클라우드

클라우드 보안·프라이버시 우려? MS “오히려 혜택 많아”

이유지

- “클라우드 신뢰성 확보, 핵심은 보안·데이터 프라이버시, 국제인증·규제 준수”

[디지털데일리 이유지기자] 클라우드 서비스 확산의 최대 걸림돌은 단연 ‘보안’이 꼽힌다. 지금은 전세계적으로 수많은 기업이 클라우드 서비스를 사용하고 있지만, 클라우드 컴퓨팅이 대두된 초창기부터 지금까지 보안이나 프라이버시 이슈는 여전히 제기되고 있다.

과연 클라우드 서비스는 보안 우려를 해소하고 신뢰성을 확보할 수 있을까?

‘애저’로 전세계에서 클라우드 서비스 사업에 주력하고 있는 마이크로소프트(MS)는 클라우드 서비스 도입 전에는 보안 우려가 컸지만 막상 클라우드를 사용한 후에는 보안성과 안전성을 더욱 강화하게 됐다고 긍정적으로 평가한 조사결과를 내놨다.

이에 따르면, 기업의 60%는 클라우드 도입 전에 데이터 보안과 적용에 장벽을 느끼고 있다. 또 45%는 업무환경을 클라우드로 이전하게 되면 데이터 통제권을 잃게 될 것이라는 점을 우려하고 있다. 하지만 실제 클라우드를 도입한 이후 94%는 기업 내부에 자체 구축(온프레미스)하기 어려웠던 보안 표준 장점을 활용할 수 있고, 62%는 클라우드로 이전해 이전보다 향상된 데이터 프라이버시 보호 환경을 운영하고 있다고 답했다.

이건복 한국MS 개발자 플랫폼 사업부 이사는 21일 열린 미디어 간담회에서 이같은 결과를 제시하면서 클라우드 서비스를 금융서비스에 빗댔다. 이 이사는 “예전에는 집안 장롱 깊숙한 곳이나 금고에 현금을 보관했다. 내 돈을 내 집 금고가 아니라 은행에 두는 것을 우려했지만 지금은 은행에 맡기는 것이 더 안전하다고 여긴다”고 말했다. 클라우드 서비스에 대한 인식도 이처럼 바뀔 것이란 얘기다.

클라우드가 은행이 제공하는 금융 서비스처럼 신뢰받을 수 있도록 MS는 보안성과 데이터 프라이버시 보호, 법령준수와 국제표준 인증을 클라우드 서비스의 핵심 요소로 내세우고 있다.

먼저 클라우드 보안을 확보하기 위해 MS는 데이터센터 물리 보안에서부터 네트워크 보안, 인증과 권한 통제, 호스트 보안, 애플리케이션, 데이터 영역을 모두 포괄한다.

MS는 클라우드 서비스 인프라가 구축돼 있는 데이터센터의 물리적 접근통제부터 생체정보 기반 시설 접근통제, 화재나 침입·장애에 대비한 동작 감시기나 감시카메라를 통한 보안관제시스템 등을 활용하고 있다.

인프라 보호를 위해 24시간 모니터링, 안티바이러스·안티멀웨어 보호, 침입탐지·분산서비스거부(DDoS) 공격 대응시스템을 구축하고 있다. 정기적인 침투테스트도 벌이고, 분리된 시설에서 중요 정보(데이터)를 분리해 운영하고 있는 방식도 활용하고 있다.

이 이사는 “보안의 핵심은 소프트웨어개발라이프사이클(SDLC) 전체가 보안지침에 따라 관리되고 있는지, 운영환경 보안이 제대로 제어되고 있는지 엄격하게 관리하는 것이다. 이에 더해 MS는 자체 보안운영팀을 레드팀과 블루팀으로 이원화해 레드팀에서는 내부 보안공격을 시도하고 블루팀에서 방어해 발생가능한 사고에 대응할 수 있는 체계를 항시 운영하고 있다”고 설명했다.

네트워크 보호를 위해서는 내·외부 네트워크 망분리와 암호화된 연결, 가상 네트워크 지원은 필수이다. MS는 통신사업자를 통한 별도의 인터넷 연결성도 지원하고 있다.

클라우드 계정 인증과 접근관리 분야에서는 아이디와 패스워드 외에 액티브 디렉토리와 같이 기업 내부에서 사용하고 있는 인증 시스템도 지원한다. 접근 모니터링, 싱글사인온(SSO), 멀티요소 인증, 부서나 역할기반 접근제어 방식도 제공한다.

중요한 데이터 보호를 위해서는 데이터 전송과 저장시 암호화, 데이터 저장 위치 선택, 데이터 가용성, 데이터 파기 정책도 운영한다. 데이터 위치와 관련해서는 해당 데이터가 어느 국가나 도시에 위치하고 있는지를 사용자에게 알려준다.

고객 데이터 프라이버시 보호를 위해 클라우드에 저장된 광고 목적의 데이터 접근이나 데이터 공유를 차단하며, 고객이 원하면 언제든지 데이터를 삭제·이전하고 저장이나 처리 등에 관한 투명성 정보도 제공한다.

이를 위해 MS는 엄격하다고 알려진 유럽연합(EU)의 고객 데이터 보호 규정이나 의료업계의 데이터 프라이버시 보호 규제(HIPPA BAA) 등을 준수한다고 밝혔다.

이 이사는 “MS는 EU의 엄격한 데이터 보호 표준계약 조항인 ‘실무그룹 29조(EU Article 29)를 승인받은 유일한 클라우드 제공업체”라고 부각했다.

이 인증은 MS 애저, 오피스 365, 다이내믹스 CRM, 윈도 인튠에 적용돼 있다. 이에 따라 고객은 MS 서비스를 이용해 유럽에서 다른 국가로 자유롭게 데이터를 옮길 수 있다.

이밖에도 MS는 클라우드 서비스에 정보보안 국제표준인 ISO/IEC 27001과 27002, 27018 인증을 획득했다. 이 가운데 최신 클라우드 개인정보보호에 관한 국제표준인 ISO/IEC 27018 인증은 MS가 클라우드 서비스 제공업체 가운데 가장 먼저 획득했다. 현재까지 유일한 인증기업이라는 것이 회사측 설명이다.

ISO 27018은 개인식별정보(PII, Personally Identifiable Information)에 대해 ▲데이터 접근 수준 설정 ▲광고 목적 활용 금지 ▲정부의 데이터 접근 요청 시 공지 의무 등을 주요 내용으로 담고 있다.

이밖에도 MS는 미국 연방정보보안관리법(FISMA), 전자지불업계 데이터 보안 표준(PCI DSS), 미국 공인회계사협회(AICPA)에서 발급하는 보안 인증(SOC-Service Organization Control Type 1, 2), 중국의 클라우드 컴퓨팅 규제(CCCPPF), 영국 (G-Cloud Official), 호주(IRAP)와 싱가포르(MTCS) 등의 관련 규제와 인증을 확보하고 있다.

이 이사는 “MS는 타사에 비해 많은 보안 공격을 경험했다. 그에 대응하기 위해 오랜 기간 각고의 노력을 기울여 왔다. 소프트웨어 개발단계 보안성을 강화, TwC(Trustworthy Computing)을 위한 노력을 벌여 보안 분야에 강점을 보유하고 있다”며 “클라우드 보안과 프라이버시 보호 강화에 주력해 ISO27018이나 다양한 보안 규제를 앞서 획득·준수할 수 있는 것도 같은 맥락”이라고 설명했다.

이 이사는 클라우드 서비스가 보안성에서 장점을 갖는 또 다른 이유로 ‘공동의 책임성(Shared Responsibility)’을 지목했다. 기업이 자체 구축한 IT 환경은 전적으로 해당 기업이 책임져야 하지만 클라우드 서비스를 이용하면 서비스제공업체와 분담할 수 있다는 이유에서다.

예를 들어, IaaS(인프라서비스)를 이용하면 네트워킹과 스토리지, 서버, 가상화 인프라는 이를 제공하는 클라우드제공업체가 책임을 진다. 운영체제와 미들웨어, 데이터, 애플리케이션만 고객이 책임지면 된다. 고객이 IaaS와 PaaS를 이용하면 책임 범위가 애플리케이션과 데이터 영역으로 줄어들 수 있다.

이밖에도 클라우드 서비스 제공업체들은 서비스별로 서비스수준협약(SLA)을 제시하고 있다. 이에 대해 이 이사는 “MS는 가용성 측면에서 99.95~99.99%의 SLA를 보장한다. 고객 정보 유실이나 사용 속도 등 여러 항목별로 구체적으로 SLA가 명시돼 있다”고 밝혔다.

<이유지 기자>yjlee@ddaily.co.kr

이유지
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널