지난달 세계적 혼란을 초래한 크라우드스트라이크발 정보기술(IT) 대란에서 클라우드 서비스 중요성이 부각된 가운데 클라우드 마비 사태를 대비하기 위해 운영 거버넌스 확보와 보안 관리 체계 확립 등이 중요하다는 제언이 나왔다.
PwC컨설팅은 이 같은 내용을 담은 '디지털 카오스 시대의 클라우드 운영 및 보안 대응방안' 보고서를 최근 공개했다.
지난달 보안업체 크라우드스트라이크가 솔루션을 패치하는 과정에서 마이크로소프트(MS) 윈도 운용체계(OS)와 충돌하면서 MS 윈도 OS를 설치한 업무용 PC와 서버 작동이 중단되는 사태가 발생했다. 세계 항공, 의료, 방송 등 기간 인프라가 마비되는 등 10억 달러 이상 손실이 추정될 정도로 상황이 심각했다.
이번 장애는 온프레미스뿐만 아니라 아마존웹서비스(AWS), MS 애저, 구글 클라우드 플랫폼 등 퍼블릭 클라우드에서 MS 윈도OS가 적용된 서버 시스템에도 문제를 일으켰다.
윈도OS 기반 서버는 AWS나 구글보다는 상대적으로 MS 애저에서 많이 사용하다보니 사건 초기 MS 클라우드 장애로 알려진 것으로 추정된다는게 PwC 분석이다.
PwC는 클라우드 환경하에 기업의 정보기술(IT) 운영 통제와 보안 허점이 이번 사안의 근본 원인이라 지적했다.
PwC는 “클라우드는 구성 변경과 가용성 확보가 용이하고 백업·복구가 간편해지면서 IT 부서도 업그레이드나 패치 등 구성 변경에 무감각해졌다”면서 “이에 따른 통제 미비로 이번과 같은 대란이 발생했다”고 추정했다.
PwC는 향후 발생할지 모를 클라우드 마비 사태 등에 대비해 기업이 다양한 요소를 점검·준비해야 한다고 조언한다.
우선 기존 구축된 클라우드 서비스에 대한 운영 거버넌스를 강화해야 한다.
이를 위해 기업 책임 영역과 클라우드 사업자·보안 솔루션사 책임과 권한을 명확히 구분해야 한다. 프로세스와 정책·기준, 담당자 책임·역할(R&R)을 명확히 할 필요가 있다. 이를 통해 기업은 클라우드나 솔루션사에 의존하지 않고 자체적으로 안정적 운영 관리 체계를 구성하고 실행할 수 있다.
클라우드 보안 체계도 확립해야 한다.
보안 체계를 단계적 방법으로 기획·실행하고 관련 조직 구성과 프로그램을 지속 유지시켜야 한다. 디지털 시대에 많은 위협이 다가올 것을 사전에 예상하고 대비하기 위해서다. 위협이 실제 발견됐을 때 절차적으로 즉각 대응하도록 보안 체계를 체질화 해야 한다.
필요한 기술 아키텍처와 보안 핵심 구성요소를 확보해 기업 위험관리 역량을 내재화해야 한다.
클라우드를 포함해 현재 기업이 보유한 인프라 구성 현황을 충분히 이해하고 통제할 수 있어야 한다. 필요한 권한 통제, 보안 구성 관리 등 핵심 구성요소를 파악해 문제 발생 시 즉시 대응하기 위해서다.
PwC는 “기업 전반적 클라우드 보안과 IT환경 이슈에 선제적으로 대응하고 안정적으로 운영하기 위해 객관적으로 현 수준을 진단해보고 대책을 마련해야 한다”면서 “클라우드 보안과 함께 IT역량과 아키텍처, 비용까지 종합적 관점에서 최적 인프라 환경구성을 제안할 수 있다”고 전했다.
김지선 기자 river@etnews.com
