[보안칼럼] 다가올 클라우드 빙하기 속에서 죽느냐 사느냐!

미래의 IT환경 내다보고 준비하는 노력 필요

시장조사기관 IDC에 따르면 올해 세계 클라우드 컴퓨팅 시장 규모는 1,095억 달러가 될 것이며 오는 2014년에는 3,434억 달러를 넘어설 것으로 예상된다고 한다. 이미 국내 여러 대기업들도 스토리지 클라우드를 시작으로 퍼블릭 클라우드 컴퓨팅 기반의 다양한 비즈니스 서비스를 이미 하고 있거나 곧 출시를 준비하고 있다.

퍼블릭 클라우드 서비스는 주로 중소기업들이 프라이빗 클라우드 서비스는 대기업을 위주로 도입될 것이란 당초 예상과는 달리, 중소기업뿐만 아니라 대기업에 이르기까지 퍼블릭 클라우드 서비스는 이미 도입했거나 도입을 위한 준비가 상당히 진전되었다.

클라우드 서비스는 사용량에 비례하여 원하는 서비스를 단 기간 내에 이용할 수 있는 비즈니스 응답성 및 유연성을 제공할 뿐만 아니라 표준화된 프로세스와 일정 수준 이상의 보안 투자와 운영으로 비용 효과적으로 운영 효율성 확보 및 업계 표준 이상의 보안 인프라와 인력을 활용할 수 있는 장점을 대기업 역시 주목하고 있는 것이다.

그러나 클라우드 서비스를 도입하려는 기업 내 보안 인력이나 이들 기업에 보안 제품과 솔루션을 공급하려는 공급업체는 이런 환경 속에서 어떻게 달라질까? 우선 기업 내 보안 인력의 역할 변화에 대해 먼저 짚어 보고자 한다. 퍼블릭 클라우드 서비스를 도입하는 경우, 보안 인프라까지 대부분 제공하고 있고 별도로 기업 내에서 운영할만한 보안 인프라가 대폭 감소하기 때문에 기업 내 보안 운영 인력들의 축소는 불가피하다.

반면에 클라우드 서비스 제공 업체의 선택과 계약에 있어 보안 요구사항을 도출하고 협상하는 업무와 실제 서비스 이후에 계약 및 이행하기로 약속된 보안 서비스가 제대로 이뤄지고 있는지를 확인하는 업무가 매우 중요해 질 것이다. 즉 클라우드 컴퓨팅 하에서는 보안 기획이나 보안 아키텍처의 역할이 증대되고 다양한 테스트 방법론에 따라 클라우드 서비스 제공 업체의 보안을 테스트하는 보안 테스트 내지는 보안 감사자의 역할이 중요해질 것이다.

따라서 보안 운영 업무를 하고 있다면 미래를 위해 이런 분야에도 관심을 갖고 환경이 변화했을 때 업무를 수행할 수 있도록 준비하는 것이 필요하다. 그렇지 못한다면 퍼블릭 클라우드 서비스의 비즈니스 측면에서의 적극적 도입이 시작될 무렵 보안 인력, 특히 보안 운영 인력들에 있어서는 가혹한 빙하기를 맞게 될 것이다.

그럼 공급업체의 관점에서 보면 어떨까? 클라우드 환경 하에서는 일반 기업을 대상으로 하는 비즈니스는 더 이상 없다. 이미 인프라 자체를 빌려서 사용하고 있기 때문에 결국 몇몇 퍼블릭 클라우드 서비스 제공 업체들과 비즈니스를 해야 한다. 그럼, 프라이빗 클라우드 서비스인 경우에는 어떨까?

전 세계적인 추세로 볼 때 프라이빗 클라우드 서비스를 도입하려는 기업이 자체적으로 모든 클라우드 서비스를 하기 위한 컴포넌트를 하나 하나 개발하기 보다는 클라우드 서비스 플랫폼 자체를 도입하는 경우가 더 일반화되고 있다. 따라서 클라우드 서비스 플랫폼을 제공하는 글로벌 업체들과 비즈니스를 해야 한다는 점은 마찬가지이다. 결과적으로 수요가 제한되기 때문에 시장 원리에 따라 공급은 치열해질 수 밖에 없다.

물론 국내 대기업들이 클라우드 서비스 제공자로써 시장 참여를 시작하고 있다는 점은 매우 긍정적이다. 하지만 그렇다고 해서 국내 시장만 바라보고 안심할 수 있을까? 결국 국내 클라우드 서비스 역시 전 세계적인 클라우드 서비스 공급자와 경쟁해야 하고 때론 협업도 해야 한다.

싫든 좋은 국제적인 수준의 클라우드 서비스를 제공해야 한다. 그러다 보면 국내 클라우드 서비스라 해도 만만한 상황은 아니다. 말하자면 보안 공급업체에 있어서는 국내외를 막론하고 퍼블릭이든 프라이빗 클라우드 환경이든, 그 시기가 문제이지 빙하기는 예고되어 있다.

앞으로 다가 올 클라우드 빙하기 속에서 살아남기 위해서는 과연 어떤 것들이 필요할까? 우선은 국내 보안 회사들도 하루 빨리 국제 경쟁력을 확보해야만 한다. 그동안 정부에서 시장 장벽을 통해 국내 보안 회사를 지키기 위한 많은 노력을 기울여 왔다. 하지만 그 결과는 긍정적이지 못하다. 저가 수주와 낮은 유지 보수 요율. 솔직이 난 아직도 국내 소프트웨어라고 해서 외산과 다른 낮은 유지 보수 요율이 당연시되는 것이 이해되지 않는다.

정당한 대가를 주고 구매하고 적정 수준 – 적어도 외산 소프트웨어와 동일한 – 의 유지 보수 요율을 보장해 주며 보안 업체에서는 이 수익을 기반으로 기술 개발에 투자한다면 아니 그동안 그렇게 해 왔다면 지금처럼 국내 보안, IT 산업이 우려되는 상황은 적어도 아닐 것 같다.

다음은 클라우드 관련 기술을 제공하고 있는 전 세계 주요 업체들과의 협업과 그들의 커뮤니티에 같이 참여하여 보다 특화된 기술을 개발해야 한다. 앞서 본 바와 같이 이제 국내 시장과 해외 시장은 더 이상 구분되지 않는다. 클라우드 서비스 플랫폼을 구성하기 위한 전 세계 IT 업체들의 파트너쉽과 커뮤니티에 당당히 국내 업체들도 참여할 수 있어야 한다.

또한 클라우드 컴퓨팅 보안과 관련된 표준화 활동에도 보다 많은 관심을 갖고 적극적으로 참여해야 한다. 표준은 한번 정해지면 일종의 보안 산업의 규제처럼 작용하게 되고, 이를 반듯이 준수해야만 비즈니스를 할 수 있는 최소 요건이 되기 때문이다.

항상 그렇듯 언제나 여유는 없다. 다가올 미래를 내다보고 준비하는 것은 여유 속에서 하는 것이 아니라, 생존을 위해 하는 것이다. 다음에는 “보안, 시작부터 고려하고 투자하라!” 라는 제목으로 논의해 보고자 한다.
[글 _ 박형근 시큐리티플러스 운영자(phk@kr.ibm.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)