[특별기고-10]개방적이고 비용 효율적인 보안이 중요함을 알아야 한다

‘클라우드 컴퓨팅’과 ‘스마트폰’ 이야기

정말 요즘, 많은 사람들의 각광을 받고 있는 이야기입니다. 오늘도 저는 국내 경제지에서 다음과 같은 기사를 보았습니다.

"갈수록 커지는 구글 파워…스마트폰ㆍ태블릿ㆍ넷북까지 노린다", 한국경제(http://www.hankyung.com/news/app/newsview.php?aid=2010020704881&sid=01040202&nid=000&ltype=1)

이 기사를 읽어보면 마치 구글과 애플의 전쟁인 듯 느껴집니다만, 구글이 승리를 예감하는 이야기입니다. 안드로이드 OS를 개방한 구글은 Web 2.0, SaaS(software as a service)와 같이 최근 잘 알려진 기술 경향들과 연관성을 가지는 일반화된 개념으로서 사용자들의 컴퓨팅 요구를 만족시키기 위해 인터넷을 이용하며 결국 구글의 검색과 광고 수익을 보장할 수 있는 최고정점에 구글을 위치 시킬 수 있는 것입니다. 반면 앱스토어 등 다양한 어플리케이션과 놀라운 사용자 인터페이스를 자랑하는 애플은 제조업체 등과의 호환 문제점을 가지고 있습니다.

‘그리드 컴퓨팅(Grid Computing)’과 같은 개념에서 출발한 ‘클라우드 컴퓨팅(Clouding computing)’도 마찬가지 입니다. "클라우드 컴퓨팅이란, 인터넷 기술을 활용하여 가상화된 IT자원을 서비스로 제공하는 컴퓨팅으로, 사용자는 IT자원을 필요한 만큼 팔려서 사용하고, 사용한 만큼 비용을 지불하는 컴퓨팅을 지칭한다."

<클라우딩 컴퓨팅 분석 : 박근채, 백승욱>

클라우드 컴퓨팅은 IaaS(Infrastructure as a Service), PaaS(Platform as a Service), SaaS(Software as A Service) 등의 중요한 개념이 있어 사용자는 인터넷 이용에 대단한 효율성을 가지게 만들어 줍니다. 당연히 SaaS 개념과 같이 소프트웨어는 최소화된 서비스의 개념으로 이해가 돼야 합니다.

이들의 장점과 단점, 그리고 보안

스마트폰, 클라우드 컴퓨팅 등은 모두 효율성(Efficiency)을 극대화하는데 초점이 있습니다. 경제는 정치와 연관하여 효율성과 공평성의 조화이라고 합니다. 효율성이 모든 인간사회에서 중요합니다.

에릭 슈미츠 구글 CEO는 지난해 말 한 포럼에서 "5년 후 10억 명이 주머니에 슈퍼컴퓨터를 넣고 다닐 것"이라고 말했습니다.

‘안드로이드 스마트폰 OS’, ‘크롬 OS’ 등은 공개되고 복잡한 OS의 기능을 최소화하고 브라우저 하나만으로 워드, 엑셀 등 문서작업까지 모두 웹에서 빌려 쓰는 클라우드 컴퓨팅 개념을 적용합니다.

OS 기능을 축소, 바이러스나 악성코드가 침투할 여지도 줄일 수 있다는 것이 구글의 설명입니다.

클라우드 컴퓨팅에서도 사용자를 위한 저비용 컴퓨터가 가능하고, 다양한 서비스의 가능, 다양한 접근 기기 활용이 가능하며, 소프트웨어 비용 절감과 편리한 업데이트 등이 장점입니다.

하지만 정보를 저장하는데 있어 인터넷 등에서의 서버에 의존한다든가(Confidentiality, Integrity) 인터넷 및 서버 장애의 경우 사용에 문제를 일으킨다든가(Availability) 하는 등의 문제점이 있습니다.

아래 그림을 보면 저는 기존 인터넷과 이동무선망은 어차피 복합화 된 ‘유무선 통합망’을 지향하기에 기존의 인터넷 환경과 스마트폰 환경이 다르지 않다고 생각합니다. 무선통신사업자(Mobile Carrier)는 무선망을 기본으로 하지만 기존 유선망에도 같은 스니퍼(Sniffer)가 있지 않습니까? 유통되는 정보를 가로채 유출하고, 변조하고, 서비스를 위장(Fake)하며 서비스를 방해하는 것은 같은 논리입니다.

모바일OS가 지금까지 낮이 익지 않았다는 것뿐입니다. 아마 스마트폰 제작 업체가 감시, 탐지, 치료하는 방안을 잘 해나갈 것입니다. 모바일 악성코드도 일반 악성코드와 마찬가지로 진행되지 않겠습니까? 공인인증서 등의 문제점도 모바일 환경에 의한 것이 아닐 수 있습니다.

SaaS(Software as a Service), SaaS(Security as a Service)/Security Service on Demand

사용자가 보았을 때 SaaS는 엄청난 이점이 있습니다. 엄청남 금액과 인력, 절차에 드는 비용보다 SaaS업체가 제공하는 서버에 인터넷을 통하여 접속한 후 요구하는 소프트웨어를 필요한 기능, 필요한 기간만큼 이용하여 사용한 만큼만 비용을 지불하면 되는 것입니다.

예를 들어 구글, 네이버 등 포털 업체가 제공하는 문서작성, 엑셀 등을 이용하며, 네이버 백신 등을 무료로 이용하면서 자신의 PC를 악성코드로부터 보호하는 것입니다. 다만 SaaS를 이용할 때 결과물인 출력 데이터 등이 제공서버에 남을 수 있고 제공하는 인터넷 서버의 안정성이 중요하지요.

저는 소프트웨어가 아닌 보안(Security)으로서 SaaS를 혹은 요청에 따르는 보안 서비스를 생각하고 있습니다. 'Traditional Software'를 'Traditional Security Solution'으로 본다면 엄청난 액수의 비용적 부담을 안고 가야 하는 문제에 봉착하게 됩니다. 또한 비즈니스 경향도 다음을 따르고 있습니다.

- 컴포넌트의 유연한 통합을 통한 작은 규모의 패키지화

- 비용효과적 접근

- 손쉬운 적용과 재구성, 업데이트의 용이성

- 산업어플리케이션 표준 적용

하지만 고전적 접근은 매우 큰 규모의 패키지에 따르는 고액의 도입 및 유지 보수비용이 요구됩니다.

특히 비용 문제는 다음 그림과 같은 예상하지 못하는 비용(Hidden Cost) 문제를 고려했을 때 SaaS가 더욱 저렴합니다. 전통적인C/S 환경에서는 구현, 하드웨어, 인력, 유지보수, 훈련 등에 90%가 소요된다고 합니다.

위키피디아에서는 SaaS에 대한 정의를 다음과 같이 내리고 있습니다.

(http://en.wikipedia.org/wiki/Security_as_a_service)

SaaS는 사용자의 요구에 따르는 인터넷 기반 보안서비스를 의미하고 이는 ‘Everything as a Service’라는 비즈니스 경향에 근거합니다. 특히 ‘Anti’가 붙는 각종 응용인 ‘안티바이러스(Anti-Virus)’, ‘안티스팸(Anti-Spam)’, ‘안티스파이웨어(Anti-Spyware)’ 등이 대표적입니다. 물론 무료 제공이지만 ‘네이버백신’이 대표적입니다. 기업차원에서는 ‘로그관리’, ‘자산관리’ 등이 포함됩니다.

2001년부터 시큐어 웹 게이트웨이(SWG, Secure Web Gateway) 활동이 시작되면서 데이터센터의 어플리케이션 접속 정책에 따르는 웹 트래픽(Traffic)을 통한 서비스를 제공하는 것입니다. 관련 기업은 Symantec, Brightmail (acquired by Symantec in 2007), Watchfire, Syntensia, Jamcracker and VeriSign. Webroot, Comendo, Comsenso, MessageLabs (acquired by Symantec in October 2008), Internet Security Systems, McAfee, Grove Group, HP Software, Optenet, Perimeter eSecurity, Panda Software, Purewire, Qualys, ScanSafe, Trend Micro, Tricipher, Trustwave, VeriSign, Vigilar and Zscaler 등이 있습니다.

이러한 SaaS 기업들의 특징은 다음과 같습니다.

- 외부 위협에 대응하는 정기적인 업데이트가 요구되는 시장, anti-virus, anti-spyware 등

- 스스로는 관리하기 어려운 고수준의 서비스이며 원격관리가 요구되는 유자보수, 보안스캐닝, 패치관리 등

- 외부 아웃소싱 관리비용이 더 저렴하고 효과적인 로그관리, 자산관리, 인증관리 등

SaaS는 다음과 같은 특징이 있습니다.

- 솔루션에 비하여 비용효과적인 보안서비스 제공

- 매우 빠른 속도로 문제점을 파악하고 결과를 통보하여 보안 QA 체계 정착 지원

- 개발코드 수정을 잘 할 수 있도록 도와주는 Practice 기반의 컨텐츠 제공

<연재 순서>

1. 대한민국 보안, 무엇을 바꾸어야 할까요?

2. 보안뉴스 TSRC의 보안 개념과 10개의 이슈

3. 보안은 한 사람이 아닌 대중이 만들어 가야 한다.

4. 보안 전문가는 국가의 소중한 자산이 되어야 한다.

5. 기술보다 실천 경험이 더 중요하게 여겨져야 한다.

6. 한 사람의 지식이 아닌 집단적인 지식이 필요하다.

7. 지식의 문서화, 전략정보화가 중요함을 알아야 한다.

8. 사용자들에게 단순 명료하면서도 풍부한 보안을 제공하여야 한다.

9. 절대적 보안 아닌 객관상대적 보안을 이루어야 한다.

10. 보안 기술만이 보안의 필수 요소라고 믿지 말아야 한다.

11. 개방적이며 비용 효율적 보안이 중요함을 알아야 한다.

12. 선진국 보안을 위하여 과학적, 민주적인 보안접근이 필요하다.

[글 · 임채호 보안뉴스 TSRC 센터장(chlim@boannews.com)]

*TSRC: Trusted Security Research Center

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)