특히 지난 2013년 2월 유럽네트워크정보보안기구(ENISA)는 클라우드를 통한 IT자원 집중화가 진행되면 가동 중단 과 보안 침해 등 더 큰 피해를 야기할 수 있다고 강조한 것에 대비돼 더욱 주목된다.

우도 헤름브레트(Udo Hermbrecht) ENISA 박사는 24일(현지시각) 미국 샌프란시스코 모스콘센터에서 열린 CSA서밋 2014(Cloud Security Alliance Summit 2014) 기조연설을 통해 최근 EU에 속한 국가의 정부들이 클라우드 컴퓨팅 도입 확산에 나서고 있다고 말했다.

헤름브레트 박사는 “EU의 국가들은 시민과의 상호작용을 보다 신속하고 편리하게 할 수 있도록 공공서비스에 클라우드 컴퓨팅을 적용하고 있다”며 “비록 특정 영역에 대한 보안취약점과 개인정보 대량유출에 대한 위험은 여전히 남아있으나 뛰어난 성능과 비용절감, 확장성은 새로운 기회가 되고 있다”고 설명했다.

EU에 속한 각 국가들은 클라우드 컴퓨팅을 도입함으로써 얻을 수 있는 기회와 위험에 대해 많은 고민을 해왔다. 기존의 컴퓨팅보다 클라우드 컴퓨팅이 가진 다양한 이점에 주목하면서도 이를 도입함으로써 얻을 수 있는 리스크에 대한 연구도 함께 진행했다.

헤름브레트 박사는 “클라우드 컴퓨팅으로 공공서비스를 구축할 경우 ICT와 보안에 있어서 크나큰 장점이 될 수 있으며, 유지관리와 모니터링의 편리함도 함께 누릴 수 있다. 궁극적으로 사용자가 급격히 몰리거나 디도스(분산서비스거부, DDoS)와 같은 공격이 있더라도 대응할 수 있다”고 강조했다.

클라우드 컴퓨팅 도입으로 발생할 수 있는 리스크에 대해 헤름브레트 박사는 아웃소싱과 컴플라이언스 이슈가 가장 크다고 지적했다.

그는 “공공서비스를 클라우드 컴퓨팅으로 전환할 경우, 정부는 클라우드 컴퓨팅 서비스와 관련된 통제권을 서비스 제공업체에게 넘겨줘야 한다. 이는 보안에 부정적인 영향을 끼칠 수 있다”며 “특히 데이터가 여러 곳에 저장돼 있어 사고 발생시에도 안전한 서비스가 가능하지만 해당 데이터를 보관하고 있는 데이터센터의 위치에 따라 인증이나 법적인 문제가 발생할 수 있다”고 지적했다.

EU는 이러한 위험을 최소화하기 위해 공동으로 클라우드 컴퓨팅과 관련된 규정을 제정하고 있다. 2010년 처음으로 만들어진 해당 규정은 기술론적, 방법론적 등으로 발전돼 갱신됐다.

헤름브레트 박사는 최근 EU가 유럽 국가에 클라우드 컴퓨팅 도입을 추천하고 있다고 설명했다. 다만 도입의 형태는 다소 상이하다. 프랑스와 스페인, 독일은 프라이빗 클라우드 컴퓨팅을, 터키, 우크라이나, 그리스는 퍼블릭 클라우드 컴퓨팅을 도입했다.

ENISA는 정부클라우드(Gov Cloud)를 비즈니스 모델로 만들고 이에 대한 SLA(서비스수준협약) 프레임워크에 대한 개발도 진행해야한다고 주장한다.

헤름브레트 박사는 “정부가 클라우드 컴퓨팅을 도입하기 위해서는 가장 먼저 서명, 암호화, 알고리즘, 표준화 등과 같은 작업이 선행돼야 한다. 무엇보다도 정부는 클라우드 컴퓨팅 도입으로 사용자들에게 편의와 안전을 보장해야 한다”고 강조했다.

한편 이날 헤름브레트 박사는 CSA서밋에서 주최하는 ‘인더스트리 리더십 어워드(Industry Leadership Award)’를 수상했다. 인더스트리 리더십 어워드는 클라우드 컴퓨팅 시장에 긍정적인 영향을 미친 인물에게 수여되는 상이다.

수상 소감으로 헤름브레트 박사는 “ENISA를 대신해 수상하게 돼 영광이다”며 “클라우드는 혼자만의 힘으로 할 수 있는 것이 아니다. ENISA는 CSA와 제휴를 통해 EU가 클라우드 보안의 핵심 지역이 될 수 있도록 노력할 것”이라고 말했다.

이번 수상은 마이크로소프트 스콧 차니 부사장, 트렌드마이크로 에반 첸 최고경영자 이래 세번째다.

<샌프란시스코(미국)=이민형 기자>kiku@ddaily.co.kr