[기고]클라우드 마이그레이션 전략과 보안

[기고]클라우드 마이그레이션 전략과 보안

클라우드 전환이 가속화되는 가운데 정보기술(IT) 환경에도 많은 변화가 일어났다. 구축(On-premise)에서 클라우드로 패러다임 전환에 따른 주요 IT 환경 변화는 첫째 IT 인프라에 대한 소유권이 개별 기업에서 클라우드서비스제공사(CSP)로 바뀌면서 소유에서 공유로 변화다.

다음으로 온 프레미스와 클라우드의 공존, 멀티-클라우드 및 하이브리드-클라우드 등 기업 내 IT 인프라 복잡도의 증가를 꼽을 수 있다.

그 밖에 동적자원 확장과 배포, Native 운영기술 등 변화의 양상과 파급효과는 오랜 기간 IT에 종사했던 전문가도 혼란스러워 하는 것이 현실이다.

정보보안 측면에서 소유에서 빌려쓰는 방식으로 변화함에 따라 보안에 대한 책임공유모델(Shared Responsibility)이라는 개념이 등장했다. 클라우드 인프라 및 플랫폼을 제공하는 CSP와 이를 사용하는 사용자간 보안에 대한 책임을 나누어 갖는 것이다.

위와 같은 상황에서 기업이 클라우드로 마이그레이션을 고민할 때 가장 큰 고민이 보안이다. 정보통신산업진흥원의 조사 자료에 의하면 클라우드 활성화를 저해하는 가장 큰 요인으로 보안이 34.9%로 가장 높았다.

[기고]클라우드 마이그레이션 전략과 보안

통상 클라우드로 마이그레이션을 위한 전략은 6가지 정도로 분류된다. 그중 대부분의 국내기업이 선호하는 마이그레이션 전략은 2가지 정도로 압축할 수 있다.

첫번째는 리호스팅으로 'Lift & Shift'라고도 하며, 애플리케이션 아키텍처를 변경하지 않고 클라우드 환경으로 다시 호스팅하는 방식이다. 가장 간단한 전략이지만 기존 대비 약 30% 비용절감 효과를 볼 수 있는 것으로 알려져 있다. 두 번째는 리플랫포밍으로 'Lift tinker & shift'라고 부르는 것으로, 애플리케이션의 핵심 아키텍처는 변경하지 않으면서 일부만 클라우드 최적화를 실시하는 전략이다. 데이터베이스를 RDS로 전환하는 예가 그것이다.

이러한 클라우드 마이그레이션은 MSP(Managed Service Provider) 등 클라우드 전환 및 운영을 전문으로 하는 기업과 진행하는 게 일반적이다.

[기고]클라우드 마이그레이션 전략과 보안

주목해 볼 것은 계획수립부터 운영까지 전 과정에 걸쳐 보안이 고려되고 있지 않다는 것이다.

국내의 경우 보안은 클라우드 전환 완료 이후 운영 단계에서 보안 전문기업을 통해 취약점 점검, 보안 솔루션 구축, 보안관제 서비스 등을 아웃소싱 하는 게 일반적이다. 클라우드 전환 이후 보안의 추가 도입을 고려하다 보니 클라우드 전환 계획수립 단계에서 고려하지 못했던 보안환경의 추가 구성으로 인한 보안 도입비용 및 클라우드 구독비용이 증가하게 된다.

글로벌로 잠시 눈을 돌려 보자. 글로벌 주요 MSP는 내부적으로 MSSP(Managed Security Service Provider) 역량을 확보하기 위해 전략적 협력이나 M&A 등 방법으로 보안 역량을 확보하고 있다. 이를 통해 계획수립 단계에서부터 보안 아키텍처를 검토하여 구축 때 반영하고 보안관제·운영까지 원스톱으로 서비스를 제공하고 있다. 국내 MSP는 여러 가지 이유로 자체 보안역량을 확보하기보다 보안 전문업체와 협력하여 아웃소싱하는 형태를 취하고 있다.

서두에서 설명했듯 클라우드로 패러다임 전환으로 IT환경 변화와 더불어 늘어난 복잡성만큼 보안은 클라우드 마이그레이션 계획수립 단계에서부터 고려되고 아키텍처가 반영돼야 한다.

다행인 것은 국내 주요 보안 전문기업이 위와 같은 맥락에서 계획수립 단계부터 전환·구축, 운영까지 전 과정에 보안을 화학적으로 내재화한 서비스 및 상품을 선보이고 있다. 클라우드 마이그레이션 계획수립 단계부터 클라우드 구축·전환, 운영까지 전 단계에 걸쳐 보안 컨설팅, 보안 아키텍처 설계와 구현, 보안 솔루션 운영 및 관제 등 토털 서비스를 제공하고 있으니 보안 문제로 클라우드 마이그레이션을 고민하고 있다면 보안 전문업체를 통해 적극적 조언을 받아 볼 것을 권장한다.

보안이 클라우드 전환의 걸림돌이 되지 않도록 보안 전문기업과 클라우드 여정을 함께해 IT자산을 안전하게 보호하고 클라우드 사용자는 본연의 비즈니스 가치 창출에 집중하는 것을 추천하며 마무리하고자 한다.

김병무 SK쉴더스 클라우드사업본부장 mania@sk.com