Home > 전체기사

[주말판] 클라우드 마비 요인과 피해액, 그리고 기업이 할 일

  |  입력 : 2022-08-13 21:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
클라우드의 마비는 예측불허의 사고다. 대단한 손실이 일어나는 건 분명한데, 사실 그 손실이라는 것의 실체를 아무도 알지 못한다. 그 와중에 클라우드 업체들은 점점 책임으로부터 벗어나려 하고 있고 가입 고객들만 ‘독박’을 쓰는 형국이 되고 있다. 덩달아 보험 업계도 복잡해지는 중이다.

[보안뉴스 문정후 기자] 클라우드가 마비되는 데에는 여러 가지 이유가 있을 수 있다. 소프트웨어 버그, 예기치 못한 정전, 설정 오류, 자원 고갈, 데이터센터의 냉각 오류 등 얼른 떠오르는 것만 해도 한두 개가 아니다. 클라우드 업체들은 이런 사건들이 일어날 때마다 직접/간접적으로 학습하고 교훈을 받는다. 그리고 더 강력한 혹은 더 안정적인 서비스 제공자가 된다. 그렇기에 클라우드의 초창기라고 할 수 있는 지금, 갖가지 사고들이 반드시 나쁜 것만은 아니다.

[이미지 = utoimage]


하지만 클라우드 고객들에게 있어서는 이야기가 조금 다르다. 클라우드 업체에는 성장통일 수 있는 사건이 고객에게는 뼈 아픈 손실이 될 수 있어서다. 마비 한 번에 천문학적인 금액이 사라지기도 하고, 그 마비의 지속 시간이 길어지면 길어질수록 손해는 배로 늘어난다. 재보험 회사인 가이카펜터(Guy Carpenter)와 사이버 위험 분석 플랫폼인 사이버큐브(CyberCube)가 2019년 발표한 보고서에 따르면 기업에 가장 큰 손해를 미칠 수 있는 단일 사건 중 하나가 클라우드 마비라고 한다.

하지만, 손해가 크다 크다 하는데, 그 손실과 피해를 정량적으로 측정하는 게 가능할까? 어떻게 해야 피해를 줄이고 복구를 최대한 빠르게 할 수 있을까? 법적인 조치를 취해 클라우드 업체에 손해 배상을 시키는 것이 능사일까? 그렇다면 클라우드 업체도 결국 서비스 마비로 인해 큰 위기를 겪게 되는 것 아닐까?

클라우드 마비로 인한 손실액
클라우드 마비로 인해 발생하는 피해액에 대한 의견은 제각각이고 측정 방법도 제각각이며 그러므로 예상 수치도 제각각이다. 그도 그럴 것이 클라우드 마비로 분류되는 상황이 사실은 수없이 많고, 각 상황별로 기업이 입는 피해도 다르기 때문이다.

1) 클라우드 성능 최적화 전문 기업인 글로벌닷츠(GlobalDots)에 의하면 클라우드 마비 시간 1분 당 평균 기업이 입는 피해액은 5600달러라고 한다.

2) 보험사인 파라메트릭스(Parametrix)에 의하면 클라우드 마비 시 기업은 최대 분당 9천 달러까지 손해를 볼 수 있다고 한다.

3) 2018년 로이드(Lloyd)의 보고서에 의하면 대형 클라우드 마비 사태가 일어날 경우 대비가 상대적으로 불완전한 중소기업들에 피해가 특히 크다고 한다. 총 손실의 63%가 중소기업들의 부담이 될 수 있다고 로이드는 보고 있다.

4) 2017년 베리타스(Veritas)는 클라우드 마비 시간 동안 실질적으로 피해를 입는 영국 기업은 1/4도 되지 않는다고 발표했다.

이처럼 모두가 제각각의 주장을 펼치고 있는 것은 피해액 계산을 한다는 게 그만큼 힘들다는 뜻이 된다. 기업마다 클라우드 의존도가 다르고, 사용하는 클라우드 서비스의 수도 다르며, 용도도 다르다. 프로젝트 하나를 가볍게 클라우드에서 실험적으로 진행하는 기업이라면 피해가 없다시피 할 수도 있고, 온프레미스를 더 이상 사용하지 않을 정도로 클라우드에 의존하는 기업이라면 사업을 접을 정도의 피해를 입을 수도 있다. 클라우드 마비로 인해 데이터 유출 사고가 발생했다고 한다면, 순수 손실 외에 적잖은 벌금까지도 내야 한다. 

게다가 측정이 정말 어려운 피해도 있다. 예를 들어 소셜미디어나 각종 커뮤니티에 입소문이 돌기 시작하는 것은 분명히 기업에 좋지 않은 일이지만 정량적으로 측정하기가 어렵다. 어떤 고객들은 단번에 경쟁사와 거래를 시작할 것이기도 하고, 내일부터 고객이 될 수 있었던 사람들이 입소문 때문에 마음을 고쳐먹을 수도 있다. 눈에 보이지 않는 손실들이다. 생각할 게 한두 가지가 아닌 것이다.

클라우드 서비스 업체와의 계약이 중요
기본적으로 클라우드 서비스 제공 업체들은 이러한 고객들의 손실에 대해 보상해 주지 않는다. 클라우드 산업 자체의 표준처럼 굳어져 가고 있는 현상이기도 하다. 클라우드 업체들은 손해 보상에 대하여 점점 더 수동적으로 변하고 있으며, 이제는 사실상 아무런 책임을 지려 하지 않는다. 기껏해야 계약된 사용 기간을 연장해 주는 정도다. 일부 클라우드 업체들은 보험에 가입해 만에 하나 고객들이 입을 수 있는 피해를 최소화 하려 노력하고 있는데(구글 클라우드), 이는 극소수다.

로펌 코헨지퍼프렌치먼앤맥케나(Cohen Ziffer Frenchman & McKenna)의 보험 분야 파트너인 신디 조르다노(Cincy Jordano)는 “클라우드 업체와 계약할 때 어떤 보험에 가입되어 있는지, 혹은 보험에 준하는 정책이나 제도가 마련되어 있는지 확인하고, 사후 손실 보존과 관련된 계약 사항을 추가하는 것이 좋다”고 권장한다. 물론 보험에 가입되어 있다고 하더라도 클라우드 고객사에 유리한 조건일 리는 없으니, ‘보험이 있다’는 사실 자체에 만족할 것이 아니라고 조르다노는 강조한다. 

“리스크 요인을 클라우드 제공 업체와 고객사가 어떤 식으로 분담할 것인지를 협상하는 게 중요합니다. 물론 지금 클라우드 업계의 선두주자들이 하나 같이 리스크를 전혀 부담하지 않으려 하고 전부 고객사에 밀어둡니다만, 그래도 짚고 넘어가는 것과 그냥 서명하는 것에는 차이가 존재합니다.” 사이버 보험사인 리질리언스(Resilience)의 수석 보장 책임자인 마이클 필립스(Michael Phillips)의 설명이다. 

“게다가 공공 클라우드는 멀티테넌트 환경입니다. 고객들마다 요구하는 것과 필요로 하는 것이 다르기  때문에 서비스를 맞춤형으로 제공해야 하는데, 아직은 불가능한 일입니다. 책임 소재를 분명히 하는 게 대단히 어려운 환경이죠. 그렇기 때문에 제대로 된 서비스 수준 협약을 제공하는 클라우드 업체들이 거의 없는 게 현실입니다.” 로펌 컬헤인미도우즈(Culhane Meadows)의 파트너 리사 로빈스키(Lisa Rovinsky)의 설명이다. “하지만 분명히 바뀌어야 할 부분이라고 봅니다. 클라우드 고객들이 계속해서 리스크 공동 분담이나 손해 배상과 같은 것을 요구하면 바뀔 수 있습니다.”

결국 클라우드 업체의 현재 태도를 바꾸는 것은 고객들의 지속적인 요구일 것이라는 뜻인데, 지금 당장 할 수 있는 일은 고객으로서 계약서를 최대한 ‘빡빡하게’ 작성하는 것이라고 로빈스키는 말한다. “표준 계약서 같은 건 아직 클라우드 업계에 있지도 않고, 적절하지도 않습니다. 그래서 기업별로 맞춤형 계약서를 작성하는 게 현재의 트렌드입니다. 물론 맞춤형 계약을 하면 초기 비용이 더 들어갈 수 있습니다만, 장기적으로 보면 그게 더 안전할 수 있습니다. 특히 클라우드 마비 사태가 종종 일어나는 지금 상황에서는요.”

하지만 이런 조언이 비현실적이라는 의견들도 존재한다. IT 컨설팅 업체인 인포시스컨설팅(Infosys Consulting)의 CIO 엘리자베스 에버트(Elizabeth Ebert)는 “클라우드에 뭔가를 추가로 요구할 때마다 발생하는 가격 상승률은 어마어마한 수준”이라며 “그렇기 때문에 고객사로서 뭔가를 공격적으로 요구하는 게 사실 매우 어려운 일”이라고 지적한다. 같은 회사의 사이버 보안 전략 파트너인 조셉 윌리엄즈(Joseph Williams)는 “사실 지금은 클라우드 업체가 갑인 상황”이라며 “넷플릭스 정도만 제외하면 클라우드를 을로 대할 수 있는 업체가 거의 없다”고 말한다.

로빈스키는 “그래서 협상이 쉽지 않은 건 사실”임을 인정하며 “클라우드 업체가 이전에 겪었던 마비 및 정전 사태를 언급해야 한다”고 조언한다. “사건이 어떻게 발생했고, 얼마나 지속됐으며, 그래서 기업들이 어떤 피해를 입었는지 따져야 합니다. 그리고 그런 사건이 다시 발생하지 않도록 하기 위해 클라우드 업체가 무엇을 했으며 어떤 조치를 취해 왔는지도 물어야겠죠.”

보험
보험으로 클라우드와 관련된 리스크를 모두 다루는 것도 지금으로서는 불가능한 일이다. 필립스는 “사이버 보험은 아직 자리를 못 잡고 있는 분야”라고 지적한다. “사이버 보험의 적절한 보상 금액이나 보장 정책이라는 것도 아직 논란의 대상이죠. 아직 그 누구도 명확한 계산법을 제시하지 못하고 있어요. 그런 가운데 사이버 사건으로 인한 피해는 천문학적으로 늘어나고 있고요. 그러니 보험도 덩달아 비싸지고 있죠. 클라우드에 가입하면서 적절한 보험 프로그램을 찾는 것은 대단히 복잡한 일이고, 아마 찾아내기도 힘들 겁니다. 비용이 비쌀 것은 말할 것도 없고요.”

그럼에도 비용을 어느 정도 낮출 수 있는 방법이 존재하긴 한다. 보험사 입장에서는 업체가 데이터의 무결성이 잘 유지하고 강력한 복구력을 갖추고 있음을 볼 수만 있다면, 흥정의 창구를 보다 유연하게 열어줄 수 있게 된다. 데이터 저장소를 꼼꼼하게 분류하고 모니터링해서 최대한의 가시성을 확보해 조금의 비정상 현상도 얼른 잡아낼 수 있다면, 보험사로서 흡족할 수밖에 없다. 탄탄한 백업 정책과 시스템도 보험사를 안심시킬 수 있다. 클라우드의 가입 여부를 떠나 근본적인 데이터 보안 기술과 정책이 자리를 잘 잡고 있다는 것을 확인시켜 줄 수 있다면 가격 협상의 가능성이 생긴다는 것이다.

“데이터 보안과 관련된 기업의 체질이 출중하다면, 많은 고객을 두고 있는 보험사 입장에서는 다른 기업들과 비교할 수밖에 없게 됩니다. 돋보인다는 거죠. 그렇다면 보험사 입장에서 그 기업은 잡아두고 싶은 고객이 되는 것이고, 그러면 유리한 조건을 제시하게 됩니다.” 필립스의 설명이다. 조르다노는 “요즘 같은 때에는 데이터 보호를 위해 파트너사들과도 협조를 하고 있다는 걸 보여주면 더 많은 점수를 얻을 수 있다”고 귀띔한다.

클라우드를 마비시키는 것들
위에서도 언급했지만 클라우드 마비의 ‘요인들’도 중요한 변수가 된다. 랜섬웨어 등 각종 사이버 공격들은 현존하는 사이버 보험으로도 어느 정도 보상의 대상이 된다. 하지만 클라우드를 마비시키는 모든 요소들 중 보험사들이 인정하는 것은 극히 일부일 뿐이다. 파라메트릭스의 CTO인 네타 로지(Neta Rozy)는 “사이버 보안과 클라우드 다운타임은 완전히 다른 것”이라고 지적한다. 

“의외로 많이 헷갈려 하는데, 사이버 보험에 가입되어 있다고 해서 클라우드 관련 사고까지도 보장받을 수 있는 건 아닙니다. 보험사가 말하는 사이버 공격은 누군가의 악의로 인해 벌어진 것이고, 클라우드 마비 혹은 다운타임은 불가항력적인 사고나 재난에 가깝습니다. 완벽한 클라우드는 없고, 다운타임은 예측을 불허하기 때문입니다.”

사이버 보안 사고나 공격으로 인해 다운타임이 벌어질 수도 있지만 아닐 수도 있다. 사이버 공격과는 전혀 무관한 이유로 클라우드가 마비되는 일도 많다. “그렇다는 건 기업 입장에서 사이버 사고와 관련된 보험에도 가입해야 하고, 클라우드를 사용하기 위한 보험에도 가입해야 한다는 뜻입니다. 최소 두 군데 이상의 보험사에 매달 돈을 내야 기본적인 안전을 보장받을 수 있다는 것이죠. 그래서 차라리 보험사의 보험사인 재보험과 직접 상의하여 새로운 보험 프로그램에 가입하는 기업들도 하나 둘 늘어나고 있습니다. 아직 주류는 아닙니다만.”

또 보험사 혹은 재보험사들 중 구글이나 아마존과 같은 대형 공공 클라우드 업체와 직접 교섭하여 클라우드 서비스의 품질과 안정성을 측정하고, 그 데이터를 가지고 가입 기업들과 계약을 맺는 경우도 증가하는 중이라고 윌리엄즈는 설명한다. “보험 업계, 클라우드 업계, 클라우드 사용자 기업들 모두 여러 가지를 시도해보는 중입니다. 버려지는 게 있고, 고착화 되었지만 변해야 할 게 있고, 많은 좌충우돌이 일어나는 중이라고 볼 수 있습니다. 이러면서 점점 더 나은 상품들이 만들어지고 표준도 자리를 잡을 거라고 봅니다. 그러면서 클라우드 마비에 대한 안전망이 더 단단히 마련되고 있습니다.”

글 : 리차드 팔라디(Richard Pallardy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)