[인터뷰] 짐 리비스 CSA(Cloud Security Alliance) 글로벌 대표
▲ 짐 리비스 CSA 글로벌 대표
클라우드 보안 행사인 CSA Summit Korea가 18일 개최됐다. 이번 행사는 클라우드 보안 권장사항, 보안이슈 및 해결방안, 글로벌 선진사례 공유를 통해 국내 안전한 클라우드 적용 방안을 모색하기 위해 마련됐다.
CSA(Cloud Security Alliance)는 전 세계 보안 대가들이 모여 만든 영향력 있는 글로벌 보안협회로 구글, HP, 시스코, IBM, 시만텍 등 100여개 IT기업들이 클라우드 보안을 위해 협력하고 있다.
현재 전 세계 50개 지부가 운영되고 있으며 CSA Korea(한국클라우드보안협회)는 올해 3월 설립됐다. 소프트포럼, 닉스테크, 파수닷컴, 한글과컴퓨터, 한국트렌드마이크로, 한국CA 등 20여 개 사가 회원사로 활동 중이다.
국내에서 첫 번째로 열린 CSA Summit Korea 행사에 참여하기 위해 방한한 짐 리비스(Jim Reavis) CSA글로벌 대표를 만나 CSA의 활동 소개와 클라우드 관련 주요 보안 이슈, 클라우드 보안 대응 방안 등에 대해 들어본다.
- CSA의 주요 업무 및 활동이라면.
CSA는 연간 100여 차례의 전 세계적인 클라우드 관련 교육활동과 교육 목적의 컨퍼런스를 진행하고 있으며 리스크관리를 위한 감사 툴 개발, 각 국 정부를 대상으로 중립적인 입장에서의 정책조언을 하고 있다. 또한 클라우드 모범사례를 수집해 업계 표준화에도 기여하고 있다. 표준을 만들기 위해 보통 2~5년이라는 기간이 소요되는데 클라우드 컴퓨팅은 기술과 시장상황이 너무 빠르게 변하기 때문에 표준을 만드는 게 어렵다. 따라서, CSA에서는 이러한 변화를 재빨리 반영해 표준화로 이어질 수 있는 다양한 연구 활동들을 하고 있다.
- 클라우드 관련 주요 보안이슈는.
해커에 의한 보안 침해 우려보다는 컴플라이언스 이슈가 더 크다. 서비스가 현지 법적요건에 맞춰 운영되며, 관련 투명성을 제공하는지가 이슈화되고 있다. 다음이 해커에 의한 보안공격이다. 클라우드 도입 시 다양한 접근 경로를 통한 데이터 공격이 일어날 수 있다. 대기업의 경우만 보더라도 다양한 보안위협에 대응해 심층방어를 하고 있는데 현재 클라우드 운영 부분에는 적용이 안 되어 있다. 조직 내 리스크 수준을 지속적으로 확인하고, 지원해야만 보안이 보장된 안전하고 편리한 클라우드 서비스를 이용 가능하다.
- 클라우드 보안 강화 방안은.
어떤 것이든 100% 완벽한 보안은 없다. 클라우드를 도입한다고 무조건 보안이 약화되는 것만도 아니다. 중소기업들의 경우 온라인상 20분 내 해커의 공격을 받을 정도로 보안이 취약하다. 그러나 작은 규모의 기업들이 클라우드로 갔을 때 전문화된 리스크 관리가 이뤄지므로 기존보다 보안이 더 향상될 수 있다.
클라우드 보안 강화는 서비스 제공자와 서비스이용자 간 협상에 의해 달성될 수 있다. 협상 수준이 어떠냐 즉, 보안의 책임소지가 분명한가?, 보안 품질을 살펴볼 제 3자가 있는가? 등에 의해 보안 강도가 달라질 수 있다.
- 클라우드 서비스 관련 표준화 현황은.
이미 몇몇 표준은 완성이 된 반면, 아직 시작도 못한 부분도 있다. 업계 합의한 내용이 표준화가 되기 때문에 시간 많이 걸리는 이유다. 가상머신을 다른 서비스 업체로 이전할 때 표준이나 멀티도메인 비즈니스 환경에서 필요한 페더레이션 컨셉의 계정관리(IDM) 표준 등은 이미 마련되어 있다. 각국 정부들의 표준화 수준은 중간 단계로 볼 수 있다. CSA에서는 클라우드 관련 표준이 존재하는지를 명시해 이해도를 높이도록 도움을 주고 있다. ISO, IAC 등 표준화 기구들과도 긴밀히 협력하고 있는데 내년 초 협력 성과는 가시화될 것 같다.
- 각국 정부들과의 협력을 통해 느낀 점은. 한국 정부와도 협력 계획이 있나.
보안적인 조언은 각 국 정부의 요청이 있을 때 하는데, 한국 정부로부터는 아직 요청을 받지 못했다. 한국은 기술 수준이 높고, 교육을 받은 인재가 많은 중요한 국가기 때문에 조만간 한국정부와도 협력의 기회가 생길 것으로 본다.
한국의 클라우드 도입 속도는 느리지만, 규제가 복잡한 유럽 국가들보다는 오히려 빠르다. 한국의 클라우드 미래에 대해 낙관하고 있다. 클라우드 서비스에 있어 중요한 초고속 네트워크망이 잘 갖춰져 있고 모바일기기 등 IT제조업 부분에 있어 입증된 부분이 있기 때문이다.
각국 정부를 다니다 보면 데이터센터 등 물리적인 인프라에만 관심을 쏟는 경우가 많은데, 향후 가장 가치와 혁신을 이끌어 내는 부분은 SaaS 부분이다. 그러나 각 국 정부는 아직까지 이 부분을 소홀이 하는 경향이 있다. 정책수립은 기존 규정과 법규를 재해석해서 클라우드에 접목시키는 것이 아니다. 국내만 생각할 게 아니라 글로벌한 접근이 필요하다.
- 클라우드 도입하려는 국내 기업들을 위해 조언을 한다면.
클라우드 도입 시 유·무선을 아우르는 총체적인 전략을 가져가야 한다. 보안 전략도 마찬가지다. 기존에 방화벽을 이용해 보안을 했지만, 모바일기기를 통해 클라우드에 직접 접근하는 환경에서는 방화벽이 의미가 없다. 기업들은 오늘은 어떤 기업과 경쟁하지만, 내일은 또 협력할 수 있는 경계가 불분명한 시대를 살고 있다. 이런 상황에서 어떤 디바이스를 신뢰할 수 있고, 다른 디바이스로 데이터 이동 시 신뢰성을 확보하기 위한 고민이 이뤄지고 있다. 기업들은 클라우드 환경에서 산재한 모바일기기들에 대해 접근 통제를 할 수 있는 매커니즘을 제공해야 한다. 중앙에서 데이터 삭제, 모바일 기기에 대한 원격 제어(Kill), 데이터 다운로드 /관리 기술이 필요하다. 이제 기존에 의존했던 방화벽 기술이 아닌 온라인상에서 데이터를 관리하는 기술로 옮겨가야 할 때다.
김정은 기자
jekim92@itdaily.kr