클라우드 보안 평가, 어떻게 할 것인가

SaaS 도입 기업들이 보안 문제를 간과하는 경우가 종종 있다. 전문가들은 기업들이 무엇을 요구해야 하며 무엇을 테스트해야 하고 클라우드 서비스 업체 계약을 위한 표준이 무엇인지 모르기 때문이라고 지적했다.

기업의 SaaS 도입이 확산됨에 따라, ‘누가 클라우드 보안을 평가하고 확인할 것인가?’라는 문제가 제기됐다.

이 물음은 일부 측면들에서 복잡성을 내재하는 클라우드 컴퓨팅 환경의 본질로 인해 꽤 답하기 까다로운 질문으로 여겨질 수 있는 것이 사실이다. SaaS 도입은 고객과 소프트웨어 공급자, 그리고 잠재적으로는 클라우드 소프트웨어 호스팅과도 관련 있는 문제다. 일부 프로젝트들에는 중개인인 클라우드 서비스 브로커가 개입하는 경우도 있다.

오늘날 SaaS 앱은 이메일이나 ERP 등의 핵심 비즈니스 기능을 포함한 다양한 영역들을 포괄하고 있다. 시장이 이 정도까지 성장했음에도 불구하고 클라우드를 받아들이는 많은 고객들은 여전히 자신들이 이용하게 될 상품의 보안 수준에 관해 업체가 설명하는 말을 그대로 수용하는 경향을 보여주고 있다.

지난 해 IT 보안 트레이닝 기관 SANS 인스티튜트(SANS Institute)가 발표한 보고서에 따르면, 외주 공급 혹은 클라우드 기반 애플리케이션을 도입하는 과정에서 적절한 테스트와 확인 절차를 거친다고 응답한 기업은 전체의 22%에 불과했다.

SaaS 업체 심사는 쉽지 않은 과제다
SANS의 애널리스트들은 사용자들에게 SaaS 공급자들의 말을 곧이곧대로 믿어선 안 된다고 조언했다. 그러나 물론 SaaS 보안 수준을 검증하는 것이 절대 쉬운 과정은 아닐 것이다.

SANS의 애널리스트이자 이번 연구 보고서의 공동 저자인 짐 버드는 SaaS 공급자 심사를 위한 적절한 가이드라인이 없는 시장 상황을 지적했다. 제한된 예산과 자산 역시 고민을 야기하는 요인이다. 버드는 “대부분의 기업들은 자신들의 자체적 솔루션을 보호하는데 투입할 자산도 부족한 상황을 겪고 있다. 그들에게 공급자까지 신경 쓸 여유는 없다”라고 말했다.

업계 전문가들도 SaaS 소프트웨어를 사용하기로 결정했다면 도입하기 전과 도입 후에도 매년 해당 IT업체를 평가할 필요가 있다고 강조했다. 때로는 해당 SaaS 업체에 관한 외부 기관의 평가를 통해 이와 관련한 부담이 조금은 줄어들 수도 있을 것이다.

SSAE 16(Statement on Standards for Attestation Engagements No. 16)과 같은 감사 표준이나 ISO 27001 등의 보안 프레임워크는 구매자들에게 클라우드 공급자의 보안 수준을 확인할 수 있게 하는 지표가 될 수 있다. 또한 최근에는 정부 차원의 클라우드 보안 평가 표준인 연방 위험 및 인증 관리 프로그램(FedRAMP, Federal Risk and Authorization Management Program)이 출범하기도 했다.

FedRAMP 승인을 최초로 획득한 클라우드 서비스 공급자인 오토매틱 리소소(Autonomic Resources)의 CEO 존 키스는 이 클라우드 심사 프로그램이 정부 영역 밖에서도 효력을 발휘할 것이라 설명했다. 그는 “이 모델이 상업 영역으로 확산될 것으로 전망하고 있다”라고 말했다.

클라우드 보안 평가, 어렵지만 외면해선 안될 작업이다
매사추세츠 주 서드버리에 있는 보안 컨설팅 업체 시스템엑스퍼츠(SystemExperts)의 컨설턴트 폴 힐은 “보안 평가가 이제 필수 단계가 되었다. SaaS 업체나 클라우드 서비스를 이용하고자 한다면 그에 따르는 업체 평가와 리스크 및 책임 확인은 그 누구도 아닌 바로 당신의 몫임을 기억하라”고 말했다.

힐은 현장 방문이나 심층 인터뷰 등이 서비스를 검토하는 방법이 될 수 있을 것이라 소개했다. 또는 업체에게 질문 사항들을 전달해 그들이 스스로 보안 수준을 평가해 보도록 할 수도 있을 것이다. 외부 감사원의 도움을 받는 것 역시 전반적인 보안 상황을 확인해보는데 도움을 줄 수 있다.

캘리포니아 주 에머리빌에 있는 소셜 고객 경험 솔루션(social customer experience solution) 업체 리튬 테크놀로지스(Lithium Technologies)는 SaaS 업체 보안 평가에 다층적 접근법을 적용하고 있다. 이들 기업은 협업에 박스(Box)를, 신원 관리에 옥타(Okta)를, 그리고 고객 관계 관리에 세일즈포스닷컴(Salesforce.com)을 이용하는 등 비즈니스 활동의 많은 부분을 클라우드 환경에서 처리하고 있다.

이 회사의 최고 고객 책임자(chief customer officer) 미샤 로그비노브는 자신들은 자체적 보안 평가 프로세스를 개발해 운영 중이라 소개했다. 그는 “여기에는 상품의 아키텍처를 검토해 이것이 설계 단계에서부터 보안 문제를 고민해 만들어진 것인지를 파악하는 과정 등이 포함된다. 리튬은 이를 위해 불가피한 상황이 아니라면 꼭 해당 클라우드 업체 상품의 관리 혹은 엔지니어링 담당자와 만남을 가지고 대화를 나눈다”라고 말했다.

로그비노브는 “클라우드 업체가 보안 프로그램을 적절히 구성하고 있는지, 그리고 이것이 소프트웨어 개발 수명주기에 적절히 통합돼 있는지도 고려 사항이다. SSAE 16이나 ISO 27001 등의 감사 및 보안 표준도 보안 수준 확인에 중요한 역할을 했다. 많은 리스크 요인들을 클라우드 공급자에게 위임하는 만큼 우리에게 그들의 보안 수준을 확인하는 것은 매우 중요한 작업이다”라고 강조했다.

SaaS 테스팅, 어려울 뿐 아니라 오해의 소지가 다분한 분야다
이제 고객들은 보안 평가의 필요성을 어느 정도 인식하고 있다. 그렇다면, 왜 좀 더 나아가진 않는 걸까?

한 가지 이유는 명확성의 부족에 있다. SANS 애널리스트 프로그램의 행정 에디터 뎁 레드클리프는 “모든 기업들이 그들이 왜 SaaS 테스트를 진행해야 하는지를 제대로 이해하고 있는 것은 아니다. 많은 이들이 어떤 심사를 어떤 방법으로 진행해야 할 지, 또 어떻게 호스트 되는 애플리케이션을 이용하며 시야를 유지할 지의 문제에 혼란스러워하고 있다”라고 지적했다.

소프트웨어 공급자와 그것의 호스팅 설비 업체가 다를 수 있다는 등 클라우드 서비스만의 독특한 특성 역시 테스트 과정에 어려움을 준다. 그러나 힐은 이러한 이유로 클라우드 서비스 업체의 평가를 그만둔다는 것은 말이 되지 않는 행동이며, 고객들은 오히려 코로케이션(colocation) 설비나 클라우드 인프라 서비스 등 그 업체와 계약한 써드파티들까지 평가의 시각을 넓혀야 할 것이라고 강조했다.

그는 “기업들은 이러한 관계에 관해, 그리고 그들의 1차 클라우드 서비스 공급자가 이들 공급자를 선정할 때 적용한 평가 기준에 관해 이해할 필요가 있다”라고 말했다.

예산 집행 혹은 경기 상황 역시 SaaS 테스트에 제약을 줄 수 있다. 샌프란시스코 기반의 클라우드 서비스 공급 업체 아피리오(Appirio)의 공동 설립자 겸 CIO 글렌 와인슈타인은 “SaaS 테스팅을 위한 별도의 예산이 마련된 IT조직은 그리 많지 않다. 기업들의 예산 책정 과정에서 SaaS 테스트 프로세스가 중요하게 다뤄지는 경우는 드물며, 대부분의 경우에는 일반적 보안 예산 안에 테스트 예산이 포함되고 있다. 때문에 그들은 보안 문제를 상당 부분 업체에게 의지하는 경향이 있다”라고 설명했다.

하지 말아야 할 클라우드 보안 질문이란 없다
와인슈타인은 별도의 SaaS 예산이 마련되어있지 않다고 해서 기업들이 보안 관련 문제를 제기할 수 없는 것은 아니라고 강조했다. 그는 IT 보안팀이 제안요청서(RFP) 프로세스의 일환으로 클라우드 업체에게 상당한 시간을 투자하는 경우를 많이 접하고 있다고 설명했다.

그는 아피리오가 클라우드 서비스 중개자로서 인프라나 데이터센터, 애플리케이션 보안 레이어 등과 관련한 클라이언트들의 보안 관련 문의를 처리하는 작업을 진행하고 있다고 소개했다.

와인슈타인은 자신들이 직접 보안 프로세스와 관련한 문의를 하는 경우도 있다고 덧붙였다. 자신들, 혹은 아피리오의 비즈니스 파트너들이 고객을 대신해 업체의 SaaS 애플리케이션에 접근해야 하는 경우도 있기 때문이다. 그는 “클라이언트들은 우리 아피리오가 어떻게 데이터를 보호하는지에 관심을 가지고 있다”라고 말했다.

와인슈타인은 “클라우드 업체에 어떤 것들을 물어봐야 할 지를 고민하고 있다. 기업들이 궁금해하는 점은 업체가 어떤 방식으로 데이터를 전달하고 어떤 개발 환경을 사용하며 컨설팅 파트너들 사이를 오가는 데이터를 어떻게 보호할 지 등의 문제다. 지금은 클라우드 자체가 초기 시장이라 할 수 있다. 그리고 시간이 지남에 따라, 기업들이 클라우드에 대해 제기하는 물음들은, 지금과는 다른 것들로 변화하게 될 것이다”라고 강조했다.

그는 마지막으로 기업들이 좀 더 깊이 있는 질문을 던져볼 필요가 있다고 지적했다. 그는 “우리에겐 여전히 기본적인 영역들에 관한 고민들이 전해져 오고 있다. 그러나 이런 요소들은 현재도 이미 안정적으로 관리되고 있는 것들이다”라고 말했다.

RFP를 통해 클라우드 업체에게 할 질문으로는 침입 테스트나 디도스 취약성 등이 있을 것이다. 그러나 와인슈타인은 이러한 문제들의 경우에는 대부분의 주요 공급자들이 적절한 대비책을 마련하고 있다고 이야기했다. 그는 RFP를 통해서는 설정 보안이나 인증 옵션, 그리고 직원 및 써드파티의 데이터 접근을 관리하는 공급자의 역량 등에 관한 확인이 이뤄져야 할 것이라 제안했다. 그는 이러한 질문들이 클라우드 애플리케이션을 둘러싼 보안 문제들을 다루는데 보다 많은 도움을 줄 수 있을 것이라 강조했다.

SaaS 업체의 입장에서 고객들이 제기하는 물음들은 보안 감사의 방향을 파악할 수 있는 실마리가 되어준다. 세일즈포스닷컴의 포스닷컴(Force.com) 플랫폼에 기반해 클라우드 앱들을 개발하는 파이낸셜포스닷컴(FinancialForce.com)의 CEO 제레미 로시는 자사의 고객들, 특히 대형 기관 고객들은 인프라 플랫폼의 보안뿐 아니라 파이낸셜포스의 애플리케이션단 보안에도 관심을 가지고 있다고 설명했다.

로시는 “지난 한 해 우리가 인프라 플랫폼으로부터 얻는 것 이상의 증명을 요구하는 고객들은 큰 폭으로 늘었다”라고 말했다. 그에 따르면, 기업들은 특히 SSAE 16을 SaaS 공급자의 안정성을 확인하는 지표로 선호하는 경향을 보였다. 그는 고객들이 이를 ‘다양한 상황’에 대해 요구하고 있다는 사실도 강조했다. 이러한 요구에 부응하기 위해 이들 기업은 최근 SSAE 16 감사에 진행했고 여기에 통과했다.

산업 표준, SaaS 보안의 기준을 제시해준다
SANS의 버드는 “SSAE 16은 클라우드 소프트웨어의 보안 품질 기준이 되어가고 있다. 이제 이 감사 표준은 SaaS 솔루션들의 필수적 요소로 자리 잡을 것이다”라고 말했다.

SSAE 16이 기본적 요소로 여겨짐에 따라 이제 고객들은 한 단계 높은 보안 성능 확인 기준을 요구할 것이다. 로시는 그 예로 미-유럽 연합 세이프 하버(U.S.-European Union Safe Harbor) 프레임워크를 소개했다. 이 프로그램은 유럽의 고객들이 미국의 기업들의 데이터 호스팅 클라우드 서비스를 이용하는 과정에서 그들에게 세이프 하버 프레임워크에 따른 자체 검증을 요구하는 기준이 되고 있다.

일부 클라우드 업체들은 외부 감사 기관이나 컨설턴트에 자신들의 보안 수준을 평가해 줄 것을 의뢰하고 있기도 하다. 이러한 SaaS 업체들이 기준으로 삼는 정보 보안 표준으로는 ISO 27001과 ISO 27002가 대표적이다. 힐은 “점점 더 많은 클라우드 업체들이 써드파티들을 매년 연례하고 있다”라고 말했다.

힐은 이러한 표준들이 기초적인 보안 수준 확인에 많은 도움을 줄 수 있을 것이라 설명하며 서드 파티의 인증을 통해 고객들은 자체적으로 보안 평가 및 검증을 시행하는 데서 오는 부담을 줄일 수 있을 것이라 덧붙였다.

FedRAMP 역시 같은 맥락에서 이해할 수 있을 것이다. 이 정부 프로그램 또한 (SaaS를 포함한) 클라우드 솔루션들에 보안 평가 표준을 제시하는데 목표를 두고 있다. FedRAMP 리뷰를 통과한 클라우드 업체들은 잠정적 보안 인증을 부여 받으며 이는 정부 기관 전반에 영향력을 미친다. FedRAMP의 관리 기관인 연방 총무청은 FedRAMP의 목적은 보안 검사의 중복을 제거하는데 있으며, 이를 통해 인증 한 건 당 미화 20만 달러의 비용이 절감될 것이라 강조했다.

FedRAMP 검사에는 298 개의 평가 항목이 포함되며 최근에는 써드파티 평가 기관들 역시 이를 새로운 기준으로 받아들이고 있다. 작년 12월 FedRAMP 인증을 획득한 오토매틱 리소스의 키스는 클라우드 업체들이 모든 평가를 거치려면 12~16 개월을 소요해야 될 것이라 설명하며 “업체들은 인증 절차가 너무 복잡하다며 불평할지도 모른다. 하지만 그 어려움은 당연한 것이다. 높은 보안 수준은 마음만으로 얻어지는 것이 아니다”라고 강조했다.