[디지털데일리 홍하나기자] 올해 기업들의 클라우드 도입이 가속화될 전망이다. 작년부터 기업, 공공, 금융 부문에서 클라우드 도입은 보편화된 상황이지만 정작 클라우드 보안은 생소하다. 최근 보안 위협이 점차 고도화되고 조직화되고 있는 점을 고려하면, 클라우드 환경에서도 보안은 안정적 유지를 위한 필수 도입 요소다. 이에 SK인포섹이 성공적으로 클라우드를 도입하기 위한 보안 전략을 제시했다.

21일 <디지털데일리> 주최로 쉐라톤 서울 디큐브시티 호텔에서 열린 ‘클라우드 임팩트 2019’ 컨퍼런스에서 김용철 SK인포섹 클라우드 이사는 “클라우드 보안은 공유환경을 전용환경으로 바꾸는 것”이라고 비유하며 “서비스와 데이터를 기준으로 최적화된 보안 대책을 마련해야 한다”고 밝혔다.

먼저 김 이사는 클라우드를 화장실로 비유하며 보안을 강조했다. 가정에 있는 화장실은 청결하고, 구입 및 유지보수 비용이 든다. 이는 프라이빗 클라우드는 보안성이 높으나 생산성·효율성이 낮은 것과 같은 맥락이다. 반면 공중 화장실은 상대적으로 청결하지 못하며, 유지보수 비용이 저렴하다. 마찬가지로 보안성이 낮지만 생산성·효율성이 높은 퍼블릭 클라우드와 일맥상통한다.

주목해야 할 점은 공용 화장실에서 발생할 수 있는 세균, 즉 보안위협이다. 클라우드에서 보호대상은 데이터와 비즈니스 서비스다. 하지만 여기에 가상화 취약점, 서비스장애 등의 기술적 보안위협과 정보유출 위협, 법규 및 규제 문제 등의 기술외적 보안위협이 도사리고 있다.

그렇다면 어떻게 해야 퍼블릭 환경을 프라이빗 환경처럼 안전하고 효율적이게 바꿀 수 있을까? 이에 김 이사는 “기업마다 퍼블릭 클라우드, 프라이빗 클라우드, 하이브리드 클라우드, 서비스형소프트웨어(SaaS) 중 어떤 것을 사용할 것인지, 프로바이더가 어디인지에 따라 보안 구현절차가 상이하다”며 “기업은 프로바이더 서비스 배포 모델에 대한 정리를 한 후 보안 솔루션을 도입해야 한다”고 당부했다.

이를 위해서는 클라우드 보안 종류를 알아야 한다. 클라우드 보안 솔루션은 서비스형보안(세카스, SECaaS)과 클라우드접근보안중개(캐스비, CASB)로 나뉜다. 김 이사는 “제어하거나 통제할 수 있는 클라우드 영역에 인프라를 올리고, 이를 보호하기 위한 보안 기능이 세카스”라며 “애플리케이션으로 만든 데이터만 클라우드로 옮기고, SaaS에 올라간 정보를 보호하는 것이 캐스비”라고 설명했다.

김 이사는 두 가지의 클라우드 보안을 구분해 현실적인 보안 대책을 세워야 한다고 강조했다. 특히 비용, 전략, 기술의 세 가지 요소에 초점을 맞춰 보안 솔루션을 구축해야 한다는 것.

비용은 클라우드 보안과 클라우드의 효율성 및 생산성을 비교해야 한다. 전략은 비즈니스 연계보안 전략, 데이터 기반 보안 전략, 인간중심 보안 전략 등 세가지로 나뉜다. 비즈니스 관점에서 보안 거버넌스를 수행해야 한다. 또 데이터를 통해 고객의 수요를 수집, 분석해 보안기능을 고려해 볼 수 있다.

김 이사는 “앞으로는 사물인터넷(IoT), 만물인터넷(IoE) 정보들이 많아지면서 기업 내 시스템이 전부 자동화될 전망”이라며 “보안 업계에서도 자동화된 환경이 구현될 것”이라며 "공유환경을 전용환경처럼 바꾸기 위해 적절한 보안 대책을 세워야 한다"고 강조했다.

<홍하나 기자>hhn0626@ddaily.co.kr