퍼블릭 클라우드와 온-프레미스 인프라, 어느 쪽이 더 안전할까?
컨설팅업체 클라우드 테크놀로지 파트너스(Cloud Technology Partners)의 부사장 존 트레드웨이는 이 같은 질문을 고객들에게 던지고 있다. 트레이드웨이에 따르면, 이에 대한 의견이 분분해지면서 끝도 없는 논쟁이 됐다.
대기업들은 보안에 막대하게 투자한다고 트레드웨이와 대형 클라우드 제공업체는 이야기했다. 더 안전하건 아니건 클라우드가 최소한 대부분의 기업 환경만큼은 안전하다는 게 그의 주장이다.
클라우드 시장이 2016년에도 계속해서 성숙할수록, 기업들은 클라우드-기반 서비스를 그 어느 때보다도 더 쓰고 싶어할 것이다. 지난 10월 미국 라스베이거스에 열린 아마존 웹 서비스의 리인벤트(re:Invent) 컨퍼런스에서 캐피탈 원(Capital One)과 GE(General Electric)의 CIO들은 퍼블릭 클라우드 사용의 엄청난 장점에 대해 언급했다. 뱅크오브아메리카와 골드만삭스의 담당자들 역시 클라우드 서비스와 컨테이너 같은 다른 신기술들을 사용하고 있다고 전했다.
하지만 클라우드 보안에 대한 의문은 여전하다. 최근 1,500명의 IT종사자들을 대상으로 한 451 리서치 그룹(451 Research Group)의 조사에서 보안, 규제 준수, 데이터 주권이 퍼블릭 클라우드 사용을 막는 3가지 가장 큰 이유로 나타났다.
그렇다면 2016년 보안에서 클라우드 시장의 입지는 어떻게 될까?
‘퍼블릭 클라우드가 더 안전하다’ 긍정적인 평가
만약 클라우드 아카이브 업체 소니안(Sonian)의 CTO인 그렉 아넷에게 클라우드가 온프레미스 인프라보다 더 안전하냐고 묻는다면 그는 “당연히 그렇다”고 답할 것이다. 소니안의 서비스는 대부분 AWS의 클라우드에서 호스팅된다. 퍼블릭 클라우드는 정보 탄성과 프라이버시라는 2가지 핵심 보안 분야에서 뛰어나다고 아넷은 주장했다. 탄성(Resiliency)는 데이터를 잃지 않거나 데이터가 오염에 민감하도록 하는 개념이다. 아마존의 심플 스토리지 서비스(Simple Storage Service)는 99.999999999%의 내구성과 1년내 99.99%의 가용성을 위해 설계되었다고 아넷은 말했다. 이는 온프레미스에서는 따라가기 어려운 수준이다.
프라이버시 측면에서 AWS의 IAM(Identity and Access Management) 서비스는 기업이 AWS 환경 안에서 개별 사용자가 무엇을 할 수 있는지에 대한 세밀한 제어를 부과할 수 있게 해준다. (IAM은 사용자의 기존 액티브 디렉토리 혹은 다른 인증 플랫폼과 합쳐진다) 또 AWS는 사용자에게 AWS 계정 내에서 발생되는 모든 활동들의 세분화된 로그에 접속하게 해줘서 비일상적 혹은 잠재적으로 위험한 활동을 감사할 수 있는 능력을 제공하고 있다.
“클라우드는 침투 공격의 표면적을 줄여준다. 클라우드로의 진입점이 아주 잘 규정되어 있고, 다중 인증과 웹-기반 토큰, 시간-제한 접속, 기타 성숙한 툴들로 잠길 수 있다는 점 때문에 그렇다”고 아넷은 말했다. 이런 툴들을 온-프레미스 환경에서 배치 하는 데는 인프라에 대한 대규모 투자뿐 아니라 이를 관리하기 위한 팀도 필요하다. 클라우드에서 그런 일은 몇 번의 클릭만으로 시작할 수 있다.
클라우드 지지자들의 기본적인 논지는 대부분의 일반 기업들이 스스로 할 수 있는 것보다 아마존, 마이크로소프트, 구글, IBM, VM웨어와 기타 IaaS 업체들이 더 많은 노력을 보안에 쏟고 있다는 것이다.
‘퍼블릭 클라우드는 안전하지 않다’ 부정적인 평가
그럼에도 아넷은 클라우드가 온프레미스 인프라보다 안전성이 떨어진다는 ‘다른 시각으로 세상을 바라보는’ 사람들이 있고 앞으로도 있을 것이라는 점을 인정했다.
클라우드 비관론자들에게도 나름의 타당한 이유가 있다. 2014 코드스페이스(CodeSpaces)는 클라우드를 잘못 사용하는 전형적인 사례가 되었다. 해커들은 회사의 중앙 AWS 운영에 대한 접속권을 탈취하고 몸값을 요구했다. 몸값이 지불되지 않으면 해커들은 코드스페이스의 AWS 환경 내 모든 것들을 삭제했다. 이때가 클라우드의 암흑기였다. 몇몇 사람들은 이 사건을 왜 클라우드가 안전하지 않은지에 대한 예시로 보았다. 다른 이들은 이 사건을 교훈으로 삼았다.
하지만 퍼블릭 클라우드로 절대 옮겨가지 않을 특정 작업부하들이 존재한다. 몇몇 기업들은 규제, 준수, 안전, 혹은 고객 요청의 이유로 ‘에어-갭(air-gap)’ 오프라인 데이터센터 운영을 요구하는데, 이는 데이터센터에 네트워크 연결성이 없는 상태를 의미한다. AWS 환경 안전에 특화된 기업 에비던트.io(Evident.io)의 CEO인 팀 프렌더개스트는 퍼블릭 IaaS가 무엇이냐는 정의에 따라 (인터넷 접속을 통해 제공되는), 에어갭이 퍼블릭 클라우드에서 불가능할 수 있다고 말했다. 하지만 프라이빗 IaaS 클라우드는 이야기가 다르다.
대부분의 다른 작업부하 심지어 고도로 규제되는 산업들의 작업부하도 이론상으로는 퍼블릭 클라우드로 이동한다. 맥켄지 코섯(왼쪽 사진, 출처 : 링크드인)은 의료와 금융분야에서 일했고, 2번 다 AWS를 많이 사용했다. “보안에는 2가지 핵심 철학이 있다: 접속 제한과 모든 것의 암호화”라고 현재는 온라인 투자 컨설팅업체 베터멘트(Betterment)의 기술 운영 총괄을 맡고 있는 코섯은 말했다. 그는 이전까지 뉴욕의 오스카 헬스(Oscar health)에서 일했다. 두 회사 모두 AWS의 클라우드를 구동하는 동안 HIPAA와 FINRA 규제를 준수했다.
하이브리드 클라우드 스토리지 업체 콤프라이스(Komprise)의 COO이자 전직 시트릭스 클라우드 매니저인 크리쉬나 수브라마니안은 고객들이 그들의 온프레미스 에서 암호화 키를 관리할 수 있는 능력이 보안을 염려하는 클라우드 사용자들에게는 큰 장점이 된다고 말했다. AWS의 HSM(Hardware Security Module)은 사용자들이 자체 서버에서 데이터를 암호화하고 키를 방화벽 이면에 존재하는 HSM내 암호화해 저장할 수 있게 해주는 온프레미스 인프라 어플라이언스다. 오직 암호화된 데이터가 퍼블릭 클라우드로 보내지고 키는 고객의 프레미스를 절대 떠나지 않는다.
클라우드TP(CloudTP) 중역인 트레드웨이는 어떤 인프라가 더 안전한지에 대한 모든 논쟁이 중요한 게 아니라고 지적했다. “대부분의 보안 문제는 인프라와 관련이 없다”며 “문제는 애플리케이션에서 발생한다”고 주장했다.
신용카드 정보를 해킹 당했을 때는 주로 신용카드 정보를 담고 있는 해당 기업의 애플리케이션이 공격의 대상이지 이를 호스팅 하는 인프라가 공격 대상이 되지는 않는다. “만약 사람들이 진짜 보안에 투자하고자 한다면 애플리케이션의 보안에 초점을 맞춰야 하고 아마존, 마이크로소프트, 구글, 혹은 다른 클라우드 제공자로 하여금 인프라를 보호하도록 해야 한다”고 트레드웨이는 강조했다. dl-ciokorea@foundryco.com
