안랩 "클라우드 '보안'만큼은 종속 피해라"

김윤희 기자 2021. 10. 20. 18:16
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
"책임 문제·전문성 고려하면 CSP에 전담은 금물"

(지디넷코리아=김윤희 기자)"클라우드 사업자(CSP)들이 자체적으로 제공하는 여러 서비스들이 있고, 이 중에는 보안 솔루션도 있다. 그러나 보안은 이런 서비스를 사용해 특정 클라우드 사업자에 종속될 가능성을 만들기보다, 독립성을 유지해 체계를 구성하는 것이 합리적 선택이다. 특정 클라우드에서만 제공되는 서비스가 아닌, 매니지드서비스사업자(MSP)의 서비스를 택하는 것이 효과적이다."

최광호 안랩 클라우드사업본부장은 20일 개최된 보안 전략 컨퍼런스 '안랩 ISF 2021'에서 발표자로 나서 이같이 조언했다.

비즈니스 상황에 따라 기업이 여러 클라우드를 함께 쓰거나, 다른 클라우드로 인프라를 이전할 가능성을 염두해 특정 사업자에 종속되지 않는 보안 전문 사업자의 조력을 받으라는 것이다.

최광호 안랩 클라우드사업본부장

최광호 안랩 클라우드사업본부장

이날 최광호 본부장은 보안을 비롯해 기업이 IT 인프라를 클라우드로 이전할 때 고려해야 하는 사항들을 분석했다. 

기업이 직접 구축하고 관리하는 온프레미스 시스템 대비 CSP들이 관리하는 클라우드는 보안 수준이 더 우수하나, 알려지지 않은 취약점 등으로 발생하는 보안 문제까지 완벽히 예방할 수 없다. 기업의 실수나 설정 오류 등으로 발생하는 보안 사고도 마찬가지다. 

실제로 이런 원인에 따른 클라우드 보안 사고도 지속적으로 발생하고 있다. 원인에 따라 클라우드 기반 서비스에 장애가 발생하거나, 개인정보가 대량 유출되는 등의 피해가 나타나고 있다. 클라우드 사용에 따른 새로운 유형의 취약점들도 속속 등장 중이다.

최광호 안랩 클라우드사업본부장

최광호 안랩 클라우드사업본부장

클라우드에서 보안 사고가 발생할 경우 CSP는 상황에 따라 자사와 고객사 간 책임 비중을 분배하는 책임공유모델을 운영한다. 그러나 여전히 온프레미스 시스템에 익숙한 국내 기업들은 보안 사고에 대한 책임을 CSP가 전부 책임지지 않는 상황을 받아들이기 어려워한다는 게 최 본부장 설명이다. 책임 소재가 나눠진다 해도 대부분의 경우 기업이 자체적으로 발생한 피해를 감수해야 하고, 무엇보다 이런 접근은 '사후약방문'에 지나지 않기 때문에 보안에 완벽을 기하려면 추가적인 사전 예방 노력을 필요로 한다.

보안 사고 외 개인정보 보호와 관련된 각종 규제 대응도 클라우드 도입에 따르는 고민거리다. 최 본부장은 "사업 분야에 따라 각종 법령 및 인증 준수, 상위 부서나 감독기관의 점검 등을 받아야 하는 경우가 있는데 클라우드로 이전한다고 CSP가 이런 부분을 완벽히 대응해주지 않는다"며 "여러 고객에 공통된 규제 사항에 대해서는 CSP가 서비스로서 제공하지만, 개별 기업에 따르는 특수한 사항은 여기에 해당되지 않기 때문에 기업이 각자 스스로 대응해야 한다"고 언급했다.

특히 이에 대한 문제가 발생 시 법적 책임은 CSP가 아닌, 기업에게 돌아간다는 점을 고려하면 기업이 주도적으로 정보보호 체계를 수립해야 한다고 강조했다. 최 본부장은 "현행 개인정보보호법과 정보통신망법은 보안 사고가 발생할 경우 CSP에게 그 책임이 있더라도, 이에 대한 관리·감독 의무를 지닌 클라우드 사용 기업에 원칙적으로 책임을 지운다"며 "CSP에서 제공되는 보안 조치가 무엇이고, 여기서 대응되지 않는 부분에 대해 필요한 조치는 무엇인지 주체적인 관리가 필요하다"고 첨언했다.

최 본부장은 기업이 어설프게 대응해서는 이런 문제를 사전 차단하기 어렵다며, 전문가의 조력을 구할 것을 추천했다. 최 본부장은 "기업에 있어 개인정보보호법 대응은 큰 숙제 중 하나인데, 업무 편의를 이유로 법을 무시하거나 자의적으로 해석하지 말아야 한다"며 "일례로 정보통신망법 상 개인정보처리시스템에는 악성코드 감염을 방지할 백신 설치를 요구하고 있는데, '유닉스'라는 표현이 등장하지 않는다는 이유로 유닉스 시스템에서 백신을 꼭 설치하지 않아도 된다고 하는 경우도 있었다"고 말했다.

이어 "여러 법 상에 존재하는 정보보호의 기본적인 틀은 대동소이한 편"이라며 "전문가의 도움을 받으면 준수해야 하는 규제 가짓수에 비해 실제 대응은 수월해질 수 있다"고 덧붙였다.

그 외 온프레미스에서 클라우드로의 이전 시 내부 직원들이 새로운 시스템에 익숙해질 수 있도록 점진적인 학습 및 적응을 거쳐 추진할 것도 조언 사항으로 꼽았다.

김윤희 기자(kyh@zdnet.co.kr)

Copyright © 지디넷코리아. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
지디넷코리아에서 직접 확인하세요. 해당 언론사로 이동합니다.