December 14,2019

클라우드 신뢰성 높이는 새로운 기술

정보 유출 방지 솔루션 CASB

FacebookTwitter

국제 소프트웨어 협회인 ‘BSA(Business Software Alliance)’는 2년 주기로 24개 OECD 국가의 클라우드 컴퓨팅 순위를 매긴다.

2018년도 우리나라의 클라우드 컴퓨팅 순위는 딱 중간인 12위이다. 참고로 2년 전인 2016년에도 12위였다.

그런데 그간 정부의 노력을 고려하면, 이는 사실 좋은 성적은 아니다.

정부는 클라우드 산업을 활성화하기 위해 앞장서왔다. 2015년 11월 당시 미래창조과학부 (미래부)는 ‘K-ICT 클라우드 컴퓨팅 활성화 계획’을 발표하면서 클라우드 산업 경쟁력 강화를 목적으로 삼았다.

정부는 해당 계획을 통해 800개의 클라우드 기업을 육성, 향후 3년간 4.6조 원의 시장을 창출하는 것을 그 목표로 삼았다.

시장 분석 결과에 따르면, 정부의 노력은 효과가 있는 것으로 보인다. 한국클라우드산업협회가 조사한 결과 2017년 국내 클라우드 시장 규모는 1.5조 원이었다. 이는 전년 대비 27.3%나 증가한 수치이다.

그렇지만 BSA의 순위에도 나타나듯이 클라우드 기술의 질적인 경쟁력 강화에는 실패한 것으로 보인다. 왜 그런 것일까?

클라우드는 중앙 서버의 컴퓨팅 파워로 서비스를 제공하는 플랫폼이다. ⓒ Flickr

클라우드는 중앙 서버의 컴퓨팅 파워로 서비스를 제공하는 플랫폼이다. ⓒ Flickr

이는 시장 문화의 차이 때문으로 보인다. 국내 기업이 클라우드 서비스를 원하지 않는다는 것이다.

기업들이 클라우드를 꺼리는 이유는 신뢰성에 문제가 있기 때문이다. 좀 더 구체적으로 말하자면, 보안 위협에 노출되는 것을 싫어하는 것이다.

클라우드 확산을 방해하는 요소 ‘보안 위협’

클라우드는 서비스 제공자의 중앙 서버 컴퓨팅 자원을 활용해 사용자에게 고급 서비스를 제공하는 플랫폼이다. 따라서 사용자는 기기의 사양에 부담을 갖지 않고 클라우드에서 제공하는 서비스를 이용할 수 있다.

구글 드라이브를 예로 들어보자. 구글 클라우드는 파일을 저장할 수 있는 일정 용량을 제공해준다. 따라서 사용자는 본인 기기의 용량과 관계없이 구글 드라이브에 파일을 저장할 수 있다.

개인 입장에서는 별도 부담이 되지 않는 좋은 서비스이다. 그런데 기업 입장은 다르다. 중요 정보를 제3자에게 맡겨야 한다는 부담이 있다.

이는 두 가지의 보안 신뢰성 문제를 불러온다.

첫째, 사용자의 보안 환경이다. 클라우드 제공자가 정보를 보호할 수 있을 만큼 보안이 뛰어난지에 관한 신뢰성 문제가 있다.

둘째, 클라우드 제공자 자체에 관한 신뢰성 문제이다. 기업이 제공자를 믿고 기밀 정보를 맡길 수 있는지에 관한 신뢰성 문제가 발생한다. 기업은 제공자가 자신의 정보를 엿볼 수 있을지에 대해서 염려하기 때문이다.

이중 두 번째가 기업이 클라우드 서비스 도입을 망설이는 주된 이유라고 할 수 있다.

이는 특히 보안 산업에서 큰 애로사항을 불러온다. 해외는 현재 클라우드 기반의 보안 서비스가 열풍이다.

국내에서는 클라우드형 보안 서비스가 미비한 상황이다. 보안 분석을 위해 제공되는 기업의 중요 데이터가 제3자에게 유출될 수 있다는 우려 때문이다.

따라서 클라우드형 보안 서비스를 제공하는 해외 기업이 국내 시장으로 진출하려고 할 때면 이러한 문화적 차이로 난항을 종종 겪는다.

그뿐만 아니라, 클라우드 서비스는 보안의 구멍을 만드는 문제도 있다.

클라우드의 장점 중 하나가 접근성이다. 클라우드는 중앙 서버의 컴퓨팅 파워로 서비스를 제공하기 때문에, 어느 기기로 접속하든지 간에 같은 서비스를 제공받을 수 있다. 장소와 시간의 제약도 없다.

그런데 이는 보안 문제를 불러올 수도 있다. 예를 들어, 직원이 낮은 보안 환경의 공공장소에서 기업의 기밀 데이터를 본다고 생각해보자.

해당 데이터는 더 이상 기밀 데이터가 아닌 셈이 된다. 직원이 장소와 기기와 관계없이 데이터를 여는데, 이를 기밀이라고 할 수 있을까?

아울러 ‘쉐도우 IT(Shadow IT)’라는 보안 문제를 일으킬 수도 있다. 쉐도우 IT는 기업 내 전산실의 승인 없이 비공식적으로 사용하는 애플리케이션을 말한다.

직원들이 간단하게 애플리케이션을 사용한다는 측면에서, 쉐도우 IT는 장점이 될 수 있다. 그러나 기업 입장에서는 보안 구멍으로 작용한다.

전산실에서 애플리케이션을 관리하지 않기 때문에, 해당 애플리케이션의 취약점을 제대로 보완하지 못한다. 이는 해커가 기업을 공격할 수 있는 경로로 악용할 위험이 있다.

쉐도우 IT 문제를 일으키는 SaaS ⓒ Max Pixel

쉐도우 IT 문제를 일으키는 SaaS ⓒ Max Pixel

여기에 클라우드 기반 애플리케이션(SaaS: Service as a Service)은 쉐도우 IT 문제를 더욱 심화시키고 있다. 많은 기업에서 드롭박스(Dropbox), 슬랙(Slack) 등 비 허가된 SaaS 이용 비중이 늘고 있다.

마이크로소프트(MS)에서는 SaaS로 인한 쉐도우 IT를 조사한 바 있다. 그 결과, 쉐도우 IT를 사용하는 비율이 92%에 달하는 것으로 나타났다.

클라우드 및 이메일에 회사 데이터를 저장하는 고위 관리직의 비율은 87%에 달하는 것으로 조사됐다.

정리하면, 클라우드는 서비스 측면에서 여러 가지 장점이 있으나 정보 보안 유출의 구멍을 만드는 요인이기도 하다. 이러한 이유로, 국내 기업 입장에서는 클라우드 사용을 망설이고 있다.

결국 국내 클라우드 활성화를 위해서는 위에 열거한 보안 문제를 해결할 필요가 있다.

그런데 이러한 문제를 해결하는 방법을 찾는 데 너무 신경을 쓰지 않아도 된다. 이를 해결할 보안 솔루션이 이미 나왔기 때문이다. ‘CASB(Cloud Access Security Broker)’가 바로 그것이다.

클라우드 정보 보안 솔루션 ‘CASB’

CASB는 클라우드로 인한 정보 유출을 방지해주는 솔루션이다. 기술적으로 좀 더 구체적으로 설명하자면, CASB는 클라우드와 기업이 통신하는 부분을 검열해 정보 유출에 해당하는 사건을 탐지하고 대응할 수 있게 한다.

시장 조사 기관 가트너(Gartner)는 CASB의 기능을 네 가지로 분류했다. ‘가시성(Visibility)’, ‘데이터 보안(Data Security)’, ‘컴플라이언스(Compliance)’ 그리고 ‘위협대응(Threat Protection)’이다.

이중 가시성은 쉐도우 IT 대응을 위한 기능이다. 비 허가된 SaaS 이용 현황을 파악해 보안에 위험한 요인이 없는지를 알려준다.

데이터 보안은 접근제어와 데이터 암호화를 제공하는 기능이다. 회사 내 데이터를 시간, 장소, 기기 등에 따라 차등 권한을 부여할 수 있게 해주고, 데이터를 암호화하여 외부자가 엿볼 수 없게 한다.

또한 정보 접근 이력도 기록하는데, 이는 정보 유출 사건이 발생했을 때 대응을 빠르게 한다.

컴플라이언스는 클라우드 내 저장된 정보가 보안 규정에 맞게 운영되고 있는지를 파악해 관리자에게 알려주는 기능이다.

위협대응은 해커의 악성 공격으로부터 정보 유출이 되는 것을 방지해준다.

클라우드 정보 보호 솔루션 ‘CASB’  ⓒ Flickr

클라우드 정보 보호 솔루션 ‘CASB’ ⓒ Flickr

정리하면, CASB는 기업이 안심하고 클라우드를 사용할 수 있게 하는 솔루션이다. 따라서 CASB는 클라우드가 확산됨에 따라 주목받고 있고, 그 시장도 빠르게 성장하고 있다.

시장 조사 기관인 마켓앤마켓(Markets & Markets)에 따르면, CASB 시장은 2015년부터 2020년까지 연평균 성장률이 17.6%로 빠르게 성장할 전망이다. 2020년 시장규모는 75.1억 달러에 이를 것으로 예상된다.

CASB는 클라우드 확산으로 인해 생긴 신규 보안 기술이기도 하다. 때문에 이를 주도하는 기업들에는 스타트업이 많다.

현재 CASB 시장을 이끄는 네 기업 중 두 곳이 신생 보안 기업이다. 비트글래스(Bitglass)는 2013년 1월에 창립됐고, 넷스코프(Netscope)는 2012년에 창립됐다.

이에 기존 보안 기업들도 보안 스타트업을 인수하면서 CASB 시장에 뛰어들고 있다. 맥아피(McAfee)는 스카이하이(Skyhigh)를, 시만텍(Symantec)은 퍼스펙시스(Perspecsys)와 엘라스티카(Elastica)를 인수했다.

이처럼 해외의 경우 클라우드 확산에 따라 보안 인식이 중요해지고 있고, 그에 따라 CASB가 주목받고 있다.

반면 국내는 반대로 접근해야 할 것 같다. 안전성을 중시하는 경향이 더 강하기 때문이다.

때문에 CASB를 통해 먼저 클라우드의 보안 신뢰성을 강화하고, 그 다음 클라우드를 확산해야 할 것 같다는 것이 필자의 의견이다.

이 같은 접근법을 취하면, 보안 산업과 클라우드 산업을 동시에 활성화할 수 있다. 일거양득인 셈이다.

의견달기(0)