천준호 삼성SDS 클라우드보안서비스 그룹장은 “클라우드 환경의 라이프사이클이 (기존 서버의) 몇 년 단위에서 몇 주, 몇 시간 단위로 짧아지고 업무 구조도 완전히 달라질 수 있다”고 했다.
천 그룹장은 이날 서울 중구 웨스틴조선호텔에서 열린 ‘사이버안보콘퍼런스2022′에 참석해 “클라우드는 마우스 클릭 한번으로 엄청난 규모의 작업이 가능하기 때문에, 연간 보안 점검 만으로는 보안 체계를 유지하기 어렵다. 이에 클라우드 전환을 단계 별로 나눠 구체적인 보안 정책을 운용할 필요가 있다”고 했다.
천 그룹장은 클라우드 전환에 따른 보안 강화를 ▲초창기 ▲과도기 ▲완성기 등 총 3단계로 제시했다. 초창기는 소규모의 워크로드를 시범적으로 전환되는 시기를 말한다.
아마존 웹서비스(AWS), 마이크로소프트(MS), 오라클, IBM, 구글 등은 각 사업자마다 사용자와 운영자의 ‘공동책임모델’을 구성하고 있다. 클라우드 전환 초창기 시기일 수록 사용자의 보안이 중요하다는 의미다.
천 그룹장은 “사용자는 자기만 쓰는 영역에 대한 보안을 강화해야 하고, 사업자는 공용의 영역의 안정성을 확보해야 한다”며 “초창기 전환 시기에는 보통 적합성 검토, 업체 선정, 책임식별, 폐기절차, 침해대응, 취약점 진단 등 최소 6개 단계 이상의 보안 정책을 운영해야 한다”고 했다.
과도기 단계에는 보안 자동화 솔루션을 도입하는 것이 필수다. 천 그룹장은 “기업이 커질 수록 내부의 인적 요소에 대한 보안이 중요해진다”며 “직원 한 명의 사소한 실수나 고의적인 변화만으로 엄청난 보안 사고로 이어질 수 있기 때문에, 보안 자동화 솔루션을 통해 취약범을 미리 탐지해 보안 사고를 방지해야 한다”고 했다.
정착기에는 다양한 써드파트들의 보안 솔루션을 사용할 필요가 있다. 최근 클라우드 보안은 클라우드 서비스 제공업체)CSP가 자체적으로 제공하는 보안 상품과 서비스를 최대한 활용하면서 ▲보안형상관리(CSPM) ▲클라우드 워크로드 보호 플랫폼(CWPP) ▲클라우드 접근 보안 중개 서비스(CASB), 등 다양한 클라우드 전용 보안 솔루션을 적용하는 게 트렌드다.
삼성SDS는 국내 최초의 클라우드 보안 서비스 상용화와 AWS 보안 컴피턴시(Security Competency)를 획득했다. 또 시장조사업체 IDC의 마켓스케이프(Marketscape) 등재와 AWS 네이티브(Native) 보안관제 개시 등 클라우드 보안 시장을 개척해왔다.
천 그룹장은 “클라우드 시장의 규모가 커지면서 클라우드 보안에 대한 위협이 높아지고 있다”며 “기업들이 클라우드 도입을 꺼려하는 이유도 사용자 데이터 보호 등 보안 이슈가 많기 때문이다”고 했다. 이어 “앞으로 클라우드 전환의 각 단계별로 어떤 보안 과제가 나올 지 모르겠지만, 기업들이 각 단계별로 보안을 대응할 필요가 있다”고 덧붙였다.
= 박성우 기자