무와 관리 업무로 구분되는 전통적인 방식에서 벗어나, 운영팀과 개발팀과의 협업을 향상하거나 통합함으로써 애플리케이션 수명 주기 전반에 더 빠르고, 안정적인 IT 서비스를 제공하고 있다. 최근 클라우드 환경은 애플리케이션을 개발, 배포하고 운영하는 방식이 혁신적으로 변화되었다. 오늘날 IT 비즈니스의 가장 큰 경쟁력은 신속성이며, 이러한 환경에 부합하는 DevOps가 보편화되고 있다. DevOps는 개발(Development)과 운영(Opereations)의 합성어로 가트너에서는 시스템 중심의 접근방식에서 신속하고 간결한 IT 서비스 제공에 중점을 둔 IT 문화의 변화로 정의하고 있다.
3) 지능화된 대응체계 구축
기존의 방어체계는 사람에 의해 24시간 사이버공격을 관제하고 대응하는 상황으로, 이러한 방법으로는 고도화되는 사이버공격과 복잡해지는 운영 환경, 보안 인력 부족 등 여러 영향으로 인해 한계가 발생할 수밖에 없는 구조이다. 이와 같이 자동화를 통해 단순하고 반복적인 업무를 줄여 주는 보안 오케스트레이션 및 자동화(Security Orchestration and Automation, SOA) 영역과 보안사고 발생 시 정해진 프로세스에 따라 대응체계를 자동화 하는 보안사고 대응 플랫폼(Security Incident Response Platforms, SIRP) 및 여러 보안요소들에서 위협 데이터를 수집, 연관 분석을 수행하고 기존 보안시스템과 연계를 통해 위협에 대한 대응력을 높일 수 있는 위협 인텔리전스 플랫폼(Threat Intelligence Platforms, TIP)을 통합한 것이 보안운영 자동화 및 대응(Security Orchestration, Automation and Response, SOAR)이다.
4) Public 클라우드 환경의 보안대책
많은 기관과 기업에서는 클라우드 전환을 추진하고 있으며, 정부에서도 「데이터 경제와 인공지능 시대를 대비한 클라우드 산업 발전 전략(2020.6월)」을 발표하는 등 Public 클라우드 환경으로 전면적인 전환을 추진하고 있다. 그러나, 많은 기업에서 Public 클라우드 환경에서 보안을 우려하기도 하고, 보안은 클라우드 서비스 제공자에게 모든 책임이 있다는 오해를 하기도 한다. 먼저, 클라우드 서비스 제공자의 보안 서비스 수준을 정확히 인지하여야 한다.
7, 클라우드 컴퓨팅 보안의 고려사항
컴퓨터 보안 전문가인 브루스 슈나이어는 “완벽한 보안은 없다”라고 선언하였으며, “보안은 완벽할 필요는 없지만, 위험은 관리할 수 있어야 한다‘라고 하였다.
조직에서는 많은 인력과 예산, 다양한 보안 솔루션, 관리체계를 통하여 최선의 보안 활동을 수행하고 있으나, 완벽한 보안은 없다는 것에 동의할 수밖에 없다. 따라서, 보안사고에 대비한 위험관리가 중요하다. 앞에서 언급한 다양한 보안 솔루션은 어느 하나로 보안 위협에 완전히 대응할 수 없으며, 비즈니스 환경에 맞게 적절한 위협 대응체계를 갖추어야 한다. 그럼에도 보안 사고는 언제나 발생할 수 있으며, 이에 대비한 위험관리가 필요하다. 대표적으로 주기적인 백업 및 소산을 통한 복구체계 마련, 업무등급을 사전에 분류하고 주요 업무서비스에 대한 재해복구시스템(DRS, Disaster Recovery System) 구축과 같은 업무연속성 계획(BCP, Business Continuity Plan)을 마련하고, 주기적으로 점검하는 것이 중요하다.
또한 지능형 클라우드 컴퓨팅 센터는 소프트웨어 조작만으로 자동 제어와 관리가 가능하여 사람의 개입이 최소화되어 신속성, 안정성, 공유성, 유연성 등 클라우드 서비스의 장점을 극대화할 수 있는 소프트웨어 정의 기술이 적용된 데이터센터이다. 국내외로 4차 산업혁명 기반의 혁신성장이 대두됨에 따라 국가정보자원관리원도 이를 선도하기 위해 현재 운영 중인 클라우드 체계를 진화시켜 지능형 클라우드 컴퓨팅 센터로의 전환을 추진하고 있다. 지능형 클라우드 컴퓨팅 센터가 구축되면 현재 대전 본원, 광주센터와 향후 완공될 대구센터, 공주센터를 포함하여 4개 센터 간 자유로운 클라우드 서비스 제공이 가능해질 예정이다.
국가정보자원관리원은 2005년 출범한 이후 지난 15년간 끊임없는 혁신으로 정부 IT 자원의 물리적 통합과 운영 안정화에 성공하였으며, 부처 간 보이지 않는 칸막이를 허물고 IT 자원을 누구나 필요한 만큼 나누어 쓸 수 있는 클라우드 데이터센터로의 전환을 성공적으로 수행하고 있다. 또한 국가정보자원관리원은 갈수록 다양화되고 복잡해지는 전자정부 서비스의 안정적인 운영을 위해 기존 대전 본원과 광주센터에 이어 대구센터와 재해복구 전용 센터인 공주센터까지 더해진 4개 센터 체계를 완성하고 중앙부처와 지방자치단체 등 공공기관을 연계하는 국가 융합망을 구축하는 등 전자정부의 핵심 거점으로써의 지속적인 혁신을 추진할 것이며 그간의 운영 성과를 바탕으로 IT 신기술과 미래 환경 등을 종합적으로 분석하여 발전 방향을 수립하여 추진해 나갈 예정이다.
결론
클라우드 컴퓨팅은 그 편리함과 가능성으로 인해 이미 전 세계적으로 각광받기 시작한 새로운 컴퓨팅 이용 방식이라 할 수 있다. 종래 컴퓨터 프로그램 활용방식은 컴퓨터의 하드웨어, 소프트웨어, 네트워크, 스토리지 등 다양한 H/W, S/W를 구동하여 원하는 작업을 하는 방식이었다면 클라우드 컴퓨팅은 장소나 기기에 대한 제약없이 언제, 어디서나, 클라우드 컴퓨팅 사업자가 제공하는 서비스를 이용할 수 있다. 반면 이러한 편리성으로 인해 해킹과 정보 누출 등 다양한 보안 위협에도 노출되어 있기 때문에 이에 대한 대책 마련 또한 시급한 실정이라 할 수 있다. 민간 뿐 아니라 정부의 공공 데이터베이스 등 공적 영역의 광범위한 정보와 데이터를 처리하고 보관하고 있는 실정에서 금번 KT 전산 오류 사태 등에서 볼 수 있듯이 합리적인 보안시스템과 인재육성, 보안 미비점 발견 및 개선 등 지속적인 보안정책을 시행하여 다가올 클라우드 컴퓨팅 시대에 대비해야 한다고 생각한다.
[참고문헌]
클라우드의 미래모습과 보안, 강동석, 한국지능정보사회진흥원
국내 클라우드 컴퓨팅 활성화를 위한 정책과 방향, 안성원, 소프트웨어정책연구소