[데이터넷] 클라우드를 사용하면 인프라와 서비스 운영을 전문가에게 맡기고, 기업/기관은 핵심 비즈니스에만 전념할 수 있다. 그러나 클라우드에서 발생하는 모든 문제를 클라우드 사업자가 책임지지 않는다.
‘책임공유모델’에 따라 사용자도 클라우드 운영 상 필요한 일정한 부분을 책임져야 한다. 책임공유모델에 대해 일각에서는 ‘책임 전가 모델’이라고도 비판하지만, 클라우드 사업자가 사용자의 데이터를 모두 다 들여다보고 통제할 수 없기 때문에 책임의 범위를 분명하게 구분해 정의하는 것이 필요하다.
장노륜 네이버비즈니스플랫폼(NBP) 부장은 “클라우드는 사업자와 사용자가 서로의 영역을 투명하게 들여다 볼 수 없기 때문에 완벽하게 신뢰할 수 없다. 클라우드에서 보안이나 장애 문제가 발생했을 때 책임 소재를 두고 다양한 갈등이 생길 것이며, 이와 관련된 소송도 진행될 수 있다. 이러한 문제를 미리 예방하고 클라우드 운영을 효율화하기 위해 책임보안모델이 제안된 것”이라고 설명했다.
그는 이어 “책임공유모델이 있다고 해도 사고의 원인과 책임이 분명하게 나뉘지 않을 수 있으며, 해석에 따라 다른 결론에 이를 수도 있다”며 “따라서 사용자들은 클라우드를 사용할 때 반드시 이용 약관을 꼼꼼하게 살펴보고, 서비스 수준 규정(SLA)을 확인해 무엇을 기준으로 해당 SLA를 보장하는지 따져봐야 한다”고 강조했다.
장노륜 부장은 IT 아웃소싱(ITO) 서비스 계약과 클라우드 계약 과정을 비교해 설명했다. 일반적으로 기업이 ITO 서비스 계약을 체결할 때 SLA를 살펴보고 법무 검토를 거쳐 사업자의 서비스 범위와 면책조항 등을 확인한다. 그러나 클라우드는 이러한 고민 없이 도입하는 경우가 대부분이다. 현업에서 임의로 계정을 만들어 사용해보고 필요하다고 생각하면 부서에서 결제하고 사용하는 것이 일반적인 클라우드 도입 과정이며, 이용약관을 확인하거나 사업자의 면책 범위에 대해 따져보지는 않는다.
장 부장은 “클라우드에서 사고가 발생했을 때 사업자와 사용자 중 누군가의 전적인 책임이라고 정확하게 단정할 수 없는 경우가 있을 수 있다. 이러한 혼란을 막기 위해 이용약관을 확인하고 사업자의 면책범위와 사용자의 책임 등에 대해 확인해야 한다”고 말했다.
국내외 클라우드 보안 인증 완료
NBP가 운영하는 네이버 클라우드 플랫폼(NCP) 역시 책임공유모델에 따라 자사가 제공하는 서비스 자체의 가용성과 보안을 SLA에 의해 보장하고 있다. 또한 고객이 안전하게 클라우드를 이용할 수 있는 환경을 완성했다는 것을 입증하기 위해 다양한 국내외 보안 인증을 획득했다.
NCP는 클라우드 사업자 중 유일하게 CSA 스타 인증을 획득해 클라우드 기술력을 세계적으로 인정 받았다. CSAP IaaS·SaaS 인증으로 공공기관 대상 서비스 제공 자격을 갖췄으며, ISO/IEC의 27001·27017·27018 인증, 국내 ISMS·PIMS 인증을 획득했으며, ISMS-P 인증을 진행하고 있다.
인증 받은 클라우드 서비스를 사용하면 고객에게 많은 혜택이 있다. 클라우드 서비스의 안정성을 국내외 신뢰할 수 있는 기관으로부터 인정을 받았기 때문에 안심하고 서비스를 이용할 수 있으며, 고객이 관련 인증을 받을 때, 인프라 영역에 대해서는 별도 인증을 준비하지 않아도 돼 인증 업무를 효과적으로 줄일 수 있다. 대형 국립의료기관 등이 의료분야 인증을 받은 서비스를 사용하기 위해 NCP로 이관한 사례가 다수 있다.
장노륜 부장은 “해외 클라우드 사업자는 국내 규제를 준수하기 어려우며, 국내 사업자들은 NCP 만큼 글로벌 인증을 획득하고 글로벌 기술 수준을 입증하지 않았다. NCP는 국내외 필요한 모든 인증을 획득하고 고객이 클라우드 상에서 비즈니스를 안전하게 수행할 수 있는 만반의 준비를 갖추었다”고 강조했다.
고객 지원 서비스 다양하게 제공
장 부장은 “NCP는 네이버, 라인을 운영하면서 국내외 서비스를 수행해 온 경험을 기반으로 하고 있어 믿을 수 있는 클라우드 플랫폼이라고 자부한다”며 “특히 클라우드에 대한 이해가 부족한 중소규모 기업을 위한 다양한 지원 서비스를 제공하면서 클라우드 마이그레이션과 안전한 운영을 도와주고 있다”고 말했다.
NBP는 매 주 금요일 고객 대상 교육을 열고 클라우드 책임공유모델을 포함해 사업자가 제공하는 다양한 서비스와 이용 방법을 안내하고 있다. 또한 NCP를 통해 여러 서비스를 제공하고 있으며, 자체 개발한 보안 서비스도 다양하게 제공한다. 특히 국내 클라우드 사업자 중 유일하게 FIRST에 가입해 침해대응(CERT) 역량을 높이고 있다.
접근통제, 안티 바이러스, 웹방화벽, 디도스 방어, IDS/IPS 등 기본 보안 기능은 물론이고, 웹 및 앱·모바일앱의 위협 탐지, 취약점 탐지, 보안 설정 분석, 컴플라이언스 가이드 등을 제공한다. 이 기술은 네이버 라인에 적용된 보안 기술로 오랜 기간 동안 국내외 서비스를 제공하면서 충분히 안정성을 인정받아왔다.
더불어 NCP는 전문화된 보안관제를 제공해 계약에 따라 고객의 보안위협을 정밀하게 분석하고 위협 대응을 지원한다. 보안관제 전문기업들은 사용자 영역에서의 보안관제만을 제공한다는 한계가 있는데 반해, NCP는 자사 서비스 전반의 보안위협과 고객 사용 영역에서의 위협까지 연계 분석할 수 있어 보안위협 탐지·대응 정확도가 높다.
이와 함께 고객의 클라우드 운영 효율화를 도와주는 클라우드 보안 형상관리(CSPM)의 개선된 버전을 8월 출시하고 고객의 컴플라이언스를 더욱 적극적으로 지원할 계획이다. 또한 써드파티 보안 서비스도 검증해서 NCP를 통해 제공해 고객이 안전하게 써드파티 솔루션을 이용할 수 있게 한다.
장 부장은 “NCP는 국내외 고객의 안전한 클라우드 환경을 만들기 위해 다양한 노력을 기울이고 있다. 기술과 안정성 측면에서는 국내 최고 수준이고, 글로벌 기업과도 뒤지지 않는 경쟁력을 갖고 있다고 자신한다”며 “다양한 국내외 기업들, 매니지드 사업자 등과 협력해 클라우드 효율을 극대화하고 고객의 비즈니스를 보호할 수 있는 방안을 제시해 나갈 것”이라고 말했다.
