Offcanvas

가상화 / 보안 / 클라우드

VM월드 2011 : 보안과 컴플라이언스는 여전히 우려 사항

2011.09.01 Ellen Messmer   |  Network World
네트워크 가상화가 비용 절감이나 생산성 향상을 가져 온다는데 의심을 품는 VM웨어 사용자는 많지 않다. 하지만 보안에 대한 우려는 여전하다. 감사 때 규제 요건을 어떻게 준수하느냐, 클라우드 서비스를 어떻게 평가하느냐 등 여러 문제에 걸쳐 도전이 도사리고 있는 실정이다.
 
철저하게 보안 조치를 해야 하는 민감하고 중요한 데이터를 중요하지 않은 데이터와 같은 가상 장치에 유지해도 되는지 의문을 제기하는 규제가 많다. 지불 카드 사용자를 대상으로 한 지불 카드 산업(PCI: Payment Card Industry) 가이드라인 등을 예로 들 수 있다. 이른바 '가상화 혼합형 데이터 보안'이라고 불리는 가상화로 인해 보안 수준이 다른 데이터가 섞이는 문제에 대한 답은 기업 내부나 외부 감사자의 의견에 따라 완전히 달라질 수 있다. 그리고 이는 서버 가상화를 서둘러야 하는 네트워크에 보안 조치를 할 때 네트워크 관리자들을 곤혹스럽게 만들고 있다.
 
약 1만 9,000명이 라스베가스의 2개 호텔을 가득 매운 채 열린 'VM월드 컨퍼런스'에서 패널로 나선 GM 파이낸셜(GM Financial)의 서버 관리자인 폴 월레스는 "컴플라이언스와 관련한 과제가 남았다"고 말했다. 
 
월레스에 따르면, GM 파이낸셜은 서버 기반의 70%를 VM웨어를 이용해 가상화했고, 뷰(View)를 기반으로 한 데스크톱 가상화를 추진 중이다. VM웨어의 v센터 설정 관리자(vCenter Configuration Manager)는 고객 데이터를 얼마나 조심스럽게 관리하고 있는지 감사자들이 파악하도록 해주는 보고서를 만드는 데 도움을 주고 있다. 그러나 웰레스는 특정 기술적 의사결정을 좌지우지하는 의견을 내는 많은 감사자들의 요구를 충족하기는 쉽지 않다고 말했다.
 
감사 담당자들의 이해 부족도 한몫 
지오베라 보험(Geovera Insurance)의 시스템 관리자인 수잔 세들리츠에 따르면, 가상화를 대부분 완료한 지오베라 보험은 VM웨어의 v스피어(vSphere)용 v쉴드(vShield) 보안 기술을 라이선스한 상태이다. 하지만 감사자들이 배치 방법을 승인하기까지는 제대로 사용할 수 없는 실정이다.
 
v쉴드에는 소프트웨어 기반의 파이어월을 설정하거나 v스피어에 맞게 설계된 안티-맬웨어(anti-malware), 또는 침입 방지 시스템 같은 특정 회사의 제품을 사용할 수 있는 기능이 포함되어 있다.
 
세들리츠는 "우리는 혼합식 환경을 구성하지 않았기 때문에 v쉴드를 구입했다"고 설명했다. 그러나, 예를 들어 PCI 준수를 승인하는 등의 책임을 맡고 있는 감사자들이 v쉴드의 설정 방법을 승인하기 전에는 일상적인 기업 활동에 이를 이용할 수 없는 실정이다.
 
VM웨어 정책 및 컴플라언스 센터(Center for Policy and Compliance) 디렉터로 고객들에게 관련 문제들을 상담해주고 있는 조지 게르초우는 "PCI 같은 규제들 때문에 많은 파이어월을 구축해야만 한다"고 말했다. 예를 들어 HIPAA 프라이버시 및 보안 규정을 준수해야 하는 헬스케어 산업은 규제가 아주 심한 산업으로, 이는 가상화 도입에 영향을 줄 수 있다.
 
게르초우는 감사자들이 아주 조심스럽게 다뤄야 할 민감한 데이터를 이보다는 민감하지 않은 데이터가 자리잡고 있는 게스트 운영체제 옆의 동일한 가상머신에 두는 '가상화 혼합형 보안 환경'에 부정적인 시각을 갖고 있는 경우가 많다고 언급했다. 
 
패널 발표를 하면서 일부 불만을 털어놓기도 한 게르초우는 “많은 감사자들이 준비가 되어있지 않다. 더 나아가 이해조차 하지 못하고 있다. 아직도 10년 전 기술과 함께 살고 있다고 봐야 할 정도다"라고 지적했다.
 
한편 VM월드의 다른 세션에서는 금융 서비스와 같이 이런 종류의 엄격한 규제를 준수하지 않아도 되기 때문에 문제들이 덜하다고 인정한 일부 기업 IT 관리자들의 발언이 있었다.
 
예를 들어 레블론(Revlon)의 수석 부사장겸 CIO는 데이빗 지암브루노는 "우리는 화장품 회사이다. 따라서 PCI나 HIPAA 같은 규제를 준수할 필요가 없다"고 말했다. 지암브루노에 따르면, 레블론은 서버 가상화를 통해 하드웨어 관련 비용을 줄이고, 데이터센터 전기 요금을 72% 절감함으로써 2년 동안 7000만 달러를 아낄 수 있었다.
 
또 원한다면 가상화를 통해 애플리케이션을 어디로든 옮길 수 있다. 덕분에 얼마 전 베네수엘라의 레블론 공장에 화재가 발생했을 때, 애플리케이션 서비스를 빠른 시간에 복구할 수 있었다.
 
VM웨어 환경에 제한된 재해 복구 서비스도 한계로 지적
VM웨어는 최근 v스피어 5.0에 사이트 리커버리 매니저(Site Recovery Manager) 5.0과 v스피어 레플리케이션(vSphere Replication)을 추가해 지점간 복구 프로세스를 자동화하고 파일을 이중화할 수 있도록 하고 있다. 이는 VM웨어와 밀접히 협력해 클라우드 기반의 긴급 재난 복구 및 비즈니스 영속성 서비스를 제공하고 있는 퓨전스톰 (FusionStorm), 아이랜드(iLand), 호스팅닷컴(Hosting.com), 베리스토(VeriStor) 같은 서비스 업체로부터 호평을 받았다.
 
그리고 이들 클라우드 기반의 긴급 재난 복구 서비스 업체들은 VM월드에서 새로운 서비스를 홍보하기도 했다. 그러나 VM웨어의 SRM 5.0 소프트웨어가 VM웨어를 기반으로 한 가상화 환경만을 지원한다는 점에서 여전히 문제가 남는다. VM웨어 이외의 환경을 이용하고 있는 고객들은 뭘 기대할 수 있느냐 하는 것이다.
 
예를 들어, 베리스토와 호스팅닷컴은 VM웨어 이외의 환경에는 가상화 기반의 비즈니스 연속성 서비스를 제공하지 않는다고 말했다. 그러나 베리스토의 경우 지난 10년 동안 쓰였던 전통적인 긴급 재난 복구 서비스를 제공할 수 있다고 덧붙였다. 아이랜드는 아크로니스의 특별한 어플라이언스를 이용해 마이크로소프트의 하이퍼-V와 시트릭스에 비슷한 서비스 일부를 지원할 수 있다고 언급했다.

또 호스팅닷컴의 엔지니어링 부문 부사장 매트 페라리는 현재 마이크로소프트와 프로젝트를 진행하고 있기 때문에 가까운 장래에 마이크로소프트의 하이퍼-V 시스템에도 이런 지원을 할 수 있을 것으로 기대하고 있다고 강조했다.  editor@itworld.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.