[테크앤트렌드]클라우드 환경에서 정보보호 이슈와 해결방안

Photo Image
관련 통계자료 다운로드 클라우드 환경의 보안 위험과 정보보호 관리체계

 클라우드 컴퓨팅은 IT의 소유권이 내부에서 외부로 일부 또는 전체가 이동하는 혁신적인 요구사항을 내재하고 있다. 이러한 요구사항이 발생한 근본적인 원인은 IT와 비즈니스, 더 나아가 정보보호와의 연관관계에서 찾을 수 있다.

 일차적으로 IT와 비즈니스의 연관관계는 상호의존도에 의해 발생하고 있다. 기업은 비즈니스 운영의 편의성을 위해, 대량의 거래 데이터를 관리하기 위해 IT에 의존할 수 밖에 없다. IT 관리에 대한 기업의 부담은 차세대시스템 등 신기술 투자 요구사항으로 나타나고 있다. 또 기업의 경영 전략은 시대적 요구사항을 반영해 빠르게 변화하고 있고, 이러한 변화의 양상은 실시간 기업(RTE)의 형태로 나타나고 있다. 하지만 이러한 전략을 지원하는 IT는 전략의 변화 속도에 맞춰 빠르게 대응하지 못하고 있다. 이렇게 IT에 대한 비즈니스 부담을 고려해 보면, 사용자의 비즈니스 환경에 따라 자유롭게 IT의 제공자를 활용 및 변경할 수 있는 클라우드 컴퓨팅 서비스는 기업의 비즈니스 입장에서 매력적인 IT 활용 방식이다.

 여기서 간과할 수 없는 사실은 기업이 IT에 대해서 부담을 느끼는 것은 사실이지만 IT를 통제하고(govern) 싶은 성향은 분명히 존재한다는 것이다. 빌려 쓰더라도 자기 것처럼 쓰고 싶은 사람의 심리가 존재하는 것처럼 기업이 IT에 가지는 견해 역시 동일할 것이다.

 이차적으로 기업 비즈니스 및 IT와 정보보호의 관계를 살펴보면 정보보호는 태동기부터 현재까지 정도의 차이지만 항상 IT의 일부 또는 독립적인 하나의 객체로서 조직에 작용해 왔다. 기업이 비즈니스와 IT를 위해 어떻게 정보보호를 가져가느냐에 따른 선택의 문제는 기업에 있어 부담을 최소화하는 방향으로 의사결정 돼 왔다. 하지만 최근의 정보보호 및 개인정보보호 관련 컴플라이언스 요구에 의한 정보보호는 선택의 문제가 아닌 필수의 문제로 부각되고 있다. 또 단순히 악의를 가진 침입자로부터 자산을 보호하는 문제 뿐 아니라 보호방법에 대해 국가기관의 실태 점검을 매년 수검받아야 하는 의무적인 사안으로 바뀌었다.

 이러한 사항들을 고려할 때도 클라우드 컴퓨팅 서비스는 무척 매력적이다. 정보보호에 대한 기업의 책임을 클라우드 서비스 사업자와 분담한다는 측면에서 정보보호 전략의 초점이 결정될 수 있을 것이다. 즉, 고객 개인정보 활용에 대한 행정안전부의 실태점검 중 IT 부문을 클라우드 사업자의 책임 하에 보안 SLA의 일환으로 계약함으로써 클라우드 서비스 사용자는 그만큼 책임을 전이할 수 있다는 의미이다.

 다른 관점에서 클라우드 서비스 제공자는 보다 많은 고객을 유치하기 위해 고객 개인정보보호 부문을 강화한 서비스 제공자의 강점을 마케팅적으로 부각시키고 싶을 것이다.

 이처럼 비즈니스, IT, 정보보호 간의 이해관계를 정보보호 관리체계 관점에서 종합해 보면 △클라우드 컴퓨팅을 활용하기 위해선 정보보호 관리체계가 수립돼야 하고 △클라우드 서비스 제공자와 제휴 서비스 제공자의 IT 뿐만 아니라 정보보호 체계를 통제(Govern)할 수 있는 정보보호 거버넌스 체계도 마련돼야 하며 △개인정보를 포함한 정보보호 컴플라이언스 책임을 공유하기 위해 정보보호 관리체계 요구사항이 강화돼야 한다.

 ◇클라우드 환경에서의 정보보호관리체계=ISO27001과 KISA 정보보호관리체계 인증기준을 토대로 살펴보면 클라우드 환경의 정보보호관리체계는 IT 인프라 및 응용시스템의 응용 부문과 외부자 보안 부문을 집중적으로 강화해야 한다. 이러한 관점은 클라우드 서비스 제공자 입장이 주를 이루지만 일부 클라우드 서비스 사용자의 관점도 포함되어 있다. 그림에서는 클라우드 환경에서 보안 위험 및 대책과 정보보호관리체계의 관계를 보여주고 있다.

 그림에 나타난 바와 같이 클라우드 환경에서 정보보호 관리체계는 운영 주체인 클라우드 서비스 제공자의 정보를 관리하는 것뿐만 아니라 사용자의 정보를 관리하는 것이기 때문에 별도의 정보 생명주기 관리 요구사항이 포함된 특징이 있다. 또 클라우드 서비스를 제공하기 위한 핵심 기술로서 ID 연계와 가상화 기술이 요구되므로 해당 기술 요구사항을 정보보호 관리체계의 운영관리 부분에 추가하거나 기존 내용을 일부 변경해 반영해야 한다.

 ◇정보보호 거버넌스 체계수립 요구사항=클라우드 컴퓨팅에서 정보보호관리체계는 기존에 우리가 생각하고 있는 관리체계가 아닌 추가적인 체계로서 정보보호 거버넌스가 필요하다. 정보보호 거버넌스가 필요한 근거는 클라우드 환경의 특징에서 설명할 수 있다.

 클라우드 환경에는 규모에 따라 다르겠지만 3가지 유형의 정보보호 관리체계가 존재한다. 첫번째는 클라우드 사용자의 정보보호 관리체계이고, 두번째는 클라우드 서비스 제공자의 정보보호관리체계, 세번째는 제휴 서비스 제공자의 정보보호 관리체계이다. 클라우드 서비스 사용자들은 서비스를 사용하는 입장에서 이들 세 가지 관리체계를 가장 상위에서 지배하고자 할 것이며 이를 위해서는 정보보호 거버넌스 체계수립이 반드시 필요하다.

 ◇정보보호 컴플라이언스에 대한 책임 공유=기업에서 정보보호관리체계를 수립할 경우 정보보호관리체계 인증을 획득할 수 있는 요건을 갖추는 것이다. 또 이를 토대로 기업은 ISO 또는 한국 KISA의 정보보호관리체계 인증을 획득 및 유지하게 된다. 이러한 인증의 개념은 정보보호 컴플라이언스에 대한 투명성을 보증하는 것은 아니며 단지 정형화된 정보보호관리체계를 수립 및 운영하고 있다는 것을 공인된 인증기관을 통해 대외적으로 확인시켜 주는 기능을 수행할 뿐이다. 하지만 기업의 IT 일부 또는 전체를 클라우드 서비스 제공자에게 맡기는 클라우드 환경에서는 클라우드 서비스 사용자가 신뢰할 수 있는 ‘보증’의 개념을 필요로 한다. 이러한 요구사항을 충족하기 위해서는 재무제표 감사의 일환으로서 아웃소싱 업체에 대한 통제의 적정성을 회계법인에게 보증하도록 요구하는 SOC(Service Organization Control) 인증(과거 내부 통제 기법으로서 활용되었던 SAS 70)과 정보보호관리체계 인증의 접목이 필요하다.

 앞서 언급한 보증의 개념과 인증의 개념을 통합한 체계가 수립됐다면 클라우드 서비스 제공자는 보다 적극적인 마케팅이 가능할 것으로 판단된다. 또 클라우드 서비스 사용자는 보다 정보보호 컴플라이언스 책임에 대한 부담없이 서비스를 활용할 수 있을 것으로 보인다. 언스트앤영에서 살펴본 바에 따르면 ISO 27001의 133개 통제 중, 고객들이 외부 감사 목적으로 요구하는 SOC 보고서(SAS 70 등)에 포함되는 통제가 49개로서 40%를 차지하고 있다. 이러한 검토 결과는 SOC 인증 대비를 위해 ISO 27001의 통제 체계를 활용한다면 상당 부분을 대응할 수 있음을 시사하고 있다.

 지금까지 클라우드 환경에서 정보보호 이슈 및 정보보호 관리체계 수립을 통한 해결방안을 살펴보았다. 현재 클라우드 컴퓨팅이 각광받고 있지만 제시한 정보보호 이슈를 해결하지 않는다면 클라우드 서비스는 프라이빗 서비스에 머무르게 될 것이며 결과적으로 퍼블릭 클라우드 서비스의 활성화를 저해하는 요인이 될 것이다.

  

 윤석진 ISACA코리아 회장(언스트앤영어드바이저리 ITRA 윤석진 파트너)  Suk-Jin.Yun@kr.ey.com