최근 은행권의 클라우드 컴퓨팅 보안에 대한 논의는 클라우드 컴퓨팅으로 전환하는 은행의 사이버 보안 환경에 대한 다소 암울한 그림을 그려내고 있다. 사실 클라우드 컴퓨팅의 가치에 대한 의문이 점점 더 많이 제기되면서 지난 몇 년 동안 이런 추세가 이어졌다. 불과 몇 년 전만 해도 "클라우드"를 비판하는 것이 금기시됐던 것과는 다른 양상이다.

ⓒ Getty Images Bank

<이미지를 클릭하시면 크게 보실 수 있습니다>

그때와 지금 사이에는 어떤 변화가 있었을까? 기업은 클라우드 컴퓨팅의 약점, 즉 비용이 너무 비싸고 이탈이 어렵다는 점을 알게 됐다. 그래서 퍼블릭 클라우드 서비스 업체의 문제점을 지적할 수 있게 됐고, 필자 역시 클라우드가 온프레미스보다 더 비쌀 수 있다는 점을 여러 차례 지적했다.

클라우드로의 마이그레이션은 종종 양날의 검으로 묘사된다. 확장성, 효율성, 비용 절감 측면에서 상당한 이점을 제공하는 동시에 금융 기관이 새로운 취약성과 사이버 위협에 노출될 수 있기 때문이다. 그러나 이런 식의 설명은 클라우드 보안의 복잡성을 지나치게 단순화해 사이버 보안에서 고려해야 할 광범위한 맥락을 간과할 수 있다.

클라우드 보안에 대한 오해

클라우드 컴퓨팅이 본질적으로 보안을 약화시킨다는 생각은 클라우드 업계의 보안 프로토콜과 관련 프랙티스의 발전을 고려하지 않은 일반화의 오류이다. 실제로 보안 솔루션 업체는 기존 온프레미스 시스템보다 클라우드용 보안 시스템을 개발하고 배포하는 데 훨씬 더 많은 비용을 지출하고 있다. 이런 투자 증가는 퍼블릭 클라우드 서비스 업체뿐만 아니라 서드파티 보안 툴 업체에서도 발생하고 있다. 따라서 클라우드 보안 기술은 일반적으로 온프레미스 솔루션보다 훨씬 우수하다.

클라우드 서비스 업체는 강력한 보안을 유지해야 할 책임이 있다는 것을 잘 알고 있다. 이 때문에 보안 연구, 보안 기술 개발, 규정 준수 인증에 많은 투자를 하고 있으며, 이는 다른 산업군과 비교해 월등히 높은 수준이다. 또한 클라우드 서비스의 중앙집중식 특성으로 인해 기존의 분산된 IT 시스템에 비해 더 빠른 업데이트와 보다 균일한 보안 패치 적용할 수 있다는 큰 장점도 있다.

그렇다면 왜 클라우드 보안에 의문을 제기하는 것일까? 퍼블릭 클라우드 서비스 업체의 아키텍처를 살펴보면 데이터가 물리 서버 클러스터에 있지만, 실제 물리 서버가 실제로 어디에 있는지는 알 수 없다. 이런 불확실성은 서버에 손을 댈 수 없기 때문에 보안에 문제가 생길 것이라는 두려움을 낳는다. 이는 실제 보안 문제라기보다는 불안감에 가깝다.

기술 역량은 또 하나의 근본 원인이다. 잘못된 구성이 클라우드 기반 시스템의 가장 일반적인 보안 위협이라는 지적이 많다. 물론 이는 사람의 문제이다. 퍼블릭 클라우드 서비스 업체가 아닌 사람이 보안 설정을 잘못 구성하고 이로 인해 침해가 발생한다는 것이다. 클라우드 서비스 업체를 탓할 문제가 아니지만, 금융업계는 클라우드 서비스 업체에 책임을 돌린다. 당연히 온프레미스 시스템에도 같은 위협이 존재하며, 어쩌면 클라우드보다 더 큰 위협일 수도 있다. 다만 클라우드의 보안 위협이 더 무섭게 느껴지기 때문에 간과되는 것일 뿐이다.

잘못된 비난

클라우드 취약점과 잘못된 구성을 악용하는 사이버 범죄자들이 위험을 증가시키고 있다는 지적이 많다. 그러나 이런 문제는 클라우드 컴퓨팅이 가진 결함보다는 기업 자체의 사이버 보안 프랙티스에 더 광범위한 문제가 있음을 지적하는 것이다.

또한 다양한 클라우드 서비스 업체의 보안 기능을 구별하는 것도 중요하다. 모든 클라우드가 똑같지는 않다. AWS, 구글 클라우드, 마이크로소프트 애저와 같은 주요 클라우드 서비스 업체는 기업의 요구 사항에 맞게 조정할 수 있는 고도로 정교한 보안 기능을 제공한다. 소규모 클라우드 서비스 업체는 이런 수준의 보안을 제공하지 않을 수 있는데, 이 때문에 클라우드 보안의 위험을 잘못 인식할 수도 있다. 소규모 서비스 업체의 보안이 효과적이지 않다는 뜻이 아니라 보안 시스템에 대한 투자가 적다는 의미일 뿐이다.

클라우드 보안과 관련된 논의에서 간과하기 쉬운 또 다른 측면은 기업이 온프레미스 및 클라우드 기반 인프라를 모두 보유한 하이브리드 모델의 역할이다. 하이브리드 클라우드를 통해 기업은 가장 민감한 데이터를 프라이빗 온프레미스 서버에 저장하는 동시에 덜 민감한 작업을 위해 클라우드의 유연성과 확장성을 활용할 수 있다.

마지막으로 이론적으로 현재의 암호화 방식을 무너뜨릴 수 있는 양자 컴퓨팅의 잠재적인 미래 위협도 짚어보자. 양자 컴퓨팅은 클라우드 기반 시스템뿐만 아니라 디지털 보안의 모든 측면에 영향을 미칠 수 있는 미래의 고려 사항이다. 그리고 클라우드 서비스 업체들은 어떤 기업보다도 빨리 새로운 위협으로부터 데이터를 보호하기 위해 양자 대응 암호화 기술을 연구하고 있다.

클라우드 컴퓨팅과 관련된 보안 위험은 가볍게 봐서는 안되지만, 균형 잡힌 시각을 유지하는 것이 중요하다. 필자는 클라우드 컴퓨팅 플랫폼이나 다른 어떤 플랫폼의 편파적으로 옹호한 적이 없다. 보안과 관련해서는 문제가 무엇이고 어떻게 완화할 수 있는지 정확히 이해해야 한다. 최근 퍼블릭 클라우드 서비스 업체들은 보안과 관련해 정당한 이유 없이 평판이 좋지 않다. 하지만 이 때문에 애플리케이션과 데이터를 호스팅할 플랫폼에 대한 평가 자체가 흐려져서는 안 된다.
editor@itworld.co.kr

David Linthicum editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지