클라우드 컴퓨팅이 C-레벨급 보안 담당자들 사이에서 최대 이슈로 떠오르고 있다. 클라우드 서비스를 이용하면 비용절감 외에도 다양한 이점을 얻을 수 있기 때문이다. 하지만 그와 동시에 보안과 컴플라이언스 이슈는 기업들의 클라우드로부터 확보할 수 있는 혜택을 얻기 위한 노력 때문에 논쟁의 중심에 서있다.
클라우드는 ▲클라우드는 컴플라이언스 요구 사항의 적용을 받는 어플리케이션과 데이터를 사용하는데 유용한가? ▲클라우드를 컴플라이언스하는 것이 과연 가능한가? ▲클라우드의 영향력에 대한 논란을 잠재울 수 있는 확실한 기준이 마련돼 있는가? 등의 의문을 남긴다. 이에 대한 대답은 신속히 제시되어야 한다. 물론 상황에 따라 다른 답이 나올 것이다. 클라우드 서비스의 전체적인 맥락을 이해해야 의미 있는 답을 도출할 수 있기 때문이다.
그렇다면 클라우드 서비스는 퍼블릭과 프라이빗 중 어느 것을 선택하는 게 좋을까?
회사가 제시하는 컴플라이언스 요구 사항은 컴플라이언스를 제대로 수행하고 있는지를 파악하기 위한 실마리를 제공해준다. 사실 컴플라이언스와 클라우드에 대해 전반적으로 서술하는 것은 불가능하다. 이는 IT벤더들이 다양한 유형의 클라우드 서비스와 단일 기업들을 위한 인프라스트럭처를 제공할 수 있기 때문이다.
최근 미국표준기술연구소(NIST)지는 서비스로서의 인프라스트럭처인 IaaS, 서비스로서의 플랫폼인 PaaS, 서비스로서의 소프트웨어인 SaaS 등 세 가지 서비스 모델을 발표했다. 그리고 프라이빗 클라우드, 커뮤니티 클라우드, 퍼블릭 클라우드, 하이브리드 클라우드 등 네 가지 디플로이먼트 모델을 제시했다.
이런 각각의 서비스와 배포(deployment) 모델은 고객들을 다양한 수준으로 제어하고, 고객과 서비스 판매자 양쪽에 다양한 보안과 컴플라이언스 준수에 대한 책임을 지워줄 수 있다.
예를 들어 프라이빗 클라우드 하에서는 적합한 규제로 설치된 것은 무엇이든지 무료로 이용할 수 있다. 그리고 퍼블릭 클라우드와 커뮤니티 클라우드, 하이브리드 클라우드의 고객들은 전형적인 규제 정도를 갖지 않게 된다. 뿐만 아니다. IaaS 서비스 이용자들은 일반적으로 SaaS 소비자에 비해 높은 융통성을 제공받을 수 있으며, 높은 융통성은 이용자들을 위한 보안과 컴플라이언스에 막중한 책임을 부여하게 한다.
클라우드 컴퓨팅은 다양한 클라우드 서비스 모델과 배포 유형이 교차 작용하기 때문에 많은 이점을 제공한다. 또한 주소 보안에 대한 우려와 컴플라이언스 의무를 만족시키는 데 유용하다. 퍼블릭 클라우드 서비스에서 컴플라이언스 하는 것은 매우 어려운 작업이지만, 프라이빗 클라우드 하에서는 컴플라이언스를 가능하게 해주는 클라우드를 통해 규제하는 것이 보다 간단하다.
명확한 법 체제를 정비하는 일 또한 중요하다. HIPAA, 그램 리치 블라일리 법 (Gramm-Leach-Bliley Act:GLBA) 등 대부분의 컴플리안스 요구 사항들은 서비스 판매자들이 제공하는 보안 규제에 대한 이해와 더불어 상세한 분석을 요구한다.
하지만 퍼블릭 클라우드의 경우 서비스 판매자들이 제공하는 보안 규제에 대한 설명은 다소 불명확하다. 클라우드 서비스 사용을 고려하고 있다면, 내부적으로 갖춰야할 적절한 규정의 구체적인 요구 사항과, 클라우드 서비스 판매자로부터 제공받은 규제 장치 사이의 차이 분석해야 한다. 또한 주기적으로 클라우드 서비스 규제 상태에 대한 평가를 요구받기 때문에 컴플라이언스의 많은 요구 사항들을 명확히 충족시켜야 한다.
컴플라이언스 요구 사항에 포함되는 데이터와 어플리케이션을 위한 클라우드 컴퓨팅 서비스의 사용은 서비스 판매자에게 높은 투명성을 요구한다. 만약 이 세 가지 클라우드 서비스를 고려한다면, 계약서와 SLA(서비스 수준 협정)을 면밀히 검토해야 한다. 그리고 클라우드 서비스가 컴프라이언스 요구 사항을 어떻게 충족시키고 있는지를 이해해야 한다.
아마도 미래의 클라우드 서비스는 특정한 산업군의 규제 사항을 완벽히 충족시키는 대안으로 부각될 것이다. 그러나 현재는 클라우드 구매자들이 그들의 요구사항을 꼼꼼히 따져 서비스를 수요해야 할 것이다.
<자료: IDG뉴스서비스> <데일리그리드>