◇장항배 중앙대 산업보안학과 교수
보안은 결국 특정 대상(오브젝트)을 보호하는 것이다. 기본적으로 오브젝트가 진화하고 다양하게 존재하기 때문에 보안은 갈수록 어려워진다. 클라우드 역시 하나의 패러다임 변화로 받아들여야 한다.
지금까지 보안은 `자물쇠`를 잘 만드는데 집중했다. 변화 흐름 속에서 보안도 비즈니스 서비스 관점에서 접근해야 한다. 단순히 도구로 활용하는 보안이 아니라 사업에 스며드는 보안이 돼야 한다. 클라우드가 신뢰감을 주는 서비스로 발전하기 위해서도 비즈니스 서비스 이해도가 필요하다.
보안 분야에서 강조해온 `위협`뿐만 아니라 위험적 요소도 주의 깊게 살펴야 한다. 클라우드 보안이 갖는 장점이 있다. 그럼에도 분산망인데다 자산이 다 공유되는 상황에서 정보유출 문제 우려하지 않을 수 없다. 일괄적 인증이나 접근통제 문제도 고려해야 한다. 소유와 관리가 분리되는 정보 위탁 측면에서 고민이 필요하다. 정보 유출 발생 시 책임소재 문제도 간과해선 안 된다.
보안 대상이 되는 오브젝트가 클라우드라는 플랫폼으로 갈 때 사용자에게는 신뢰감을 주는 서비스로 다가가야 한다. 기술적 측면만이 아니라 오브젝트 변화 과정에서 서비스 신뢰성을 높이는 측면에서 보안을 고려해야 한다.
기업도 지속가능 전략으로 클라우드를 바라본다. 클라우드 플랫폼 내에서 사이버 범죄와 사고 징후, 흔적을 찾는 프로파일링 기법도 연구된다. 기술적 위협요소 최소화를 넘어 다차원적 위험요소 최소화로 방향을 잡아야 한다.
◇주영흠 잉카인터넷 대표
잉카인터넷은 올해 클라우드 보안으로 사업 분야를 전환했다. 공격이 다양해지고 치밀해지다보니 보안 영속성을 개별기업이 가져가기가 힘들어진다. 보안 업계에서 보기에는 워낙 세계적 차원에서 산업이 진행되다 보니 국내 보안 업체가 어떻게 기반을 다지고 협력할지 고민된다.
콘텐츠딜리버리네트워크(CDN) 서비스를 실질적으로 이용하는 입장에서 봤을 때 기존 데이터센터에서 제공받는 것에 비해 다양한 서비스는 부족하다고 느낀다. 다양한 환경에서 클라우드 보안을 가져가야 하는 만큼 다양한 서비스도 발전이 필요하다.
각 조직 담당자가 일반적인 데이터센터 보안에 익숙해져 클라우드 전환에 따른 교육도 만만찮다. 도입만 하는 게 아니라 잘 사용하도록 유도하는 교육도 병행돼야 한다. 관리자에게 많은 권한이 주어짐에 따라 발생 가능한 더 큰 보안 문제도 간과해선 안 된다.
데이터센터 보안이 결국 클라우드 보안으로 넘어가는 것은 시대적 흐름이다. 국내 업체와 어떻게 협력해 다양한 측면에서 잘 발전시켜나갈 지 고민해야 한다.
◇최백준 틸론 대표
우리가 웹 시대에는 전 세계를 이끌었다. 클라우드로 전환되면서 상황은 달라지고 있다. 가상화 기술이 개입되면 클라우드, 아니면 일반적 웹 서비스다. 보안 솔루션이 가상화 환경에 적합하게 발전하지만 아직 부족하다. 본격적인 클라우드 시대를 맞아 가상화에 맞는 보안 서비스·제품이 하루 빨리 상용화되길 기대한다.
정부 규제도 변화가 필요하다. 전 세계 클라우드 관련 사업 비중 80% 이상이 정부 발주다. 우리나라는 이제 초기 단계다. 핀테크 모임 등에 참여해보면 국내 금융 규제는 은행업을 하려면 회사가 소유하는 건물에 특정 규모 이상 데이터센터가 반드시 요구된다. 클라우드 도입을 가로막는 셈이다. 일각에서는 이런 규정 하나하나 뜯어 고치는데 10년이 걸릴 것이라고 전망한다.
강력한 정부 의지 없이 민간사업자 의지만으로는 10년 이상이 걸린다. 현재 인가 받은 인터넷전문은행조차 전통적 은행권 시각에서 인가됐다. 클라우드법에 맞춰 교체하려면 다시 만들어야 하는 상황이다.
가격 책정도 클라우드에 맞게 변화해야 한다. 지금까지 보안은 주로 구축사업, 솔루션 중심 수익모델로 시장을 형성했다. 이제 보안 서비스도 시간당, 횟수, 이용자당 기준에 맞춰 사용하는 만큼 지불하는 방향으로 가야 한다.
4차 산업혁명에서는 사이버물리시스템(CPS)을 활용한 스마트팩토리가 화두다. 클라우드컴퓨팅에서 영역을 일부 한정해 짧은 기간 내 구축하고 이양하는 `포그(안개)컴퓨팅`이 주목 받는다. 클라우드컴퓨팅뿐만 아니라 포그컴퓨팅에 맞는 보안 제품도 고민해야 한다.
박정은기자 jepark@etnews.com