수준 확인에 중요한 역할을 했다. 많은 리스크 요인들을 클라우드 공급자에게 위임하는 만큼 우리에게 그들의 보안 수준을 확인하는 것은 매우 중요한 작업이다”라고 강조했다.

SaaS 테스팅, 어려울 뿐 아니라 오해의 소지가 다분한 분야다
이제 고객들은 보안 평가의 필요성을 어느 정도 인식하고 있다. 그렇다면, 왜 좀 더 나아가진 않는 걸까?

한 가지 이유는 명확성의 부족에 있다. SANS 애널리스트 프로그램의 행정 에디터 뎁 레드클리프는 “모든 기업들이 그들이 왜 SaaS 테스트를 진행해야 하는지를 제대로 이해하고 있는 것은 아니다. 많은 이들이 어떤 심사를 어떤 방법으로 진행해야 할 지, 또 어떻게 호스트 되는 애플리케이션을 이용하며 시야를 유지할 지의 문제에 혼란스러워하고 있다”라고 지적했다.

소프트웨어 공급자와 그것의 호스팅 설비 업체가 다를 수 있다는 등 클라우드 서비스만의 독특한 특성 역시 테스트 과정에 어려움을 준다. 그러나 힐은 이러한 이유로 클라우드 서비스 업체의 평가를 그만둔다는 것은 말이 되지 않는 행동이며, 고객들은 오히려 코로케이션(colocation) 설비나 클라우드 인프라 서비스 등 그 업체와 계약한 써드파티들까지 평가의 시각을 넓혀야 할 것이라고 강조했다.

그는 “기업들은 이러한 관계에 관해, 그리고 그들의 1차 클라우드 서비스 공급자가 이들 공급자를 선정할 때 적용한 평가 기준에 관해 이해할 필요가 있다”라고 말했다.

예산 집행 혹은 경기 상황 역시 SaaS 테스트에 제약을 줄 수 있다. 샌프란시스코 기반의 클라우드 서비스 공급 업체 아피리오(Appirio)의 공동 설립자 겸 CIO 글렌 와인슈타인은 “SaaS 테스팅을 위한 별도의 예산이 마련된 IT조직은 그리 많지 않다. 기업들의 예산 책정 과정에서 SaaS 테스트 프로세스가 중요하게 다뤄지는 경우는 드물며, 대부분의 경우에는 일반적 보안 예산 안에 테스트 예산이 포함되고 있다. 때문에 그들은 보안 문제를 상당 부분 업체에게 의지하는 경향이 있다”라고 설명했다.

하지 말아야 할 클라우드 보안 질문이란 없다
와인슈타인은 별도의 SaaS 예산이 마련되어있지 않다고 해서 기업들이 보안 관련 문제를 제기할 수 없는 것은 아니라고 강조했다. 그는 IT 보안팀이 제안요청서(RFP) 프로세스의 일환으로 클라우드 업체에게 상당한 시간을 투자하는 경우를 많이 접하고 있다고 설명했다.

그는 아피리오가 클라우드 서비스 중개자로서 인프라나 데이터센터, 애플리케이션 보안 레이어 등과 관련한 클라이언트들의 보안 관련 문의를 처리하는 작업을 진행하고 있다고 소개했다.

와인슈타인은 자신들이 직접 보안 프로세스와 관련한 문의를 하는 경우도 있다고 덧붙였다. 자신들, 혹은 아피리오의 비즈니스 파트너들이 고객을 대신해 업체의 SaaS 애플리케이션에 접근해야 하는 경우도 있기 때문이다. 그는 “클라이언트들은 우리 아피리오가 어떻게 데이터를 보호하는지에 관심을 가지고 있다”라고 말했다.

와인슈타인은 “클라우드 업체에 어떤 것들을 물어봐야 할 지를 고민하고 있다. 기업들이 궁금해하는 점은 업체가 어떤 방식으로 데이터를 전달하고 어떤 개발 환경을 사용하며 컨설팅 파트너들 사이를 오가는 데이터를 어떻게 보호할 지 등의 문제다. 지금은 클라우드 자체가 초기 시장이라 할 수 있다. 그리고 시간이 지남에 따라, 기업들이 클라우드에 대해 제기하는 물음들은, 지금과는 다른 것들로 변화하게 될 것이다”라고 강조했다.