보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

클라우드로의 이전을 가로막는 7가지 장애물

입력 : 2024-05-20 17:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
클라우드를 활용하는 기업들이 빠르게 증가하고 있다. 모든 기업들이 클라우드로부터 얻은 흉터 하나씩을 가지고 있다. 이 많은 흉터들을 야기하는 문제는 무엇인지 짚어보자.

[보안뉴스= 리사 모건 IT 칼럼니스트] 클라우드 성숙도가 점점 높아지고 있다. 그럼에도 여전히 극복이 어려운 문제들도 있다. 이런 문제들을 하나하나 극복하는 것이 성장의 계기가 될 것으로 보이며, 따라서 시점마다 과제들을 파악하여 차근차근 해결해가는 것이 중요하다. 그런 의미에서 현존하는 과제들을 정리하는 게 의미를 갖게 되는데, 총 7가지로 요약할 수 있다.

[이미지 = gettyimagesbank]


1. 애플리케이션 디펜던시
기존의 데이터센터를 클라우드로 옮겨간다고 했을 때 발견되는 문제는 한두 가지가 아니다. 하지만 디지털 전환 플랫폼 제공 업체인 어헤드(AHEAD)의 CTO 윌 후버(Will Huber)에 따르면 “가장 흔한 건 애플리케이션 디펜던시에 대한 이해도가 떨어진다는 것”이라고 한다.

“앱들과 앱들 사이에는 관계성이 있습니다. 사람마다 그 관계가 전부 다르듯, 앱들도 마찬가지입니다. 환경이 바뀌면 사람도 관계 단절에서부터 오는 온갖 어려움들을 겪죠. 앱도 마찬가지입니다. 무조건 데이터센터에서 클라우드로, 앱들이 활동하는 환경을 옮긴다면 탈이 납니다. 이걸 이해하지 못하고 있다가 클라우드로 옮기면서 예기치 않은 문제들을 겪습니다.”

이 이해도가 떨어진 상태에서 앱을 무리하게 옮겼다가 벌어지는 문제들로는 “서비스 마비, 성능 저하, 사용자의 부정적 경험 등이 있다”고 후버는 말한다. “무엇보다 새로운 보안 리스크가 생길 가능성도 높아집니다. 그러므로 데이터나 앱을 클라우드로 옮기기 전에, 옮길 대상이 되는 앱들의 디펜던시부터 샅샅이 파악하는 게 좋습니다.”

2. 데이터 보안과 규정 준수
이사를 하면서 짐을 옮기다 보면 잃었거나 잊었던 물건을 찾게 되는 경우가 종종 있는데, 데이터와 앱들을 클라우드로 옮기다 보면 몰랐거나 잊었던 취약점들과 리스크들이 모습을 드러내곤 한다. 컴플라이언스와 리스크 관리 전문 업체 오딧보드(AuditBoard)의 CISO인 리차드 마커스(Richard Marcus)는 “오히려 리스크를 없앨 기회”라며 “클라우드 환경에서는 ‘IaC(Infrastructure as code)’ 기술을 활용하면 보안 강화에 도움이 된다”고 말한다.

“IaC는 코드 층위에서 보안 제어 장치들을 편리하게 통합하게 해줍니다. 그렇기 때문에 클라우드에서 개발 프로젝트를 진행할 때에도 보안과 관련된 내용을 탑재시키는 게 훨씬 편리해지죠. 이미 공공 클라우드 서비스들은 개발 파이프라인을 모니터링하고 제어할 수 있는 장치들을 만들어 제공하고 있기도 합니다. 클라우드로 옮기다가 새로운 문제들을 발견했으면, 클라우드 환경에서 고치는 방안을 고민해보세요. 그러면 클라우드를 보다 성숙한 수준에서 사용할 수 있게 됩니다.”

3. 기존의 사고방식을 벗어나지 못한다
여행 플랫폼인 데이트립(Daytrip)의 CTO 얀 스트르나드(Jan Strnad)는 “클라우드의 진정한 잠재력을 끌어내려면 사용자의 사고방식이 업데이트 되어야 한다”는 의견이다. “인프라의 구성과 운영은 기술력에 따라 결정되는 게 아닙니다. 경영진이 어떤 생각과 마음가짐으로 사업을 구상하느냐에 따라 결정됩니다. 데이터센터에서 클라우드로 옮기는 것이 기술적으로만 보면 뭐가 어렵겠습니까. 클릭 몇 번이면 되죠. 문제는 클라우드의 옮기고 나서 클라우드의 잠재력을 최대한 활용하게 되느냐 마느냐입니다. 클라우드로의 이전 이후를 고려하여 계획을 수립하는 게 진짜 중요한 문제입니다.”

그러면서 스트르나드는 클라우드가 있어서 제공할 수 있는 서비스와 틀을 벗어난 사업 아이템이 있는 상태에서 클라우드로 옮기는 것과, 모두가 클라우드로 가니까 클라우드로 옮기는 것 사이에는 엄청난 차이가 있다고 강조한다. “서비스나 물품을 고객에게 훨씬 빠르게 제공할 수 있겠다는 식의 비전이라도 최소한 가지고 있어야 합니다. 클라우드에는 정답이 없습니다. 정답은 사용자 기업이 가지고 있지요. 그걸 확보한 채 움직이느냐, 막연하게 그냥 휩쓸려 가느냐의 결과는 다를 수밖에 없습니다.”

4. 잘못된 상정
테이아인스티튜트싱크탱크(Theia Institute Think Tank)의 총괄 이사인 토드 제이콥스(Todd A. Jacobs)는 “오랜 시간 온프레미스 데이터센터와 메인프레임 등에 의존해 사업을 해왔던 조직들이라면 클라우드로의 이전이 힘들 수 있다”고 말한다. “왜냐하면 그런 조직들이 ‘당연하다’고 여기는 것들이 클라우드에서 부정당하기 때문입니다. 그런 것들을 하나하나 클라우드에 맞게 바꿔가는 것이 중요하고, 그 변화의 속도를 빠르가 가져가면 갈수록 이익을 얻을 확률이 높아집니다.”

온프레미스 환경에서 상정되던 것들 중 대표적인 것은 다음과 같다.
1) “인프라는 자본 지출이다.” (클라우드 환경에는 IaC라는 개념이 존재한다.)
2) 자산 소유권과 원가 회계. (클라우드 환경에는 엘라스틱 컴퓨팅(elastic computing)이 있다.)
3) 인프라와 애플리케이션의 단대단 관리. (클라우드 환경에는 일시적인 클라우드 기반 플랫폼과 서비스들이 존재한다.)
4) 경계선과 외곽에 집중되어 있는 보안 모델.(클라우드 환경에는 클라우드 기반 혹은 하이브리드 기반 보안 모델이 존재한다.)
5) 하드웨어와 소프트웨어를 구매하고 소유하고 관리한다.(클라우드에서는 클라우드 업체와 사용자 기업이 공동으로 관리하고 운영하고 책임진다.)

5. OT
분석 소프트웨어 개발사 시크(Seeq)의 CTO인 더스틴 존슨(Dustin Johnson)은 “주로 IT 워크로드가 클라우드 이전 대상이었는데, 요즘은 OT 자산들을 클라우드로 옮기는 방안들이 연구되고 있다”고 말한다. “그게 시장의 진화이며, 진화된 시장의 진화된 요구인 것이죠. 하지만 누구나 익히 예상할 수 있겠지만 OT를 클라우드로 옮긴다는 건 극악의 난이도를 자랑하는 일입니다.”

왜 그런 것일까? “OT 시스템들은 매우 정교하고 민감하며, 기업 운영의 측면에서 너무나 큰 비중을 차지하고 있습니다. 또한 매우 전문적인 지식과 기술이 있어야 유지 보수가 가능합니다. 클라우드로 옮긴다면, 이 민감하고 중요하며 전문적인 OT 장비를 디지털 기술로 구현해야 하는데, 그 단계에서부터 이미 아무나 할 수 없는 일이 됩니다. 게다가 그 문제를 해결한다고 해도 관련 규정과 표준을 위반하는 것이 될 확률이 높습니다. 아직 우리의 규정들은 OT가 클라우드 환경에서 구현되는 걸 반영하지 못하고 있거든요. OT 데이터를 클라우드에서 어떻게 보호해야 하는지도 아직 안다고 하기 어렵고요.”

6. 레거시 시스템과 기술 부채
IT 관리 기업 텍시스템즈(TEKsystems)의 CTO인 램 팔라니아판(Ram Palaniappan)은 “사업에 꼭 필요한데 너무나 오래된 애플리케이션이라 클라우드로 옮기기 힘든 것들이 있다”고 말한다. “그런 애플리케이션들을 클라우드 환경에 맞게 재구성하거나 재프로그래밍을 하지요. 그런데 그런 앱들은 수년 간 활용되어 왔고, 따라서 어마어마한 데이터를 축적하고 있으면서, 오래됐기 때문에 관련 문건도 없을 때가 많습니다. 이를 클라우드에 맞게 현대화 한다는 건 대단히 까다로운 일입니다.”

문제는 그것만이 아니다. “그런 앱들은 이미 사업 프로세스와 논리 구조의 일부를 차지할 때가 많습니다. 그런 앱을 새로 바꿔서 사용한다고 했을 때 예상 불가능한 문제가 발생할 수 있지요. 사용자의 거부감이 생각보다 크다거나, 이론적으로는 잘 굴러가야 하는데 이상하게 크고 작은 트러블이 계속해서 일어난다든지 등 예상 어려운 일들이 있을 수 있습니다. 그러니 클라우드로 이전할 때 오래된, 레거시 시스템과 앱을 전문적으로 다룰 줄 아는 사람을 확보하는 게 안전합니다.”

7. 인재 확보
대부분의 클라우드 관련 스킬들은 이전 IT 교육 과정에서 다루지 않았던 것들이다. 그러므로 현장의 IT 전문가들이 스스로 스킬업을 해야만 한다. 시장 전체로 보자면, 적절한 인재를 찾는 게 쉽지 않다는 뜻으로 이어진다. “아마존 좀 다룰 줄 안다고 클라우드 전문가가 되는 게 아닙니다. 기존의 상식과 사고방식을 뒤엎어야 잠재력을 발휘할 수 있는 환경이 바로 클라우드이니까요.” 팔라니아판의 설명이다.

그런 클라우드의 잠재력을 온전히 이해하고 있으며 끌어내기까지 할 수 있는 사람은 아직 많지 않다. 늘어나고 있지만 아직 충분하지 않다. “시간이 지나면 충분한 인재가 확보될 수도 있습니다. 지금 과도기에 겪는 문제라고도 할 수 있지요. 하지만 인구가 빠르게 줄어들고 있기 때문에, 시간이 지난다 한들 사람을 구하는 게 쉬워질까 하는 의문이 드는 것도 사실입니다. 어쩌면 새로운 개념의 인재 고용 및 운영 방식이 필요한지도 모르겠습니다.”

글 : 리사 모건(Lisa Morgan), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)