가상화와 분산처리를 통해 대규모 IT자원의 풀을 구축하고 인터넷으로 필요한 만큼만 서비스를 제공하는 새로운 컴퓨팅 서비스 모델이 각광을 받고 있다.
클라우드컴퓨팅이라는 이름의 이 혁신적인 서비스는 컴퓨팅 자원을 효율적으로 사용할 수 있게 한다는 점에서 그린IT의 대표주자로 불린다. 컴퓨팅 자원의 효율적 활용으로 불필요하게 작동되는 부분을 줄임으로써 전력 소모를 줄일 수 있기 때문이다.
컴퓨터 자원 자체의 절감도 가능하다. 주목도를 반영하듯 국내에서도 통신사업자, IDC등을 중심으로 클라우드컴퓨팅 환경으로 전환하려는 노력이 진행되고 있다.
이러한 클라우드컴퓨팅이 제 자리를 잡기 위한 필수 전제조건은 바로 ‘정보보호’다. 다시 말해 그린 IT를 구현하기 위한 조건이 정보보호라고 해도 과언이 아니다. 이번 회에서는 클라우드컴퓨팅과 관련된 정보보호 문제점을 지적하고 해결방안을 찾는다.
◇어떤 우려가 있는가=지난해 7월 애플 모바일미 서비스가 중단되는 사고가 있었다. 데이터 이전 과정의 오류로 수시간 동안 서비스가 중단된 것이다. 아마존 S3 서비스 중단 사고도 비슷한 시기에 일어났다.
서버와 서버간 통신 설계 과정에서의 오류로 8시간 동안 서비스가 중단된 것. 스토리지서비스업체 미디어맥스가 폐업하면서 데이터 유실 사건도 일어났다. 약 2만명의 유료 이용자 데이터가 유실되는 등의 피해가 발생했다.
이외에도 구글 지메일 서비스 중단 사고와 구글 Docs 서비스 해킹 사고 등도 지난 해 일어난 주요 사건 중 하나다. 전문가들에 의해 철저하게 지켜지는 클라우드컴퓨팅도 허점이 존재한다는 것이 밝혀진 것이다. 철저한 대비가 없으면 이 같은 사고는 반복될 뿐 이다.
서비스 중단이나 데이터유출 사고 말고도 클라우드컴퓨팅에서는 다양한 문제가 발생할 수 있다. 우선 서비스업체가 개인의 서비스 이용행태를 분석하고 온라인 마케팅 등을 동의 없이 시행하거나 제3의 업체에 제공할 수 있다.
일례로 A라는 개인이 B·C·D 서비스를 이용 중이고, B·C·D 서비스가 E라는 클라우드컴퓨팅 업체를 활용하는 경우 E는 개인 A가 B·C·D 서비스를 이용하는 행태정보 등을 결합해 보다 유용한 성향 정보를 생성하는 것이 가능하다.
또 하나의 문제는 금융이나 통신 등 클라우드컴퓨팅을 이용한 다양한 서비스가 가능하나 분야별 적용 법률이 다르다는 것이다. 포털 기업이 고객정보를 클라우드컴퓨팅 업체에 저장·관리하는 경우 정보통신망법이 적용돼 개인정보 취급위탁으로 해석될 소지가 있으나 금융사의 경우라면 신용정보보호법이 적용돼 제3자 제공으로 해석될 가능성이 높다.
클라우드컴퓨팅 서비스 제공과정에서 다량의 개인정보가 축적되므로 국가기관 등에서 범죄수사 등의 목적으로 클라우드컴퓨팅 업체에 정보제공을 요구할 수도 있다. 인터넷을 통해 개인정보 등 데이터가 분산 저장·처리되므로 수집·저장은 물론 유출 등 침해 발생 시 법적 관할권 문제와 국가간 정보 공유·이전 문제가 발생하는 것도 우려되는 부분이다. 이용자의 개인정보가 유출·유실되는 경우 개인에 대한 피해보상 문제가 복잡하게 얽혀 있다는 것도 문제다.
인터넷에서 분산서비스거부(DDoS) 공격이 우려된다면 클라우드컴퓨팅에서는 EDoS(Economic Denial of Sustainability) 공격이 우려된다. EDoS 공격은 사용량 기반 과금이라는 특징을 악용, 불필요한 트래픽을 대량 발생시켜 지불비용을 전가하는 공격방식이다.
◇기술적, 법적 대안은=기술적인 측면으로는 우선 분산처리·가상화 과정에서의 시스템 보안을 철저히 하고 개인정보취급자 접근권한 관리와 로그관리 등에 대한 기준 연구가 필요한 상황이다.
또 클라우드컴퓨팅업체의 개인정보 제공 또는 위탁에 통일된 법적 근거를 마련하고 이용약관, 개인정보 유출·유실 시 배상방안 등을 연구하는 것도 중요하다.
국외 클라우드컴퓨팅 업체가 국내에서 서비스를 제공하는 경우, 개인정보 국가간 이전 등 이슈와 연계해 대응할 필요가 있다.
황중연 한국정보보호진흥원장은 “표면상으로 그린 컴퓨팅은 프라이버시 이슈와 관련성이 적어보이지만 상당한 연관이 있다”며 “기술 발전 및 관련 이슈에 대한 지속적인 모니터링이 필요하다”고 말했다.
문보경기자 okmun@etnews.co.kr