Offcanvas

How To / 리더십|조직관리 / 아웃소싱 / 클라우드

‘기획에서 입증까지’ 클라우드 이전 가이드라인

2014.10.22 Pierluigi Paganini  |  CSO


- SLA에서 제공되는 보안 수준은 어느 정도인가?

- 준비된 보안 메카니즘에는 어떤 것들이 있나?

- 보안 표준을 준수하나? 어떤 표준을 따르나?

프라이버시는 보안과 밀접히 연관되어 있다. 막대한 양의 민감한 데이터와 PII(personally identifiable information)가 기업에 의해 클라우드 아키텍쳐로 저장되고, 그런 정보를 고의적인 사업 공격이나 보안 사고로부터 보호해야 할 필요성이 있다.



데이터 유출 등의 사고와 정부 규정 위반으로 인해 발생되는 사업적 손해를 방지하기 위해서는 프라이버시와 보안 문제에 대한 효율적인 접근방식이 필수적이다.

회사들은 그들이 속한 산업의 필요에 따라 보안과 프라이버시 문제를 고려해야 한다. 보안 정책이 분석되어야 하는 기반상의 핵심 보안 구조는 인프라, 데이터, 신원, 최종사용자 기기다.

클라우드 아키텍처의 보안과 프라이버시를 향상시키기 위해서 그들의 작업부하를 클라우드로 이동시키기로 결정한 기업들은 다음과 같은 작업을 해야 한다:

- 어느 데이터가 클라우드로 이전되는지 결정하고 정보의 온전성을 확실히 하고 비밀을 보장하는데 필수적인 조치들을 이행하도록 요청해야 한다. 회사가 개발한 핵심 애플리케이션의 소스코드가 클라우드로 이전되어야 하는 상황에서, 소프트웨어 리포지토리는 외부 공격에 대비해 강화되어야 하고 그들의 접속도 내부자들로부터의 데이터 유출을 방지하기 위해 규제되어야 한다.

- 보안 분류 요청을 위한 기업 데이터 매핑하라

- 클라우드 제공자의 보안/프라이버시 조치(예를 들어 물리적 보안, 사고 알림 등)을 살펴보고 그 조치들이 클라우드 SLA상에 확실히 문서화하라

- 민감한 데이터를 식별하라

- 허가와 인증 프로세스를 정의/검토하라

- 적용되는 규제를 살펴보고 클라우드 컴퓨팅으로의 마이그레이션 이후 무슨 조치가 필요한지 조심스럽게 평가하라

- 보안이나 프라이버시 위반의 위험을 관리하고, 클라우드로 이동된 모든 작업/활동의 회사 사업에 미치는 영향을 평가하라

마이그레이션 프로세스 그 자체가 회사 데이터를 사이버 위협에 노출시키고 사고를 유발할 수 있음을 이해하는 것이 중요하다. 그 때문에 IT 직원들은 이전 도중에 데이터를 어떻게 안전하게 보호할 수 있을지 생각해야 한다.

마이그레이션을 프로젝트로 관리하라
클라우드로 아키텍쳐로의 마이그레이션은 IT 직원들에 의해 모습을 갖춰야 하고 회사 내의 다른 부서 관리자들과도 공유되어야 한다. 모든 활동은 정의되고, 기획되고, 집행되어야 하고, 전환 그 자체는 연계 프로젝트로 관리되어야 한다. 이전 요점에서 설명되었듯, 상부 경영진이 수용한 공적인 프로젝트 계획을 정의하는 것은 필수다. 모든 활동은 추적되어야 하고 연계 비용과 위험은 마이그레이션을 거치는 동안 관찰되어야 한다.

모든 부서가 자체 서비스와 애플리케이션을 클라우드로 이전하는데 있어서 달성하고자 기대하는 목표를 설명한 일종의 SOO(Statement of Objectives)같은 것을 준비하는 것도 유용할 수 있다.

정부 환경에서 일상적으로 사용되는 유사한 문서에는 클라우드 인프라로 자체 활동을 이동시키기 위한 인력 준비의 주요 목표가 있다.

SOO에는 다음과 같은 활동에 관련된 정보가 들어갈 수 있다:

- 회사의 모든 자산과 서비스의 재고 조사
- 클라우드로의 마이그레이션 동안 활동의 진화 평가 척도 규정
- 애플리케이션 매핑
- 적절한 서비스 모델(예를 들어 SaaS, IaaS)과 배치 모델(예를 들어 사설, 공공) 식별
- 마이그레이션 기획

마이그레이션이 완료되면 SOO 문서에서 정의된 척도에 따라 새로운 환경 내에서 제품/서비스의 효율성을 입증하는 것이 필수적이다. 테스트 단계는 회사의 전략적 기능에 영향을 제한시키면서 가능한 한 핵심적이지 않은 데이터를 활용해 수행되어야 한다.

필자는 역동적인 접근방식을 필요로 하는 보안 업계의 급속한 진화 때문에 항상 프라이버시와 보안 문제에 특별히 더 관심을 쏟기를 제안한다. 보안과 위험 산정은 국제 표준 준수 하에 지속적으로 수행되어야 한다.

* Pierluigi Paganini는 CEH(Certified Ethical Hacker)이자 20여년 간 보안 서적을 집필해온 저술가다. ciokr@idg.co.kr
 

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.