클라우드 환경으로 이전할 때, 기업은 자사의 요구와 제공업체의 보안뿐 아니라 내부 정책까지도 자세히 검토해야 한다. 많은 기업은 다른 조직과 클라우드 공간을 공유하는 것이 얼마나 위험한 일인지 충분히 고민하지 않거나 클라우드 업체의 보안 정책과 자사 데이터센터의 정책과 맞출 방법을 생각할 시간을 갖지 않는다.
보안 업체인 라드웨어(Radware)는 기업이 원활하게 클라우드로 이전하고 엄격한 클라우드 보안을 확립할 수 있는 9단계 체크리스트를 제시했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
우선 발끝만 담그고 알아보기 시작하라
클라우드 도입 곡선이 반등하고 있다. 클라우드를 도입할 때는 단계적으로 접근하고 업무에 필수적이지 않은 앱과 데이터부터 시작하자. 이렇게 하면 다운타임(Downtime)이 발생한다 해도 사업에는 크게 영향을 끼치지 않는다. 또 수익 창출 등 민감한 데이터는 클라우드 업체의 보안과 신뢰성을 평가한 후 이전해야 한다.
우산을 벗어나라
기업은 일부 데이터를 클라우드에, 일부를 자체 서버에 둘 수 있다. 그렇다면 두 환경을 아우르는 우산으로 작용할 조정된 보안 정책을 수립해야 한다. 더 복잡한 환경이라면, 클라우드에서 관리하는 앱에 자체 보안 시스템이 있을 수도 있다. 혼란스러운 환경에서 IT팀이 시간을 허비하고 오류의 위험을 높일 수도 있다. 다양한 클라우드 기반 앱과 데이터센터의 앱까지도 아우를 수 있는 동일한 기술과 정책 관리를 제공하는 우산을 찾아보자.
프라이버시와 보안 사이의 균형을 찾아라
공격받고 있는 네트워크나 클라우드 제공 업체는 앞으로도 계속해서 일정 수준의 트래픽 공격을 받을 것이다. 하지만 공격 트래픽의 신뢰할 수 있는 소스를 분석하려면 어느 정도의 복호화가 필요하며, 이로 인해 잠재적으로 기밀 정보가 노출된다. 건전한 트래픽과 나쁜 트래픽을 분류하는 데 필요한 최소한의 데이터만 부분적으로 복호화하는 행동 위협 감지 알고리즘 등의 툴을 찾아보자. 클라우드 제공 업체가 어떤 보안 프로토콜을 사용하는지 그리고 민감한 정보의 비밀을 유지하는 수준에 대해 논의하자.
클라우드에 무엇이 있는 지 확인하라
직원이 승인을 받지 않은 채 클라우드 기반 앱을 사용하고 있음을 알고 있거나, 그렇다고 의심해야 한다. 그들을 통해 데이터 손실이나 노출로 이어질 수 있는 취약성을 추적할 수 있다. 클라우드 접근 보안 중계 업체는 클라우드 기반 애플리케이션의 취약성을 찾아 방어한다.
클라우드 자원을 공유하는 다른 회사도 고려하라
보안 강화 조치를 취했다 하더라도 클라우드를 공동으로 사용하는 다른 기업에서 일어나는 일까지는 통제할 수 없다. 취약한 조직과 공간을 공유하면 위험에 처할 수 있다. IT 관리자는 클라우드 업체가 제공하는 아키텍처와 보안에 관한 실무 지식을 갖추어 해커가 공동 사용자를 표적으로 삼는 경우에 고장, 앱 속도 저하, 위치에 기반을 둔 사용자 거부 등이 발생하지 않도록 해야 한다. 제공자가 클라우드에서 이웃에 대한 공격에 이어 클린(Clean) 트래픽으로부터 공격 트래픽을 분리할 수 있는지 질문을 준비하자.
클라우드가 내부 기준을 충족하도록 하라
클라우드 업체가 수립한 보안 프로토콜은 사용자 기업의 자체 보안 프로토콜과 상충하거나 그에 미치지 못할 수 있다. 클라우드에서 암호화된 세션이 종료되면 이것은 클라우드 제공자가 필요한 수준에 이르지 못했다는 조짐이다. 제공자의 플랫폼이 산업 및 내부 준수 기준을 충족하는지 다시 확인하고 그렇지 않은 경우 보안 설정을 업그레이드하고 수정할 준비를 하자.
자체 데이터센터 공격과 마찬가지로 클라우드 공격을 감지하고 대응하라
자체 데이터센터와 클라우드의 공격 모니터링 간의 가장 큰 차이점은 일부 자산을 직접 통제할 수 없다는 점이다. 감지 프로토콜은 자신의 데이터센터에서와 마찬가지로 클라우드 기반 자산 앞에 있어야 한다. 신속한 대응으로 공격을 평가하며 어떤 완화된 자원을 투입할지 결정할 시간을 얻을 수 있다.
클라우드 업체의 특장점을 파악하라
클라우드 업체는 가격만이 아니라 속도 등의 특징으로 차별화한다. 예를 들어, 앱 관리에 뛰어난 클라우드 제공자를 보안에 초점을 둔 제공자와 구별하고 서비스 업체가 자사의 필요에 적합한지 자세히 검토하자.
보안 업무를 분리하라
호스팅 서비스의 보안 역량을 분석하는 것이 위험의 균형을 맞춰야 하는 기술적인 일이다. IT 외의 사업부가 보안 정책의 소유권을 확보하지 못하도록 한다. 다른 사업부가 클라우드 자산을 선택하기 시작하면 보안 문제가 TTM(Time to Market) 및 비용 절감보다 덜 중시될 수 있다. IT부서에 보안을 관리할 능력이 있다고 신뢰하자.