[ET단상]보안 제어 표준화로 멀티 클라우드 보안 문제 해결해야

4차 산업혁명 시대가 열리면서 기업은 변화하는 정보기술(IT) 환경에 따라 경쟁력을 유지하고 업계 선두를 지키기 위해 그 어느 때보다 발빠르게 움직이고 있다. 많은 기업이 단일 클라우드에서 멀티 클라우드로 이동해 네트워킹, 애플리케이션(앱) 개발에 필요한 사항을 신속하게 처리하면서 과거 몇 년이 걸리던 상품·서비스 시장 출시 기간도 며칠 이내로 크게 단축됐다. 기업은 멀티 클라우드 전략을 통해 서드파티 클라우드에서 실행되는 워크로드를 관리자 및 개발자가 다른 환경과 응용프로그램개발환경(API)을 학습하지 않고도 원하는 환경에서 앱을 자유롭게 배포·실행·관리할 수 있는 환경을 필요로 하고 있다.

기업이 클라우드로 중요 데이터를 이동시키면서 공격자 표적 또한 클라우드로 옮겨 가고 있다. 인터넷을 통해 계정 정보로 접근할 수 있는 클라우드는 보안 경계가 분명한 전통의 데이터센터 보안 정책과는 다른 접근이 필요하다. 금융, IT서비스를 포함한 다양한 업계에서 클라우드 서버를 통해 고객 개인정보가 유출되는 사고 소식을 종종 접할 수 있다. 이는 시시각각 변하는 클라우드 환경에 전통 보안 체계를 적용함으로써 발생하기 쉬운 불미스러운 일이다. 기업이 점점 더 하이브리드 클라우드 시스템으로 넘어가면서 클라우드 보안에 대한 업계의 관심이 더욱 높아지고 있다. 멀티 클라우드 아키텍처가 더 복잡해지고 실시간으로 보안 변경을 적용하는 것이 어려워지면서 멀티 클라우드 보안에 대한 차별화 접근이 필요한 시점이다.

IT 환경 변화에 따라 보안도 다른 방식의 접근이 필요하다. 첫째 다양한 환경에서 보안 제어를 일관되게 적용할 수 있는 플랫폼이 필요하다. 최신 앱은 기존 앱과 비교했을 때 마이크로서비스 아키텍처, 선언성 구성, 높은 수준의 자동화 등에서 차이가 있다. 앱 현대화 추진 시 이기종 환경에서 일관된 정책을 적용하고, 소프트웨어(SW) 공급망과 함께 공유 플랫폼에 걸친 멀티테넌트 환경을 보호하는 것이 중요한 보안 과제다. 여러 클라우드를 동시에 배치할 경우 각각 클라우드와 온프레미스 환경에 서로 전혀 다른 인터페이스와 툴이 필요할 수 있고, 이는 일관되지 않은 정책 실행을 초래한다. 리스크 완화를 위해 각각 클라우드를 공통된 보안 원칙에 따라 배치해야 한다. 실제 보안 제어는 다양하다 하더라도 이러한 제어를 일관되게 적용할 수 있는 플랫폼을 도입하는 것이 바람직하다.

둘째 하이브리드 클라우드 시스템에서 접근 권한을 제한 허용하는 것이 필요하다. 프라이빗과 퍼블릭 두 클라우드 간 서비스에 대해 광범위한 접근을 허용하는 것은 둘 가운데 하나의 보안이 침해될 경우 전체가 보안 위협에 노출될 수 있어 그 위험성이 높다. 하이브리드 클라우드 시스템에서 두 클라우드 간 서비스는 제한을 두고 신뢰할 수 있는 직원만이 해당 서비스에 접근할 수 있도록 해야 한다.

클라우드로 전환하는 과정에서 추가로 발생할 수 있는 보안 리스크를 해결하기 위해 클라우드를 점진 도입하는 것도 하나의 방법이다. 기업은 멀티 클라우드 환경에서 앱을 관리하는 안토스 같은 플랫폼을 이용해 온프레미스에서 구글쿠버네티스엔진(GKE) 또는 클라우드 런 등 클라우드 네이티브 기술을 도입할 수 있다. 이를 통해 보안 상태를 잘 이해하고 통제된 환경에서 앱을 현대화할 수 있다. 기업은 운영하는 플랫폼의 통제된 환경에 익숙해지면 조금씩 워크로드를 퍼블릭 클라우드 플랫폼으로 이동시킬 수 있다.

점점 더 많은 기업이 디지털 전환을 추진하기 위해 하이브리드, 멀티 클라우드 플랫폼라는 새로운 환경에 눈을 돌리고 있다. 그 어느 때보다 보안이 중요해지고 있다. 온프레미스 환경 기업과 클라우드 사업자가 책임 공유 포괄 체계를 마련하고 멀티 클라우드를 구축하면 하나의 클라우드를 구축하는 것보다 회복성과 확장성이 뛰어나고 안전한 환경을 만들 수 있다. 더욱 많은 기업이 멀티 클라우드 도입 시 보안 제어 표준화, 제한 접근 정책, 점진적인 클라우드 도입을 고려해 디지털 전환을 성공시켜 나가기를 기대해 본다.

양승도 구글 클라우드 코리아 커스터머 엔지니어링 총괄 sdyang@google.com