클라우드 리포트

[주간 클라우드 동향] 클라우드 서비스, 과연 안전한가…보안성 미흡 지적

백지영
디지털데일리는 클라우드 정보를 집대성하는 전문 사이트 ‘디지털데일리 클라우드(
http://www.ddaily.co.kr/cloud)’를 오픈함에 따라, 매주 클라우드 관련 소식을 한 눈에 볼 수 있는 ‘주간 클라우드 동향 리포트’를 매주 월요일 연재합니다.

클라우드 서비스에 대한 보안 우려가 커지고 있는 가운데, 현재 진행 중인 국정감사에서 국내에 서비스되고 있는 클라우드 서비스의 보안성이 취약하다는 지적이 제기돼 눈길을 끌고 있습니다.

실제 지난달 초에 미국 헐리우드 스타들이 애플 ‘아이클라우드’에 저장해 놓은 누드사진들이 유출되는 사고가 발생했는데, 이때 사진 해킹에 사용된 ‘부르트포스 공격’에 대한 보안 조치가 국내 상위 10대 서비스 중 절반에서 미흡한 것으로 나타났다는 것입니다.

브루트포스 공격 대응에 취약한 클라우드 서비스로는 KT, LG유플러스, 위자드웍스 등으로 전해졌습니다.

‘보안’은 최근 IT업계에서 가장 뜨거운 이슈입니다. 특히 대량의 정보가 모여 있는 클라우드 서비스에서의 보안 사고는 사회적으로 큰 파장을 미칠 가능성이 높지요.

특히 이번에 조사 대상이 된 클라우드 서비스는 주로 개인들이 자신들의 사진이나 동영상, 문서 등을 저장하는 용도의 개인용 클라우드 서비스이지만, 이것이 기업 대상의 서비스로 확대됐을 때는 회사의 흥망을 좌지우지할 수 있는 파괴력을 가질 수 있습니다.

한편 집중과 효율성을 이유로 최근 글로벌 IT업계에는 ‘회사 분할’이 유행처럼 번지고 있습니다. HP와 시만텍이 대표적입니다. HP는 PC, 프린터와 서버, 네트워크, 클라우드 서비스 등이 포함된 엔터프라이즈 두 개 부문으로 회사를 분리한다고 발표했습니다. 또한 시만텍은 보안과 스토리지(정보관리)로 내년 말까지 나눌 방침입니다.

아래는 지난주 국내에 전해진 클라우드 컴퓨팅 관련 소식입니다.

◆LGU+ 등 국내 클라우드 서비스, 보안 취약…‘브루트포스 공격’에 무방비=다수의 국내 클라우드 서비스 보안성이 크게 미흡한 것으로 드러났다.

국내 10개 클라우드 서비스 가운데 LG유플러스 ‘유플러스 박스’ 등 5개 서비스는 지난달 초 헐리우드 유명 연예인들의 누드사진을 유출한 애플 ‘아이클라우드’ 해킹에 사용된 ‘브루트포스 공격(Brute Force Key-Search Attack)’에 취약한 것으로 나타났다.

7일 국회 미래창조과학방송통신위원회 장병완 의원이 한국인터넷진흥원(KISA)에서 제출받은 자료에 따르면, 국내 상위 클라우드 서비스 10개 중 5개가 지난달 아이클라우드 정보유출로 이어진 브루트포스 공격에 대한 보안 조치(그림자 암호 확인)가 미흡한 상황이다.

‘브루트포스 공격’은 무차별 암호 대입 공격으로 원초적인 해킹으로 평가될 뿐만 아니라 이미 한 달도 전에 헐리우드 배우 등의 사진이 유출로 이어진 보안사고가 발생해 떠들썩했음에도 국내 대표적인 통신사를 포함해 10개 조사대상 서비스 가운데 절반이 여전히 보안조치를 적용하지 않아 충격을 주고 있다. 브루트포스 공격 대응에 취약한 클라우드서비스는 KT, LG유플러스 외에도 위자드웍스, 싸이이비즈, 아이렌소프트가 있다.

보안대비 수준이 양호한 클라우드 서비스 제공업체는 SK텔레콤과 네이버 등이다.

장병완 의원은 “‘브루트포스’에 의한 클라우드는 해킹은 사용자 인지도 어렵고 개인정보 대량 침해의 위험이 있다”며 “그럼에도 국내 50% 이상의 업체가 브루트포스 공격 방어같은 가장 기초적인 보안조차 하지 않은 것은 심각한 문제”라고 말했다.

특히 장 의원은 “알파벳 여섯글자만으로 이뤄진 패스워드 조합은 일반 듀얼 프로세서 PC의 경우 30초 내 해킹이 가능하다”며 “브루트포스 공격에 대한 보안설정은 반드시 필요한데 이런 기본적인 보안조차 국내 대기업들이 지키고 있지 않아 문제가 심각하다”고 지적했다.

장 의원은 앞으로 현재 클라우드 보안규정이 권고 수준에 그치고 있다는 점을 감안, 업계의 보안 수준을 강화하기 위해 향후 관련 법 개정을 통해 브루투포스 공격 방어를 강제하는 방안을 마련할 방침이다.

◆요동치는 글로벌 IT업계…“쪼개고, 매각하고”= IT업계가 또 다시 변신을 시도하고 있다. 키워드는 ‘사업 집중’과 ‘경영의 효율성’이다. 여기에 ‘주주의 이익’까지 더해졌다. 한때 ‘엔드-투-엔드’ 솔루션을 외치며 통합을 강조하던 글로벌 IT업체들이 잇달아 회사 분할을 발표함에 따라 IT업계에 당분간 이러한 기조가 지속될 것으로 보인다.

최근 HP와 시만텍은 성격이 다른 자사의 사업 분야를 2개로 분리한다고 잇달아 발표했다.

HP는 내년 10월까지 개인용 제품의 성격이 강한 PC와 프린터(HP Inc), 서버와 네트워크 , 서비스 등이 포함된 엔터프라이즈 부문(휴렛패커드 엔터프라이즈)으로 회사를 분할한다. 또한 시만텍은 보안 제품과 스토리지 관리 소프트웨어 두 분야로 내년 말까지 분리 작업을 완료할 예정이다.

두 회사 모두 “각각의 분야에서 각기 다른 시장기회와 도전과제에 직면하고 있다”며 “이를 위해서는 차별 전략과 집중 투자 등을 통해 유연성을 갖추는 것이 필요하다”고 강조했다.

흥미로운 것은 두 회사 모두 그동안 인수합병(M&A)을 통해 현재의 모습을 갖췄다는 점이다.

HP의 경우 지난 2002년 컴팩 인수를 통해 PC 사업을 확장했다. 250억달러의 인수 이후 이 분야에서 1~2위를 유지하던 HP는 태블릿 등 모바일 기기의 급부상에 따른 PC사업의 하락, 수익성 악화 등에 따라 결국 이같은 결정을 내리게 됐다.

실제 이러한 사업 분리 계획은 레오 아포테커 전 CEO때 이미 고려됐던 사항이다. 멕 휘트먼 현 CEO가 취임하면서 전면 재검토에 들어가게 됐고, 결국 프린터 사업까지 묶여 3년 만에 실현된 셈이다.

시만텍은 지난 2005년 135억달러에 스토리지 관리 소프트웨어(SW) 업체인 베리타스를 인수하면서 보안과 스토리지 분야에서 시너지를 내고자 했다.

그러나 오는 2018년까지 각각 380억달러(보안), 180억달러(정보관리)로 규모가 늘어날 것으로 예상되는 시장 변화와 고객의 요구사항은 상이하기 때문에 집중을 위해서는 두 회사로의 분리가 불가피하다는 이유다.

한편 이달 초 전자상거래업체 이베이도 온라인결제부문인 페이팔을 분사시킨다고 밝혔다. 페이팔 역시 지난 2002년 이베이에 15억달러에 인수된 업체다. 공교롭게도 이베이의 페이팔 인수는 역시 기업분리를 발표한 HP 멕 휘트먼 회장의 작품이었다.

이밖에 IBM은 수익성이 낮은 사업을 정리하고 클라우드 및 빅데이터 분석, 인지컴퓨팅 등에 집중하기 위해 PC사업(2005년)에 이어 최근 x86 서버 사업부를 중국PC기업 레노버에 매각한 바 있다.

이와 관련, 미국 비즈니스인사이더는 “대형 기업들은 사업 부문을 나눠 운영하는 것이 경영 효율성 측면에서 훨씬 유리하다”며 “특히 소비자 부문(B2C)와 기업 대상(B2B)가 얽혀 있는 기업의 경우 전략 면에서 혼란이 생길 수 있다”고 분석했다.

◆오라클 모바일 전략, “자바 개발자가 모바일 개발 쉽게”=“오라클 모바일 클라우드에 새롭게 추가된 ‘모바일 애플리케이션 액셀러레이터’ 기능을 통해 자바 개발자는 모바일 개발을 보다 쉽게 할 수 있습니다. 즉, 모바일 개발자로 변신이 쉬워진 셈이지요.”

에드 조우 오라클 퓨전미들웨어 제품관리(OFM) 부사장은 8일 개최된 미디어 브리핑에서 새로운 모바일 클라우드 및 모바일 애플리케이션 액셀러레이터를 소개했다.

오라클은 최근 개최된 ‘오라클 오픈월드 2014’에서 새로운 모바일 애플리케이션 개발 플랫폼을 발표했다. 기존 오라클 모바일 스위트와 모바일 시큐리티 스위트 이외에 오라클 모바일 클라우드 내의 새로운 기능을 통해 보다 쉽게 모바일 애플리케이션을 개발할 수 있도록 지원하겠다는 주장이다. 오라클 자바디벨로퍼나 이클립스를 사용하는 개발자들에게 특히 유용하다고 설명했다.

조우 부사장은 “모바일 애플리케이션 액셀러레이터에서 5단계만 거치면 앱 개발부터 배포까지 가능하다”며 “ERP 등의 백엔드 연동과 사용자 관리, 커넥터, API, 스토리지 등의 기능을 제공해 쉽고 빠른 모바일 서비스가 가능하다”고 말했다. 다만 현재는 iOS와 안드로이드 버전만 지원한다.

그는 “특히 코딩 경험이 없는 사용자들도 별도의 코딩 없이 신속하고, 직관적으로 모바일 애플리케이션을 만들 수 있다”며 “폰 혹은 태블릿, 앱 아이콘, 탬플릿, API 카탈로그를 통한 데이터 연동 등만 선택하면 되는 즉각적이고 쉬운 사용자 인터페이스(UI)를 제공한다”고 강조했다.

또한 이는 오라클 모바일 시큐리티 스위트와 연동돼 BYOD에 따른 기업 보안을 강화할 수 있다. 오라클 모바일 시큐리티 스위트는 회사 관련 애플리케이션을 별도의 컨테이너에 저장해 싱글사인온 방식의 로그인을 통해 특정 애플리케이션에만 접근, 선택적 삭제 등이 가능하도록 한다. 퇴사시에도 컨터이너를 폰에서 제거하기만 하면 개인용 폰으로 사용이 가능하다.

그는 “전세계 16개국에 5만3000개의 상점을 갖고 있는 세븐일레븐의 경우, 오라클 모바일 스위트를 활용해 모바일 마케팅을 하고 있다”며 “지난 오픈월드 때에도 세븐일레븐은 오픈월드 참가자들에게만 모바일 쿠폰을 나눠주는 이벤트를 진행했다”고 설명했다.

한편 새로운 모바일 애플리케이션 액셀러레이터가 포함된 오라클 모바일 클라우드는 현재 일부 고객사를 대상으로 C&A(컨트롤&어베일러빌리티)라는 파이널 베타 형태로 제공 중이다. 애프리케이션 배포 숫자에 따라 서브스크립션 방식으로 가격이 책정될 예정이다.

◆어도비, 크리에이티브 클라우드 대규모 업데이트=어도비는 이번 주 미국 로스앤젤레스에서 열리는 ‘2014 어도비 MAX(2014 Adobe MAX)’에서 자사의 크리에이티브 클라우드(Creative Cloud, 이하 CC)의 주요 업데이트를 발표했다고 7일 밝혔다.

어도비는 이를 통해 13개 CC 데스크톱 툴들의 주요 신기능을 선보였고, 신규 통합 모바일 앱 패밀리 를 공개했다. 포토샵 CC와 일러스트레이터 CC 최신 버전에서는 마이크로소프트 윈도 8과 서피스 프로 3의 터치 인터페이스를 지원하기 시작했다.

회사 측에 따르면, 특히 이번 발표에서 가장 주목할 만한 것은 새로워진 ‘크리에이티브 프로필’로, 이를 통해 포토샵(Photoshop), 라이트룸(Lightroom) 일러스트레이터(Illustrator), 프리미어(Premiere) 프랜차이즈의 신규 모바일 앱 9개와 CC 데스크톱 툴 간에 더욱 원활한 사용이 가능해졌다.

어도비는 또 크리에이티브 클라우드와 연동되는 모바일 앱 개발이 가능한 ‘크리에이티브 SDK’의 공개 베타 버전을 출시했다. 회사 측은 “크리에이티브 개발자들을 위한 써드파티 앱 혁신의 새 장을 열었다”고 강조했다. 이와 함께 디자인 관련 인적자원을 연결해주는 ‘크리에이티브 인재 검색(Creative Talent Search)’ 서비스도 선보였다.

어도비 디지털 미디어 사업부 수석 부사장 데이비드 와드와니(David Wadhwani)는 이번 업데이트에 대해 “크리에이티브 클라우드와 함께 어도비 혁신의 속도는 가속화되고 있으며, 우리는 오늘 포토샵, 일러스트레이터와 같은 주요 CC 데스크톱 툴에 긴밀히 통합된 새 모바일 앱 패밀리를 소개하고 이를 통해 모바일 기기를 크리에이티브의 주류에 편입시키고자 한다”며 “또한 크리에이티브 인재 검색 같은 새로운 기능들은 크리에이티브 클라우드가 수백만 회원을 위한 보다 강력한 서비스로 점점 거듭나고 있음을 보여준다”고 밝혔다.

◆“클라우드 발전법은 중소기업 위한 민생 법안”= 한국클라우드산업협회(회장 송희경)와 클라우드 중소기업협의회 소속 51개 중소기업들이 ‘클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률(이하 클라우드 발전법)’이 재벌IT기업을 위한 것이라는 경실련의 평가에 대해 10일 성명서를 내고 반박했다.

앞서 경제정의실천시민연합(이하 경실련)은 8일 ‘정부 주장 민생안정 및 경제 활성화 관련 30대 중정 법안에 대한 평가’ 자료에서 클라우드 발전법(안)은 규모의 경제 및 보안 등의 사유로 재벌 IT 기업에 돌아가게 될 가능성이 있다고 평가한 바 있다.

이들 51개 중소기업들은 성명서에서 “클라우드 발전법(안) 조문 어디에도 대기업 및 재벌 IT 기업에 대한 법적 지원 근거 내용이 전혀 없다”며 “오히려 법안 제9조(중소기업에 대한 지원) 조문에서와 같이 대기업 지원인 아닌 중소기업 육성 지원을 위한 법안 내 관련 내용이 있다”고 밝혔다.

이어 “기존 산업과는 달리 빅데이터, 사물인터넷과 함께 클라우드 산업은 인터넷 신산업으로 중소 및 벤처기업에게는 기회와 도약의 발판이 되며, 이 법안은 클라우드 기업 중 81.9%를 차지하고 있는 국내 클라우드 산업을 지탱하고 있는 중소기업들을 지원하고 벤처기업을 육성하기 위한 근거가 된다”고 주장했다.

◆아토리서치, 클라우드 관리·보안 위한 SDN 기술 개발…유럽시장에 첫선=아토리서치코리아(대표 정재웅)는 오는 14일부터 17일까지 독일 뒤셀도르프에서 열리는 유럽 최대 소프트웨어정의네트워킹(SDN)·네트워크기능가상화(NFV) 기술 컨퍼런스인 ‘SDN/NFV 월드 콩그레스 2014’에 참가, 클라우드 환경에 최적화된 SDN 솔루션을 공개한다.

SDN은 패킷을 전송하는 단순한 역할은 하드웨어가 담당하고, 복잡한 제어는 소프트웨어가 담당함으로써 네트워크 전체를 중앙에서 효과적으로 관리·제어하는 기술이다.

아토리서치코리아는 순수 국산 SDN 기반 네트워크 운영체제 오벨(OBelle)과 관제 솔루션 오벨 아칸(OBelle Archon)을 출시하는 등 미래 네트워크 분야 기술을 선도하고 있는 국내 기업이다.

아토리서치코리아의 클라우드 솔루션은 클라우드 환경에서 자사 컨트롤러인 오벨과 오픈스택(OpenStack)을 연동해 SDN 전체를 관제하고, 가상머신 사이의 트래픽을 효율적으로 관리한다. 이를 통해 엔터프라이즈 및 공공기관의 데이터센터에서는 관리 비용을 줄이면서도 보안수준을 향상시킬 수 있다.

기존의 클라우드 네트워크에서는 가상머신이 물리적 서버 사이를 옮겨 다니면서 보안이 허술해지거나 관리자가 보안 규칙을 매번 재설정해야 하는 등 많은 관리노력이 필요했다. 그러나 아토리서치의 클라우드 솔루션은 클라우드 네트워크에 가상머신이 추가되거나 이동하는 경우에도 해당 가상머신의 트래픽을 라우팅하며 관리자가 지정한 보안 수준을 유지한다. 이에 따라 분산서비스거부(DDoS, 디도스)를 비롯한 여러 보안위협을 효과적으로 방어할 수 있다는 것이 회사측 설명이다.

정재웅 아토리서치코리아 대표는 “SDN이 구글 데이터센터에 도입되는 등 향후 클라우드 시장을 선도할 기술로 세계적으로 주목받고 있는 상황에서 순수 국산 기술로 운영비용 절감과 보안 강화라는 두 가지 혜택을 모두 누릴 수 있는 SDN 기반 클라우드 솔루션을 출시하게 됐다”며 “국내 클라우드 시장에도 SDN 기반 확대에 기여할 수 있을 것”이라고 밝혔다.

◆가비아, “나이키 마라톤 접수도 클라우드로”=가비아(www.gabia.com 대표 김홍국)는 나이키 마라톤 ‘2014 위 런 서울(WE RUN SEOUL) 레이스’ 참가자 온라인 접수에 자사의 클라우드 서비스를 제공했다고 10일 밝혔다.

가비아는 이번 마라톤 접수 관련해 최대 동시 접접자 수를 10만명 정도 예상해 자사 클라우드 서비스인 g클라우드 서버를 공급했다고 설명했다. 백본 라우터 하단 10G 네트워크로 구성했고, 특히 사용자가 급격히 증가해 장애가 발생할 수 있는 상황에 대비해 로드밸런서 서버로 독립 회선을 꾸렸다고 밝혔다.

한편 나이키 마라톤은 올해에도 약 10분만에 온라인 접수가 마감됐으며, 동시 접속자 수는 최대 7만명으로 추산된다.

가비아 클라우드팀 주진방 부장은 “이번 나이키 마라톤 참가자 온라인 접수가 특별한 장애 없이 원활하게 진행되어 예년에 비해 고객 불만이 크게 감소했다”면서 “상황에 맞게 클라우드를 운용하면 비용 절감은 물론 사용자 만족도가 증가하는 효과도 얻을 수 있을 것”이라고 말했다.

<정리=백지영 기자>jyp@ddaily.co.kr

백지영
jyp@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널