[이슈분석]공공 클라우드, 보안 없인 안 된다

게티이미지뱅크
게티이미지뱅크

보안은 클라우드 이전 시 가장 큰 우려사항으로 꼽힌다. 정보기술(IT) 환경이 복잡해질수록 위협 가시성이 떨어지고 정보유출 가능성도 커지기 때문이다. 특히 공공 부문은 보안 우려로 인해 클라우드 이전을 주저하는 경우가 많다.

시장조사 업체 스태티스타에 따르면 조직 69%가 클라우드 이용에 따른 정보유출을 우려하는 것으로 나타났다. 조직 66%는 개인정보 보호와 기밀 유지가 어려울 것이라고 봤으며 44%는 계정정보 노출과 사고 대응을 우려했다.

우리나라는 클라우드 이전 시 보안 우려를 해소하고 공공 클라우드 확산을 촉진하기 위해 지난해부터 클라우드 보안 인증 제도를 운영한다. 한국인터넷진흥원(KISA)은 서비스형인프라(IaaS), 서비스형데스크톱(DaaS), 서비스형소프트웨어(SaaS) 등 클라우드 서비스를 대상으로 보안 평가·인증을 수행한다.

인증 획득 시 안전성과 신뢰성이 검증된 민간 클라우드 서비스로 인정돼 공공기관 공급이 가능해진다. 이와 함께 행정안전부는 지난해 12월 클라우드컴퓨팅법, 국가정보화기본법, 전자정부법을 근거로 '행정·공공기관 민간 클라우드 이용 가이드라인'을 제시했다.

국내 보안업계는 다양한 클라우드 보안 서비스를 마련한 상태다.

안랩은 공공 부문에 클라우드 보안 서비스를 이미 제공 중이다. 클라우드 구축·운영·보안을 포괄하는 전문 서비스를 제공한다. 대표 제품으로 아마존웹서비스(AWS)용 차세대 방화벽 제품 '트러스가드 포 AWS'와 '안랩 클라우드 보호 플랫폼(CPP)'이 있다.

'안랩 CPP'는 클라우드 서버 워크로드 보안 기능을 단일 에이전트로 연동해 통합 운영을 지원한다. 보안 위협에 대한 가시성을 높여 신속 대응을 돕는다. 클라우드 계정 연동으로 오토스케일링되는 서버 워크로드를 자동 식별, 하이브리드 클라우드 환경에서 서버 보안 체계를 유지한다.

클라우드 보안 스타트업 클라우드브릭 역시 공공 클라우드 보안 진출을 준비 중이다. △클라우드 기반 웹 방화벽 △원격근무 보안 서비스 △분산서비스거부(디도스) 공격 방어 서비스 등 세 가지 제품을 개발했으며 현재 인증 획득만 남겨뒀다.

정태준 클라우드브릭 대표는 “공공이 클라우드 확대를 적극 추진하는 가운데 보안이 매우 중요해질 것”이라면서 “클라우드 보안 서비스에 최적화한 클라우드 서비스 확인제, 클라우드 품질성능평가 인증, 클라우드 보안 인증 등을 획득해 공공 클라우드 환경을 보호하겠다”고 말했다.

오다인기자 ohdain@etnews.com