최근 애플의 스티브 잡스가 'PC프리'를 선언하며 사용자의 각종 데이터들을 애플 데이터센터에 보관하는 클라우드 서비스를 발표했다.
다양한 모바일 디바이스로 원하는 장소에서 앱을 사용하고 각종 콘텐츠를 즐기는 사람들이 크게 늘어나는 가운데, PC를 유선으로 연결해서 플랫폼으로 사용하는 현재의 환경에 불편함을 느꼈기 때문일 것이다.
맥(MAC)을 통해 개인용 컴퓨터의 가능성을 열었던 잡스가 PC시대의 종언을 고한 것은 아이러니하지만, 바야흐로 본격적인 클라우드 시대로의 진입하는 신호탄을 쏜 것과 같다.
클라우드는 응용 프로그램, 저장 공간, 서버, 네트워크 등 원하는 IT 자원을 중앙에 집중시켜 서비스 방식으로 필요한 만큼 빌려 쓰는 방식을 뜻한다. 비용이 절감되며 사용하지 않는 유휴 자원을 줄이는 등 강점이 많다.
최근 네트워크 발전 및 모바일 디바이스의 폭발적인 증가는 기업뿐 아니라 개인용 데스크톱, 서비스, 콘텐츠의 클라우드화를 가속화하고 있다. 사람들은 이제 더 이상 물리적인 장소, 하나의 디바이스에 국한되지 않고, 언제 어디서나, 디바이스를 바꿔가며 동일한 경험을 이어가길 원하고 있다.
클라우드 컴퓨팅은 PC 이후의 새로운 IT이용의 시대를 열어젖힐 패러다임으로 인식되고 있다. 클라우드 환경은 지금까지 우리가 누려왔던 것보다 몇 배의 편의성을 제공해 줄 것이다. 하지만 이는 어디까지나 보안에 대한 과제만 잘 해결해 나간다는 전제에 따른 것이다. 그렇다면 클라우드 보안이 얼마나 위협적이길래 그같은 전제가 나온 것 일까.
몇 년 전 클라우드 환경에서 최초로 허가되지 않은 명령어를 실행시켜 불법적인 활동에 사용될 수 있는 제우스(Zeus)라는 봇넷(botnet)이 발견되었다. 이 악성코드(맬웨어)는 취약한 기업내 보안 정책을 틈타 클라우드 내 다른 가상머신에 영향을 주고 취약한 클라우드 가상머신을 감염시켜 또다른 공격을 진행하도록 프로그램된 것이었다.
다행히도 이 봇넷은 실행되기 전에 발견돼 제거됐지만, 만약 클라우드 가상머신에 이러한 악성코드가 발견되지 않은 채로 방치됐다면 상당한 위협이 되었을 것이다. 최초의 봇넷이 발견된 지 수년이 지난 지금은 해킹 기술이 더욱 발전해, 이제는 네트워크에서 쉽게 탐지되지 않고 침입하는 봇넷과 악성코드가 즐비하다. 이러한 봇넷이 발견되지 않고 시스템에 계속 존재한다는 것을 가정하면 상상만 해도 끔찍하다. 공격자는 언제든지 기업 네트워크를 쉽게 폭주시켜 마비시키거나 가동중단(다운)상태에 빠뜨릴 수 있게 된다.
독자들의 PICK!
클라우드 환경에서 장애나 보안 사고가 일어나면 해당 서비스 하나로 장애가 끝나는 것이 아니라 관련된 전체 클라우드 환경에 영향을 줄 수 있다.
다양한 자원들이 공유되고 물려있는 인프라 내에서 어느 지점이 문제가 있는지 모니터링 하기 어려운 것이 현실이다. 생산, R&D, 금융 등 서비스의 종류에 따라 요구되는 보안 수준도 다양한 게 IT인프라의 현상황이다. 클라우드 인프라에서 가동되는 하나의 '가상의 IT머신'에 문제가 발생하면 다른 가상머신도 영향을 받거나 감염되는데 이는 물리적으로는 같은 호스팅 서버에 존재할 수 있기 때문이다.
클라우드 보안에 대해 철저히 준비해야 하는 이유는 또 있다. 초기에는 비용 절감 효과가 크고 중요하지 않은 서비스부터 클라우드화 되었지만, 점점 클라우드 환경이 일반화 되면서 핵심적인 정보나 사업까지도 옮겨가기 때문이다.
국내보다 가상화 환경이 더 보편화된 미국의 경우, 의료 기록 애플리케이션 및 환자 데이터들도 점차로 호스팅 서비스로 전환하거나 이를 물리적 IT인프라와 병행하는 하이브리드 형태로 관리하는 추세다.
의료 정보들은 매우 개인적일 뿐 아니라 만약 장애 혹은 사고가 발생할 경우 환자 개개인의 생명에까지 영향을 미칠 수 있는 매우 중요한 자료들이므로 개인의료정보보호 관련 법안(HITECH Act)과 같은 강력한 보안 정책 및 규정을 통해 이를 규제할 수 있는 방안이 마련되고 있다.
전문가들은 클라우드나 가상 환경에서 보안을 강화하기에 앞서 10가지 진단 항목으로 확장성, 자동복구능력(Fault Tolerance), 관리 용이성, 성능, 보안의 깊이, 컴플라이언스(규제준수), 가시성, 총소유비용(TCO), 상호운용성, 확장성 등을 들고 있다.
클라우드 환경에 맞는 정부 정책이나 보안 규정도 활발히 논의되어야 한다.
클라우드는 우리 삶을 개선하는 긍정적 측면과 함께 잘못 관리될 경우 막대한 피해를 초래할 수 있는 '양날의 칼'과 같다. 클라우드가 주는 혜택을 충분히 누리기위해서는 안전성을 담보하기위한 적절한 관리와 사용자들의 인식이 필요한 시점이다.