클라우디 데이즈 (Cloudy Daze)

*역자주: 요즘 많은 논란(?)을 불러일으키고 있는 클라우드 컴퓨팅(cloud computing)에 대한 유혹을 간접적으로 표현한 것으로 생각됨

By Steven J. Ross, CISM, CISSP. MBCP
ISACA Journal Volume 1, 2010

정말 (클라우드 컴퓨팅의) 제창자가 주장하는 것처럼 클라우드 컴퓨팅은 컴퓨팅 능력에 있어서 획기적인 확장을 가져다 주는가? 아니면, 지난 수십 년간 발전해온 아웃소싱 트랜드에 대한 자연적으로 변화한 모습인가? 클라우드 컴퓨팅은 보다 안전한가, 아니면 보다 안전하지 못한 것인가?

그렇습니다.(Yes.)

Plus ca reste la même chose…²

내가 듣고 토론했던 클라우드 컴퓨팅에 대한 대부분의 관심사는 한가지 사실에 집중된다: 이제 더 이상 조직의 데이터 및 소프트웨어가 그 조직의 데이터 센터 안에 존재하지 않는다. 많은 조직들은 소유가 곧 통제이며 보안이라는 생각을 내재적으로 분명히 가지고 있었을 것이지만, 이 등식이 의미가 있겠는가? 클라우드 컴퓨팅에서의 커다란 변화는 데이터 센터를 둘러싸고 있는 벽들이 사라진 것이며, 이것 말고는 어떠한 변화도 없다.

컴퓨터가 있는 곳이면 거의 대부분 정보 처리와 정보를 처리하는 장비의 소유가 분리되어 있는 서비스들이 존재한다. 1950년대에, IBM은 고객들을 위해서 프로그램을 자신의 컴퓨터에서 실행시켜주는 전문 서비스 회사(BSC)를 설립했다. 아웃소싱이라는 용어가 유행하기 훨씬 이전이었으나, 1962년 초에 이르러 로스 페롯의 EDS(Electronic Data Systems)는 아웃소싱을 시작한다. 인건비의 차이로 인해 재정거래가 가능해진 경제는 서양의 많은 회사들로 하여금 정보기술 기능을 아시아에 있는 조직들에게 아웃소싱하도록 만들었다. 아마도 예전의 아웃소싱이 내포하고 있는 문제점에 대한 인식이 클라우드 컴퓨팅 제공자에게 아웃소싱하는 것에 대한 두려움은 증가시키지만, 그것은 새로운 관심사가 아니다.

기본적으로, 클라우드 컴퓨팅에 대한 경영진의 우려는 다음 2가지로 축약할 수 있다:

l       내 정보가 어딘가에서 처리되고 있으나, 나는 어디인지 모른다.

l       내 정보를 누군가가 보호하고 있으나, 나는 그가 누구인지 모른다.

다소 걱정은 되겠지만, 책상 서랍의 종이 파일이 다른 데이터 센터 안에 볼 수 없는 비트(bits)로 변환되었을 시대에 경험했던 두려움과 별반 다르지 않다. 언제나 정보의 소유주와 처리기 사이에는 거리가 떨어져 있게 되는데, 그와 같은 교훈을 다시 학습하여야만 한다: 보호자의 이동은 오너십의 이동과 다르다. 컴퓨팅 서비스를 위한 보호 및 통제의 근본은 결코 변하지 않는다.

l       정보 및 정보 보호에 대한 오너십은 여전히 고객의 몫이다.

l       보호를 이행하는 책임은 오너와 서비스 제공자가 서로 공유한다.

l       정보의 소유자는 서비스 제공자가 그 정보에 대한 보호를 이행하고 강제하도록 보장할 책임을 지닌다.

조직이 직접 데이터 센터를 소유하거나, 오퍼레이터에게 급여를 지불하지 않는다는 이유만으로 정보와 소프트웨어에 대한 통제를 상실하는 것을 의미하지 않는다. 정보 실체에 대한 물리적 통제에 관한 신뢰를 과대평가하였다. 자체적인 과제를 안고 있는 백업 테이프를 제외하면, 데이터는 만질 수도 이동할 수도 없다. 특권을 가진 사용자로서의 오퍼레이터가 실질적으로 관심의 대상이지만, 오늘날의 – 그리고 미래의 – 기술은 그런 오퍼레이터들 마저 데이터를 다루기 위해서 물리적 접근을 필요로 하지 않는다.

…Plus Ca Change4

그리고 아직까지는, 이전의 아웃소싱 형태와 클라우드 컴퓨팅 사이에는 실질적인 차이가 있다. 가장 분명한 것은 정보가 기밀성 및 무결성에 대하여 함축하고 있는 모든 특징을 지니면서 인터넷을 통해서 접근된다는 것이다. 정보 기술이 가상화에 의해 가능해진 다이내믹하게 측정할 수 있는 서비스로 변해 가는 것은 보다 민감하면서, 궁극적으로는 보다 많은 보안을 필요로 한다. 클라우드 컴퓨팅의 가능성이 실현된다면, 조직은 자신이 사용하는 소프트웨어, 인프라, 네트워크 그리고 저장장치를 신속하게 확장하여 계약할 수 있다. 어느 하나의 컴퓨팅 자원에, 특히 애플리케이션 데이터, 적합한 보안은 다른 것에는 적합하지 않을 수 있다. 급속히 변모해가는 상황에서, 다이내믹하게 보안과 위험과 견주는 것은 어려운 일이다.

클라우드 컴퓨팅 보안에 관해서 이러한 상황적 변화를 다루지 않은 채로 수없이 많이 쓰여지고 있다. 그것보다 아웃소싱에 수반되는 보안 위협에 초점을 맞추고 있다: 특권적 접근에 관한 통제, 법규 준수의 어려움, 알 수 없는 데이터 소재지, 고객들간의 데이터 분리, 조사 지원 그리고 벤더 생존력. 아웃소싱을 초월해서 클라우드 컴퓨팅에만 해당하는 수많은 보안 고려사항이 있다.

l 위험 관리가 IT 서비스들의 다이내믹함으로 복잡해지고 있다. 모든 위험 관리 접근방법에 있어서는, (자원의) 가치를 불문하고, 관리할 자원의 안정은 근원적이다. 예를 들면, 거의 1년 내내 광고를 하고 성수기에는 매출이 늘어나는 온라인 소매상에 의해서 클라우드 컴퓨팅이 이용된다면, 본질적 위험은 1년 사이에도 여러 차례 달라진다. 홍보에서 영업으로의 전환이 즉시 이루어진다면 그러한 위험들은 어느 정도 파악될 수 있지만, 그러한 전환이 시간이 지나면서 불규칙적으로 나타난다면 위험을 결정하기가 훨씬 어렵게 된다.

l 애플리케이션과 정보가 인터넷을 통해 접근되기 때문에, (웹) 브라우저가 대부분의 상업적 브라우저들의 능력을 능가하여 접근 통제 메커니즘이 되고 있다. 많은 브라우저들이 목적지와 활동을 제한하는 것이 가능하지만, 그 중 소수는 사용자들을 분명하게 식별하거나 (자원을) 충분히 세분화하여 접근을 제한시키는 능력을 갖고 있다. 신원 및 접근 관리 시스템을 가진 브라우저들의 통합은 상업적 목적으로 클라우드 컴퓨팅의 이용을 확산시키기 위한 불가결한 선행 조치이다.

l 위험을 정량화해서 보험으로 책임을 전가하는 것은 어려운 일이다. 클라우드 컴퓨팅 제공자들은 보험에는 가입하지만, 고객에 대한 중대한 손해에 대해서는 분명 아니다. 정보 소유자는 책임을 자신들의 서비스 제공자에게 전가할 수 없다. 마찬가지로, 알 수 없고 불규칙적으로 변하는 정보 자원을 위해서 보험 회사도 초과보험 혹은 일부보험을 요구하든지 부보를 제공할 수 없다. 그러한 2가지 대안이 있다면, 많은 경우에 있어서 경영진은 가장 저렴한 보험상품을 선택하고 잔여 위험은 받아들인다.

l PKI 방식의 강력한 암호화 기법이 인터넷 기반 서비스에 있어서 기밀성과 무결성을 달성하는데 필수적이다. 멀리 떨어져 있는 어느 서비스 제공자의 가상 및 실질적인 시스템들에 혼재된 데이터에 대하여 암호화는 중요한 데이터에 대해서 만이 아니라 클라우드 안에 있는 모든 데이터에 대하여 채택할 필요가 있다. (불행하게도, 이것은 데이터 및 서비스 가용성을 상실할 수 있는 취약점에 노출된다.) 오늘날 사용이 가능한 강력한 암호화 알고리듬과 키 관리 기법이 있지만, 클라우드 컴퓨팅은 세계적으로 체계화된 공중키 관리 시스템을 필요로 한다. 요즈음, 암호화 및 PKI 둘 다 경험(=사용)하는 것은 일반적이지 않다. 그러한 경험을 얻고자 하는 과정에서는 반드시 심각한 오류가 발생한다.

항상 그랬듯이, 클라우드 컴퓨팅을 위한 정보 보호도 비용이 발생한다. 또한 위험 관리에서 시작된 어려움들이 결정하기 힘든 보안 통제의 비용-효과를 결정짓는다. 우리는 아직 클라우드 컴퓨팅의 초창기에 있으며, 그리고 규모의 경제는 커다란 기업들에 의해 널리 이용되고 있는 이러한 새로운 기술에 역행하고 있다. 또 다른 새로운 기술에 대한 경험에 근거해, 나는 클라우드 컴퓨팅은 보안이 계속해서 불충분할 것으로 예상하며, 결국에는 보안을 오버헤드로 인식하는 것을 줄어들고, 보다 많이 촉진자(enabler)로 간주하게 될 것이다.

내 생각에, 클라우드 컴퓨팅에 있어서 가장 커다란 위험은 회사가 건망증에 빠질 가능성과 복구할 가능성이 없는 정보의 손실이다. 이것은 클라우드 안에서 복구능력 -미래의 컬럼에서 다루어질 주제- 에 대하여 총체적인 이슈를 야기할 것이다.

역자주: cloud 는 인터넷을 의미하는데, 이것은 네트워크 구성도에서 구름 모양의 형상으로 인터넷을 표시한 데서 연유한다.