클라우드 서비스

구글 “클라우드서비스 선택권은 사용자 몫, 국가는 표준에 신경써야”

이민형 기자
- 에란 파이겐바움 구글 보안총괄 “오픈소스 활용한 클라우드 국제 규격 만들어야”

[디지털데일리 이민형기자] “클라우드 컴퓨팅 서비스를 규제한다는 것은 마치 인터넷을 규제하는 것과 동일합니다. 인터넷을 통제하면 당장 사용자들이 불편해하는 것 처럼 클라우드 서비스도 마찬가지입니다.”

에란 파이겐바움 구글 엔터프라이즈 보안총괄(Director of Security, 디렉터)<사진>은 21일 서울 역삼동 구글코리아 사무실에서 열린 ‘인터넷개방성 포럼’에서 전세계 국가들이 클라우드에 대한 규제를 최소화하고 글로벌 표준을 만들어야한다고 주장했다.

파이겐바움 디렉터는 “전세계 국가들은 클라우드 서비스에 대한 규제를 최소화함과 동시에 통일된 규제를 만들기 위해 노력해야 한다”며 “국가간 클라우드 서비스 정책이 다르다면 결국 불편해지는 것은 사용자이기 때문”이라고 말했다.

최근 클라우드 서비스 업계에서는 클라우드 서비스간 상호운용이 가능하도록 표준을 제정하는 것에 관심이 몰려있다. 국가별로 규제는 만들어주고 있으나 국가 간 일치된 규제는 찾아보기 힘들다.

클라우드 서비스는 각 서비스간 상호연동이 될 때 큰 힘을 발휘할 수 있다. 다양한 애플리케이션, 서비스를 한번에 연동해 사용할 수 있기 때문이다.

이를 위해서는 표준화 작업이 필요한데, 클라우드 시스템간 연동성, 가상머신의 이동성, 품질, 보안 등의 형식이 동일해야한다.

파이겐바움 디렉터는 “전세계적으로 통용될 수 있는 표준들을 적극 활용해 클라우드 서비스 표준을 만들어야 한다”고 강조했다.

클라우드 서비스를 사용하거나 구축하려고 하는 기업들은 여전히 보안에 대한 불안감을 가지고 있다. 클라우드 스토리지에 올라가 있는 데이터들을 클라우드 서비스 사업자들의 보안시스템을 아직 신뢰하고 있지 않고 있다는 점이다.

파이겐바움 디렉터는 “최근 포츈이 선정한 10대기업의 C레벨을 만나서 이야기를 나눈 적이 있다. 그들은 클라우드 보안으로 인해 밤잠을 설친다고 한다”고 운을 뗐다.

이어 “클라우드는 전통적인 시스템에 비해 보안성이 높다. 전통적인 시스템과는 전혀 다른 체계를 갖추고 있기 때문”이라고 설명했다.

물리적인 스토리지에 소프트웨어나 애플리케이션을 설치해 사용할 경우 분명 취약점이 발생한다. 소프트웨어 개발업체들은 이에 대한 보안패치를 배포하고, 사용자들은 취약점이 발생할 때마다 보안패치를 적용해야하는 불편함이 있다.

실제 마이크로소프트는 매달 둘째주 화요일에 보안패치를 실시하는데, 이 보안패치가 사용자들에게까지 배포되는데 걸리는 시간이 25~56일 정도가 소요된다는 통계자료를 내놓기도 했다. 반대로 생각하면 보안패치를 적용하지 않은 시스템은 위협에 노출될 수 있다는 의미다.

파이겐바움 디렉터는 “클라우드 서비스에서는 사용자가 보안에 대해 전혀 신경 쓸 필요가 없다. 단지 서비스를 사용만 하면 될 뿐이다”라며 “이제 보안에 대한 고민은 클라우드 서비스 사업자들의 몫이 됐다. 그들은 지금도 계속해서 보안시스템을 강화하고 있다”고 강조했다.

한편 파이겐바움 디렉터는 구글 앱스의 보안시스템에 대해서도 설명했다. 다음은 파이겐 바움 디렉터와의 일문일답

- 구글은 클라우드 서비스의 보안과 무결성을 어떻게 보장하고 있는가

“구글은 300명의 보안인력을 보유하고 있으며, 보안과 관련된 연구를 해왔던 전문가들도 매우 많다. 그 외에도 데이터센터를 지키는 물리보안 시스템도 갖추고 있고, 정기적인 내부감사, 컴플라이언스 담당팀도 존재한다. 또 24시간, 7일 내내 근무를 하는 보안팀이 있으며 다양한 국가에 퍼져있어 고객의 보안과 프라이버시 보호를 위해 노력한다.”

- 구글 앱스 사용자들의 데이터는 어떻게 관리되고 있는가

“구글 앱스 사용자들의 모든 데이터는 조각조각 나눠져 서로 다른 데이터센터에 보관되게 된다. 이는 특정 데이터센터가 해킹 당했을 경우에도 고객의 모든 정보를 알지 못하도록 막는 최소한의 장치다.

장애가 발생할 경우에도 서비스를 지속적으로 제공하기 위해 우리는 사용자의 데이터를 6개의 서버에 복사를 해둔다. 대부분의 기업들이 비용절감을 위해 하나의 서버에 모든 데이터를 넣는 것과는 차원이 다른일이다.

이는 멀티테넌트 환경으로 사용자의 요청이 들어올 시 가장 가용성이 좋은 서버에서 데이터를 전송하기 위한 시스템이기도 하다.”

- 최근 구글이 수행한 보안관련 프로젝트는 무엇인가

“구글은 약 한달전 ISO27001 인증을 받았다. 이 인증은 받기 위해 구글은 많은 노력을 했으며 사용자들에게 투명한 운영을 보여줄 수 있게 됐다.”

주석 : ISO27001은 국제 표준 정보 보호 관리 체계(ISMS: Information Security Management System) 인증으로 국제표준화기구(ISO)에서 제정한 국제 정보 보호 관리 체계 국제 규격이다. BS7799를 기반으로 만들어진 ISO 17799를 새로운 국제 표준인 ISO 27001로 승격, 위험 관리와 보안 정책 자산 분류 등 11개 분야 133개 항목에 대한 규격을 담고 있다.

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널