편집자주

이 글은 <맥킨지쿼털리>에 실린 ‘Protecting Information in the Cloud’를 전문 번역한 것입니다.

대용량 데이터를 처리할 수 있고 공유 수준과 자동화 수준이 매우 높은 IT 플랫폼, 즉 ‘클라우드 컴퓨팅’이 빠른 속도로 성장 중이다. 클라우드 컴퓨팅을 활용하면 민첩성이 높아지고 적은 돈을 들여서 좀 더 많은 컴퓨팅 자원에 접근할 수 있을 것이라는 가능성에 매료돼 이를 활용하는 조직이 많다. 규모가 큰 조직들은 기초 인프라 서비스, 개발 플랫폼, 그리고 온갖 종류의 애플리케이션을 효과적으로 활용하기 위해 조직 내부에서 자체적으로 클라우드 환경을 구축하고 관리한다(외부의 공개형 클라우드에 접근할 수 있는 권한을 확보하는 경우도 있다). 상대적으로 덩치가 작은 기업들은 자체적으로 클라우드를 구축하기에는 규모가 충분치 않다는 이유로 주로 공개형 클라우드 서비스를 구입한다.

클라우드 환경이 매력적이긴 하지만 클라우드에 새로운 유형의 위험이 내재돼 있는 것도 사실이다. 기업 임원들은 외부 클라우드 공급업체가 민감한 데이터를 보호하고 특정 데이터를 저장할 위치, 데이터 접속을 허용해야 할 사람 등에 관한 규정(compliance)을 지켜줄 수 있는지 궁금해 한다. CIO와 CRO 역시 폐쇄형 클라우드를 구축하면 다양한 유형의 민감한 데이터를 하나의 플랫폼에 저장하게 되는 만큼 위험도가 높은 취약점이 생겨나는 것은 아닌지 의문을 제기한다.

폐쇄형이건 공개형이건 클라우드 역량을 활용하는 방안 자체를 전면적으로 거부하면 비용을 절감하고 탄력성을 개선하기 위한 기회 중 너무 많은 부분을 놓치게 된다. 조직의 규모가 크면 다양한 유형의 민감한 정보를 보호해야 하며 수많은 클라우드 솔루션 중 원하는 것을 선택할 수 있다. 따라서 규모가 큰 조직들은 데이터 기밀 유지, 정체성 통합, 접근성 통합, 시스템 활용 가능성 등과 관련된 조항들이 제대로 준수되지 않을 위험성과 클라우드의 사용이 가져올 잠재적인 이익을 비교해 봐야 한다.

삶의 일부가 돼버린 클라우드

대부분의 조직들은 클라우드 역량 활용을 거부할 수 있을 만큼 여유로운 입장에 놓여 있지 않다. 대기업들은 민첩성을 강화하는 동시에 IT 비용도 낮출 수 있다는 점에 매료돼 클라우드 환경을 활용하기 위해 부단한 노력을 기울이고 있다. 그와 동시에, 기업 내 각 부서, 업무 단위, 개인 등은 비용이 낮고 손쉽게 구매할 수 있는 공개형 클라우드 서비스를 활용하는 경우가 많다. 조직 차원에서 공개형 클라우드 사용을 금지하는 정책을 공표한 경우라 하더라도 마찬가지다.

높은 성장률과 가치에 대한 기대

IT 컨설팅 업체 IDC의 발표에 의하면 2011년에는 제3자가 관리하는 공개형 클라우드 환경에 대한 기업의 지출이 280억 달러에 불과했지만 2015년이 되면 그 규모가 700억 달러를 넘어설 것이다. 하지만 이 수치에는 기업이 폐쇄형 클라우드 환경에 투자하는 비용이 포함돼 있지 않은 만큼 클라우드 환경을 활용하기 위해 기업이 실제로 지출하는 비용을 모두 더하면 클라우드 투자 규모가 훨씬 커질 것으로 보인다. 맥킨지가 살펴본 대형 북미 조직 중 80%가 중요한 애플리케이션을 관리하기 위해 클라우드 환경을 활용할 목적으로 관련 프로그램을 계획 중이거나 시행 중이라고 답했다(대부분 폐쇄형 클라우드 환경을 구축 중이거나 관련 계획을 갖고 있었다). 그중 몇몇 기업의 임원들은 전체 애플리케이션의 70∼75%가 클라우드에 의해 관리될 것이며 이로써 약 30∼40%의 비용절감을 예상한다고 답했다.

외부 클라우드 서비스를 사용하면 훨씬 많은 비용을 절감할 수 있다. 몇몇 임원들은 맞춤형으로 개발한 사내 애플리케이션을 공개형 클라우드에서 제공하는 서비스형 소프트웨어(software-as-a-service·SaaS)로 대체한 덕에 비용을 60∼70% 절감할 수 있었다고 이야기했다. 뿐만 아니라 최근 맥킨지가 실시한 연구에 의하면 인터뷰 요청에 응답한 비즈니스 리더 중 63%가 클라우드를 활용하면 조직 전체가 좀 더 민첩해지고 조직의 반응 수준이 높아진다는 데 동의했다.

조직 하부에서부터 나타나고 있는 클라우드 서비스를 향한 열망

클라우드를 전혀 사용하지 않는 조직은 매우 드물다. 어쩌면 그런 조직은 아예 존재하지 않을 수도 있다. ‘우리 회사는 예외야’라고 생각하는 사람이 있다면 그 생각이 잘못됐을 가능성이 크다. 제아무리 ‘클라우드 사용 금지’ 정책을 도입하더라도 클라우드를 구매하는 과정 자체가 대중화돼 있기 때문에 전통적인 IT 부서가 담당해 온 중개인 역할의 중요성이 감소했을 뿐 아니라 중앙에서 클라우드 구매를 통제하기가 힘들어졌다. 사용자들은 온라인 데이터 저장/백업에서부터 미디어 서비스, 고객 관계 관리 솔루션에 이르는 각종 클라우드 서비스에 직접 가입하고 신용카드를 이용해 대금을 지불한다. 개발자들은 코드를 시험하고 이따금씩 애플리케이션 관리를 위해 서비스형 인프라(Infrastructure-as-a-service·IaaS)나 서비스형 플랫폼(platform-as-a-service·PaaS)을 사용한다.

역설적이게도 클라우드 서비스 사용을 제한하면 사용자들이 안정성이 더욱 떨어지는 솔루션에 가입하게 될 수도 있다. 신용카드를 이용해 클라우드 서비스 대금을 지불하는 직원은 안정성에 충분히 관심을 기울이지 않거나 기업형 클라우드 소프트웨어를 구매해야 한다는 사실을 인지하지 못할 가능성이 크다. 하지만 조직 차원에서 클라우드 서비스 사용을 양성화하면 직원들도 얼마든지 조직에서 추천하는 클라우드 서비스를 사용할 수 있다.

위험과 기회

폐쇄형 클라우드 환경이건, 공개형 클라우드 서비스건 클라우드를 활용하면 데이터 보호와 관련된 문제가 발생하게 마련이다. 하지만 대다수의 조직에서 사용 중인 전통적인 플랫폼에도 정보 보호를 위협하는 중대한 위험이 존재한다. 이런 위험을 낮추려면 확장성이 좋고 좀 더 자동화된 환경으로 옮겨가는 방법밖에 없다.

공개형 클라우드를 사용하기 위해 계약을 체결할 때 발생하는 위험

통신 네트워크 서비스와 전통적인 아웃소싱 거래와 관련된 계약서를 작성하는 방식은 수십 년 동안 꾸준히 발전해 왔다. 보안 문제, 고장으로 인한 정지, 규정 불이행 등 다양한 문제가 발생했을 때 공급자와 기업이 어떻게 책임을 나눌지 명확하게 명시하는 조건도 있다. 어떤 조항들은 이해하기 힘들 수도 있다. 하지만 공급자, 법률회사 등은 이런 내용을 쉽게 이해한다. 물론 CIO와 CRO가 관련 내용을 잘 이해하는 경우도 많다.

클라우드 서비스를 사용하기 위해 계약을 체결하는 것은 여러 가지 측면에서 다른 종류의 계약을 맺는 것과는 다르다. 예컨대, 확장성이 크고 공유 및 자동화 수준이 매우 높은 IT 플랫폼을 사용하면 공급자와 고객으로부터 확보한 데이터의 지리적 위치가 모호해질 수 있다. 개인 식별 정보를 취급하는 조직의 입장에서는 클라우드가 갖고 있는 이 같은 특성이 커다란 문제가 될 수 있다. 일부 고객 데이터가 특정한 관할 구역을 벗어나지 못하도록 조치해야 하며 그러지 못할 경우 규제에 직면할 수 있기 때문이다. 필자들이 인터뷰했던 은행 부문 CIO와 CRO들은 대체로 이런 유형의 규제 조치를 피하려면 공개형 클라우드 공급업체의 보장이 필요하지만 대부분의 공개형 클라우드 공급업체는 이런 위험으로부터 자사를 보호해줄 역량을 갖고 있지 않다고 답했다. 클라우드로 인해 새롭게 생겨난 또 다른 위험 요인으로는 클라우드 아키텍처를 반영할 수 있을 정도로 업데이트되지 않은 규제 표준 및 업계 표준을 따르는 문제를 들 수 있다.

어떤 측면에서 보면 기업형 클라우드 서비스를 사용하기 위해 계약을 체결하는 관행 자체가 아직 초기 단계에 머물러 있는 것일 수도 있다. 소송을 통해 중요한 문제가 드러나고 이런 문제를 해결하기 위한 판례가 나올 때까지는 필요한 조건을 구체적으로 명시하기 힘들 것으로 보인다.

폐쇄형 클라우드 환경 내에 존재하는 데이터를 통합했을 때 발생하는 위험

지금은 수많은 기업에서 데이터가 분산돼 있다. 데이터 분산 현상은 특이한 방식으로 위험 관리에 커다란 도움이 된다. 수많은 플랫폼에 민감한 고객 데이터를 분산시켜 두면 하나의 플랫폼에서 문제가 발생하더라도 해당 기업이 갖고 있는 모든 정보 중 일부에만 영향을 미칠 뿐이다. 뿐만 아니라 플랫폼이 다르면 보안 프로토콜 역시 달라지는 경우가 많기 때문에 데이터가 분산돼 있으면 보안 문제가 미치는 영향 또한 제한될 수도 있다.

반면, 확장성이 크고 많은 사람들이 공유하는 폐쇄형 클라우드 환경에 애플리케이션과 데이터를 통합해 놓으면 해커들이 관심을 가질 만한 요소가 증가한다. 가치 있는 데이터들이 한군데 모여 있으므로 데이터를 보호할 역량을 확보하는 것이 한층 중요해진다.

위험 관리의 측면에서 바라본 공개형 클라우드와 폐쇄형 클라우드의 장점

규모가 작고 전통적인 기술 환경과 비교하면 공개형 클라우드와 폐쇄형 클라우드 솔루션 모두 데이터를 보호하는 데 도움이 된다. 클라우드 솔루션은 투명성을 높이는 데 도움이 된다. 가령, 클라우드는 중앙 집중화돼 있을 뿐 아니라 가상화돼 있기 때문에 로그/이벤트 관리를 단순화할 수 있다. 또한 로그/이벤트 관리가 단순해지면 IT 관리자들이 안전성 문제나 회복력 문제가 새롭게 등장할 경우 좀 더 일찍 포착할 수 있다. 마찬가지로 클라우드 환경하에서는 관리자들이 문제를 한번 해결하고 나면 강력한 자동화 도구를 활용해 해당 솔루션을 폭넓게 적용할 수 있다.

더 중요한 장점은 기업이 확장성이 좋은 소수의 시스템 환경의 보안에만 집중적으로 투자하면 된다는 점이다.

클라우드 활용을 위한 위험 관리 접근방법

지금까지 수많은 대형 조직에서 정보 보호는 데이터 손실, 사생활 침해, 규제 불응 등이 발생할 가능성을 줄이기 위한 제어 장치의 역할을 하며 IT 관리자와 최종 사용자의 활동 범위를 제한하는 역할을 했다. 필자들은 IT 조직들이 비즈니스 중심 위험 관리 접근방법을 도입해 클라우드 솔루션이 약속할 수도 있는 경제적 이익과 클라우드 솔루션으로 인해 발생할 수도 있는 위험을 적절히 선택하는 과정에 비즈니스 리더를 참여시켜야 한다고 생각한다. 클라우드 컴퓨팅은 여전히 초창기에 머물러 있으며 위험 관리 결정은 어떤 상황과 관련된 구체적인 요소로부터 많은 영향을 받는다. 따라서 클라우드 부문에는 반드시 지켜져야 할 규정이 없다고 볼 수 있다. 하지만 클라우드 정보 위험을 관리하기 위한 개략적인 원칙이 새롭게 떠오르고 있다.

모든 유형의 클라우드 계약 모형을 고려하라

편의를 위해 클라우드를 크게 ‘공개형 클라우드’와 ‘폐쇄형 클라우드’로 나눌 수 있다. 하지만 그 외에 다른 모형(표 1)도 있다. 이런 모형들이 판매 회사의 역량을 활용하기 위한 기회와 통제 방식을 적절히 조합해 매력적인 방안을 제시할 수도 있다.

● 사업장 안에 설치되는 폐쇄형 클라우드 서비스도 클라우드 활용을 위한 한 가지 방안이 될 수 있다. 이 방식하에서는 제3자 판매회사가 제공하는 클라우드 서비스가 마치 외부 클라우드처럼 작동되지만 물리적으로는 클라우드가 실제로 클라우드를 활용하는 기업의 시설 내부에 위치하며 오직 해당 기업만이 클라우드를 사용할 수 있다.

● 가상 폐쇄형 클라우드의 특징을 일부 활용하는 경우도 있다. 솔루션 자체를 외부에서 관리한다는 점에서 가상 폐쇄형 클라우드는 공개형 클라우드와 유사하다. 하지만 폐쇄형 클라우드와 마찬가지로 가상 폐쇄형 클라우드도 각 클라이언트에게 전용 용량(예: 리소스 풀)을 할당한다.

● 커뮤니티 클라우드의 경우 여러 조직이 하나의 인프라를 공유하며 해당 인프라가 특정 사용자 집단의 요구를 충족시킨다. 예컨대, 커뮤니티 클라우드는 특정 업계가 관련 규제를 준수할 수 있도록 세심하게 설계한 솔루션을 제공할 수 있다.

이 밖에도 배치 유형, 애플리케이션, 판매회사, 구체적인 환경 설정에 따라 기술/조직 솔루션의 성숙도가 달라진다.

복합 클라우드 전략을 활용하라

애플리케이션의 본질 및 애플리케이션이 지원하는 소프트웨어 라이프 사이클 단계에 따라(예: 개발/시험 단계와 실제 제작 단계) 데이터 보호를 위해 투입되는 업무량과 데이터 세트가 현저히 달라진다. 소프트웨어를 개발하고 시험하는 경우에는 공개형 클라우드가 도움이 될 수 있다. 이 과정에서 민감한 데이터가 사용되지 않기 때문이다. 개인식별 고객정보를 포함한 업무를 처리할 때는 공개형 클라우드 환경에 해당 정보를 저장하기 전에 세심한 주의를 기울여야 한다. 비즈니스 관련 기밀 정보와 지적 재산을 보호할 필요가 있을 때는 데이터 접근을 제한하는 것 역시 중요하다. 비즈니스 가치를 갖고 있거나 규제 대상에 속하는 데이터를 적절하게 관리하고 보호하는 것이 가장 중요하다. (표 2)

업무 내용에 따라 클라우드 이전의 장점이 크게 달라진다. 예를 들어, 대규모 홍보 활동 기간이나 연중 일부 기간 동안 사용량 수요가 급증하는 전자상거래 사이트는 사용량 조절 가능성이 매우 높은 공개형 클라우드를 통해 가변적인 가격 책정 방식을 활용하면 도움이 된다.

뛰어난 IT 조직들은 미션 크리티컬한지(업무 수행을 위해 반드시 필요한지)의 여부, 데이터 민감성, 이전에 수반되는 복잡성, 수요가 가장 많은 시기에 데이터를 처리하기 위해 필요한 요소 등 여러 기준을 활용해 클라우드를 기반으로 하는 다양한 호스팅 방안과 관련된 업무를 도식화하기 위한 도구를 개발하고 있다. 이와 같은 노력을 통해 IT 담당 인력들이 혼합형 클라우드 전략을 추구하면서 리스크와 경제적 가치 사이의 최적의 균형점을 제시하는 호스팅 방안을 찾을 수 있다. (표 3)

비즈니스 중심 접근방법을 시행하라

자사의 리스크 관리 부문이 성숙한 경우라면(예: 은행 부문과 같이 규제가 매우 심한 산업에 속하는 대기업) 클라우드 컴퓨팅에 기술 솔루션 및 IT 부서 너머에까지 영향을 미치는 포괄적인 위험 관리 접근방법을 적용해야 한다. 접근방법을 설계하고 실행할 때는 운영 조직뿐 아니라 IT 조직 및 리스크 관리 조직에 요구되는 정책, 기술, 역량, 태도를 고려해야 한다. 리스크 관리 방법에는 투명성, 위험 성향/전략, 위험 대비를 위한 비즈니스 프로세스 및 결정, 리스크 관리 조직 및 관리 방식, 리스크 문화 등 다양한 요인이 포함돼 있어야 한다. (표 4)

민감한 데이터를 보호하기 위해서는 비즈니스 관련 기밀 정보, 지적 재산, 규제 정보 등이 유출될 위험성에 투명한 방식으로 접근하는 것이 무엇보다 중요하다. 다행스럽게도 중앙 집중화된 클라우드 플랫폼과 이런 플랫폼에서 이용 가능한 확장된 운영 데이터를 활용하면 관리자들이 리스크를 측정하고 위반 사항을 발견하고, 리스크와 가치의 교환을 바탕으로 지침을 개발할 수 있다. 또한 이런 지침을 집행하는 과정 자체를 자동화할 수 있는 경우도 많다.

대부분의 경우 일부 직원들에게만 접근이 허용돼야 하는 데이터 및 폐쇄형 클라우드 내에만 남아 있어야만 하는 데이터에 관한 규칙은 클라우드 플랫폼 자체가 제공한다. 예를 들어 분기별 재무 성과 데이터의 경우 기업 차원에서 재무 성과를 공식적으로 발표할 때까지 관련 정보가 안전한 폐쇄형 클라우드 환경을 벗어나지 못하도록 자동적으로 차단할 수 있다.

대규모 클라우드 이전을 담당하는 조직의 경우 역할과 책임의 중대한 변화를 맞이하게 될 것이다. 즉 서버나 네트워크 관리자와 같은 전문화된 역할에서 벗어나 좀 더 포괄적인 통합 서비스 관리자의 역할을 맡게 될 것으로 보인다. 이와 같은 서비스 관리 조직들은 전문화된 관리 조직보다 좀 더 포괄적인 관점을 갖고 있는 만큼 비즈니스 리스크를 관리하기에 유리한 입장에 서게 될 것이다. 예컨대, 서비스 관리 조직들은 폐쇄형 클라우드나 공개형 클라우드를 활용해야 할 때가 언제인지 좀 더 포괄적인 시각으로 판단을 내릴 수 있다.

그럼에도 불구하고 클라우드 구매 및 활용 자체가 분권화(democratized)된 특성을 갖고 있기 때문에 자동화된 지침이 충분히 작동하지 않을 위험이 있다. 가령, 언제 어디서건 클라우드 컴퓨팅에 접근할 수 있는 무선기기가 확산됨에 따라 기업의 정보 인프라 범위가 확대됐다. 하지만 이로 인해 정보가 유출될 위험 또한 커졌다. 다양한 위험이 존재하지만 그중에서도 민감한 데이터가 저장된 기기를 분실하거나 도둑맞을 위험성에 주목해야 한다. 다시 말해서, 라인 직원 및 관리자의 태도와 행동이 사이버 보안에 엄청난 영향을 미치는 것이다. 따라서 기업은 조직 전반에서 리스크에 대한 인식을 고취시키고 새로 고용한 직원 및 기존 직원들을 대상으로 리스크 관련 교육을 실시해야 한다. 명확한 지표를 바탕으로 리스크 관리 정책을 준수하는 직원에게 보상을 제공하면 한층 빠른 속도로 조직 문화를 변화시킬 수 있다.

기업 IT의 시각으로 보면 다양한 형태를 띠는 클라우드 자체가 흥미로울 수밖에 없다. 하지만 클라우드로 인해 민감한 정보 자산을 보호하는 문제와 관련된 새로운 유형의 어려움이 발생하는 것 또한 사실이다. 규모가 큰 조직도 비즈니스 중심의 리스크 관리 접근방법을 활용하면 데이터 보호와 좀 더 효율적이고 탄력적인 기술 환경 활용 사이에서 최적의 균형점을 찾아낼 수 있다.

번역 ｜김현정 translator.khj@gmail.com

제임스 카플란·크리스 레젝·카라 스프래그

제임스 카플란(James Kaplan)은 맥킨지 뉴욕 사무소 소장이며 크리스 레젝(Chris Rezek)은 맥킨지 뉴욕 사무소 컨설턴트다. 카라 스프래그(Kara Sprague)는 샌프란시스코 사무소 소장이다.