‘기획에서 입증까지’ 클라우드 이전 가이드라인

클라우드 컴퓨팅은 서비스를 어떻게 활용하고 제공하는지에 대한 근원적인 변화를 대변한다. 특히 중소사업체들에게 클라우드 컴퓨팅은 강력한 경쟁사들과 경쟁할 수 있게 해주는 필수 선택지로서 역할하고 있다.

그러나 그 과정은 쉽지 않다. IT 관리자들은 요즘 수많은 사업 제안들로 정신이 없을 지경이다.  클라우드로 워크로드를 이동시키는데 있어서 몇 가지 유용한 가이드라인을 정리했다.

경영진 내의 정책 결정자들을 확인하고 그들의 지원을 확실히 하라
클라우드 아키텍쳐의 채택은 전체 기업의 강력한 노력을 필요로 하는 프로세스다. 모든 기능, 애플리케이션 그리고 데이터가 클라우드로 이전되어야 하고 그렇기 때문에, 경영진의 강력한 의지가 필수적이다.

이와 관련해 경영자들은 클라우드 컴퓨팅 패러다임 채택을 위한 타당한 목표를 설정해야 한다. 클라우드로의 마이그레이션에는 새로운 IT 인프라로 워크로드를 이전함에 있어 모든 활동을 기획, 설계, 집행하는 팀 단위의 노력이 필요하다. 마이그레이션 프로세스는 다음 3가지 부분에 각각 깊은 전문성을 가진 3팀들의 관리하에 진행되게 된다.

– 인프라
– 데이터와 애플리케이션
– 사이버 보안

이 부서들은 전환 계획을 규정하고 협력이 필요한 활동에 초점을 맞추는 등 손발을 맞춰야 한다.

퍼블릭 클라우드와 프라이빗 클라우드 무엇을 선택할까?
기업들은 적절한 클라우드 아키텍쳐를 선택해야 한다. 가장 중요한 결정 중 하나는 퍼블릭 클라우드와 프라이빗 클라우드 인프라 채택에 관한 것이다.

다양한 요소에 따라 정답은 달라질 수 있다. 기업의 규모와 회사의 IT 서비스에 배정된 예산 등이 대표적인 결정 요소다. 퍼블릭 클라우드는 일반적으로 대규모의 특화 기업들(예를 들어 아마존, 구글, 마이크로소프트 등)이 제공하는데, 이들은 일상적인 아키텍쳐와 데이터 관리 작업을 비교적 저렴한 비용으로 제공한다.

단 퍼블릭 클라우드를 선택하면 데이터에 대한 통제권이 거의 없다. 데이터와 애플리케이션은 보안과 프라이버시상에 분명 좋지 못한 영향을 주는 수많은 사업체들 사이에 공유된다.

프라이빗 클라우드에서는 회사의 데이터와 애플리케이션이 단일 사업체 전용 원격 데이터센터에서 호스팅된다. 따라서 보안, 프라이버시, 유연성의 관점에 있어서는 사업체에 더 많은 통제권을 가능케 해준다. 물론 프라이빗 클라우드가 퍼블릭 클라우드보다 더 비싸다.

세 번째 옵션은 턴키 클라우드다. 신속하게 배치될 수 있는 사전 테스트 및 인증을 거친 소프트웨어/하드웨어/스토리지를 말한다. 턴키 클라우드는 특히 IT 자원이 없는 조직들에게 편리한 선택이다. 턴키 클라우드는 특히 소기업이 SaaS 모델을 통해 거대 클라우드 제공자로부터 표준 비즈니스 애플리케이션을 채택하고 클라우드 데이터센터를 활용할 수 있게 해준다.

알맞은 클라우드 서비스 제공자를 선택하라
제공자 선택에는 특히 비즈니스와 관련된 수많은 옵션들에 대한 평가가 필요하다. 거의 모든 기업에 있어서 주요 고려 사항은 다음과 같다.

– 서비스 레벨: 이 특징은 사업체에 가용성, 응답시간, 용량, 지원에 있어서 엄격한 니즈가 있을 때 필수적이다. 클라우드 SLA는 적절한 제공자를 선택하고 클라우드 서비스 고객과 클라우드 서비스의 서비스 제공자 사이에 명확한 계약적 관계를 형성하는데 중요한 요소가 된다. 클라우드 서비스 내에 호스팅 되는 개인 데이터의 보호를 위한 법적 요건에 특별한 주의를 기울여야 한다.

– 지원: 지원은 조심스럽게 고려해야 할 사항이다. 온라인이나 콜센터를 통해 지원이 제공될 수도 있고, 어떤 경우에는 분명한 시간적 제약을 둔 전용 자원을 나타내는 게 필수일 수도 있다.

– 보안: 제공자가 제공하는 보안 수준은 무엇이고 우리의 애플리케이션과 데이터를 보존하기 위해 어떤 메카니즘이 활용될까? 이를 포함한 많은 질문들이 클라우드 제공자의 전체 아키텍쳐를 평가하는데 나와야 한다.

– 준수: 특정 산업의 표준을 준수하는 클라우드 아키텍쳐를 선택하라. 프라이버시, 보안, 품질은 이 단계에 있어서 주요 고려 사항이다.

상세한 비즈니스 계획을 준비하라
클라우드 인프라로의 마이그레이션에 대한 작업흐름을 규정하는 사업 계획이 필수적이다. 계획에는 프로세스와 관련 노력에 연관된 자원을 구체화해야 한다. 여기에는 이전 서비스 목록, 작업 타임라인, 년 단위의 관련 비용 등이 포함되어야 한다.

문서 초안 작성에 있어서 회사의 사업 니즈와 선택해야 할 클라우드 제공자 요건에 대해 고려해야 한다. 마이그레이션은 IT 직원부터 법률팀에 이르기까지 새로운 유형의 기술 계약을 처리하게 될 회사의 모든 섹터에 영향을 미치기 때문에 그에 맞는 인력을 적시에 준비하는 것도 필요하다.

클라우드 IT 서비스로 비즈니스 서비스를 매핑하라
클라우드 컴퓨팅 모델은 여러 수준으로 이행될 수 있다. 사업체가 활용하는 기존의IT 서비스의 목록을 만들고 이들을 아래에 나열된 연관 클라우드 서비스상에 매핑하는 게 아주 유용할 수 있다.

IaaS(서비스로의 인프라)는 스토리지, 하드웨어, 서버, 네트워크 요소를 포함한 회사의 지원 운용에 활용되는 장비의 아웃소싱을 위한 프로비저닝 모델이다. 클라우드-기반 서버 하드웨어와 운영체제가 회사의 서버 인프라와 OS와 호환되는지 확인하는 것이 중요하다.

PaaS(서비스로의 플랫폼) 플랫폼 소프트웨어 서비스는 웹 애플리케이션 데이터베이스 서버를 포함한 다양한 소프트웨어의 프로비저닝 모델이다. 선택된 PaaS 환경이 회사가 사용하는 애플리케이션 서버의 모든 기능을 지원하는지 확인하는 게 중요하다.

SaaS에서는 서비스로 애플리케이션이 제공된다. 이전하는 애플리케이션의 유형에 따라 사업과 기술적 니즈 모두를 충족시켜야 하는 SaaS-기반의 대안의 존재를 평가하는 게 필수적이다. 새 애플리케이션으로 기존의 데이터 이전의 필요성을 과소평가하지 말라.

DaaS(서비스로의 데이터) 데이터나 정보가 클라우드로부터 제공된다. 미가공 데이터세트로 제공되거나 애널리틱스 인터페이스를 통해 소비된다.

BpaaS(서비스로의 비즈니스 프로세스)는 클라우드로부터 소싱되는 BPO(business process outsourcing) 서비스다.

회사 애플리케이션과 작업부하를 평가하라
전통적인 IT 서비스가 클라우드 서비스 내에 매핑 되면 애플리케이션과 작업부하를 평가하는 것이 매우 필수적이다. 이 단계에서 마이그레이션을 맡은 IT 직원들은 어떤 애플리케이션과 데이터가 클라우드 인프라로 순조롭게 이동될 수 있는지, 어느 서비스를 채택할지, 어떤 전달 모델(퍼블릭, 프라이빗, 하이브리드)이 회사의 사업적 니즈를 충족시키는지 결정해야 한다.

조직의 사업 연속성에 미치는 영향력이 가장 낮은 가장 위험도가 낮은 애플리케이션부터 시작하는 게 좋은 프랙티스다.

탄력적인 정보처리상호운용 모델을 채택하라
클라우드 서비스로 이전된 거의 모든 애플리케이션에는 다양한 다른 애플리케이션과 시스템과 연결되어 있다. 이런 연결상에 마이그레이션의 영향을 미리 평가하고 데이터 흐름의 장애를 사전에 차단하는 것이 핵심이다.

애플리케이션간의 커뮤니케이션은 보통 다음과 같은 3가지 카테고리로 분류된다:

– 특정 작업을 실행하기 위해 한 애플리케이션이 다른 애플리케이션을 발동시키는 프로세스 통합(Process integration)

– 애플리케이션이 공동 데이터를 공유하는 데이터 통합(Data integration)

– 각기 다른 애플리케이션들이 주로 사용자의 대시보드 구성요소를 위해 동시에 연산 결과를 제공하는 프레젠테이션 통합(Presentation integration)

클라우드 인프라로의 마이그레이션은 사업체의 전체 정보처리상호운용에 대한 사려 깊은 검토에 의한 지원을 받아야 한다. 사내 시스템 사이와 외부 조직간의 모든 상호작용은 새로운 클라우드 인프라 내에서 평가 유지되어야 한다.

많은 경우에, 통합 수준을 유지하고 정보처리 상호운용을 확실히 하는 게 쉽지 않다. 마이그레이션에 해당되는 모든 요소의 “재-통합” 활동이 필수적이다.

특정 클라우드 서비스 공급자/벤더에 종속되지 말라
마이그레이션 단계에 있어서 회사 경영자들의 가장 큰 걱정 중 하나는 특정 클라우드 서비스 제공자에 종속되지 않도록 주의하는 것이다. 그 중에서도 SaaS와 PaaS 단위에서 걱정이 크다.

고위 경영진과 IT 직원들에게는 마이그레이션 프로세스 시작 이전에 대안적인 전략을 마련해두는 것이 중요하다.

보안과 프라이버시 요건을 확인하라
보안과 프라이버시는 아마도 클라우드 인프라 채택을 결정한 기업들에게 가장 큰 걱정거리일 것이다. 모든 IT 보안 관리자들이 클라우드 컴퓨팅 패러다임에 접근할 때 머리 속에 떠올리는 질문들을 몇 가지 모아보았다.

– 비밀 데이터가 클라우드 안에 안전하게 저장되나?

– 사이버 위협 노출에 연관되어 어떤 위험이 있나?

– 클라우드 서비스 제공자의 인력을 신뢰할 수 있나?

– SLA에서 제공되는 보안 수준은 어느 정도인가?

– 준비된 보안 메카니즘에는 어떤 것들이 있나?

– 보안 표준을 준수하나? 어떤 표준을 따르나?

프라이버시는 보안과 밀접히 연관되어 있다. 막대한 양의 민감한 데이터와 PII(personally identifiable information)가 기업에 의해 클라우드 아키텍쳐로 저장되고, 그런 정보를 고의적인 사업 공격이나 보안 사고로부터 보호해야 할 필요성이 있다.

데이터 유출 등의 사고와 정부 규정 위반으로 인해 발생되는 사업적 손해를 방지하기 위해서는 프라이버시와 보안 문제에 대한 효율적인 접근방식이 필수적이다.

회사들은 그들이 속한 산업의 필요에 따라 보안과 프라이버시 문제를 고려해야 한다. 보안 정책이 분석되어야 하는 기반상의 핵심 보안 구조는 인프라, 데이터, 신원, 최종사용자 기기다.

클라우드 아키텍처의 보안과 프라이버시를 향상시키기 위해서 그들의 작업부하를 클라우드로 이동시키기로 결정한 기업들은 다음과 같은 작업을 해야 한다:

– 어느 데이터가 클라우드로 이전되는지 결정하고 정보의 온전성을 확실히 하고 비밀을 보장하는데 필수적인 조치들을 이행하도록 요청해야 한다. 회사가 개발한 핵심 애플리케이션의 소스코드가 클라우드로 이전되어야 하는 상황에서, 소프트웨어 리포지토리는 외부 공격에 대비해 강화되어야 하고 그들의 접속도 내부자들로부터의 데이터 유출을 방지하기 위해 규제되어야 한다.

– 보안 분류 요청을 위한 기업 데이터 매핑하라

– 클라우드 제공자의 보안/프라이버시 조치(예를 들어 물리적 보안, 사고 알림 등)을 살펴보고 그 조치들이 클라우드 SLA상에 확실히 문서화하라

– 민감한 데이터를 식별하라

– 허가와 인증 프로세스를 정의/검토하라

– 적용되는 규제를 살펴보고 클라우드 컴퓨팅으로의 마이그레이션 이후 무슨 조치가 필요한지 조심스럽게 평가하라

– 보안이나 프라이버시 위반의 위험을 관리하고, 클라우드로 이동된 모든 작업/활동의 회사 사업에 미치는 영향을 평가하라

마이그레이션 프로세스 그 자체가 회사 데이터를 사이버 위협에 노출시키고 사고를 유발할 수 있음을 이해하는 것이 중요하다. 그 때문에 IT 직원들은 이전 도중에 데이터를 어떻게 안전하게 보호할 수 있을지 생각해야 한다.

마이그레이션을 프로젝트로 관리하라
클라우드로 아키텍쳐로의 마이그레이션은 IT 직원들에 의해 모습을 갖춰야 하고 회사 내의 다른 부서 관리자들과도 공유되어야 한다. 모든 활동은 정의되고, 기획되고, 집행되어야 하고, 전환 그 자체는 연계 프로젝트로 관리되어야 한다. 이전 요점에서 설명되었듯, 상부 경영진이 수용한 공적인 프로젝트 계획을 정의하는 것은 필수다. 모든 활동은 추적되어야 하고 연계 비용과 위험은 마이그레이션을 거치는 동안 관찰되어야 한다.

모든 부서가 자체 서비스와 애플리케이션을 클라우드로 이전하는데 있어서 달성하고자 기대하는 목표를 설명한 일종의 SOO(Statement of Objectives)같은 것을 준비하는 것도 유용할 수 있다.

정부 환경에서 일상적으로 사용되는 유사한 문서에는 클라우드 인프라로 자체 활동을 이동시키기 위한 인력 준비의 주요 목표가 있다.

SOO에는 다음과 같은 활동에 관련된 정보가 들어갈 수 있다:

– 회사의 모든 자산과 서비스의 재고 조사
– 클라우드로의 마이그레이션 동안 활동의 진화 평가 척도 규정
– 애플리케이션 매핑
– 적절한 서비스 모델(예를 들어 SaaS, IaaS)과 배치 모델(예를 들어 사설, 공공) 식별
– 마이그레이션 기획

마이그레이션이 완료되면 SOO 문서에서 정의된 척도에 따라 새로운 환경 내에서 제품/서비스의 효율성을 입증하는 것이 필수적이다. 테스트 단계는 회사의 전략적 기능에 영향을 제한시키면서 가능한 한 핵심적이지 않은 데이터를 활용해 수행되어야 한다.

필자는 역동적인 접근방식을 필요로 하는 보안 업계의 급속한 진화 때문에 항상 프라이버시와 보안 문제에 특별히 더 관심을 쏟기를 제안한다. 보안과 위험 산정은 국제 표준 준수 하에 지속적으로 수행되어야 한다.

* Pierluigi Paganini는 CEH(Certified Ethical Hacker)이자 20여년 간 보안 서적을 집필해온 저술가다. dl-ciokorea@foundryco.com