"그럴수가!"
우리나라 국정원이 보안을 이유로 정부기관과 주요 연구기관에 클라우드 서비스 이용 차단을 권고한 사실에 대해 에란 파이겐바움 구글 엔터프라이즈 보안 총괄은 놀라움을 감추지 못했다.
지난 2월 서울대학교 정보화본부 정보보안팀이 2월17일 학내에 클라우드 서비스 이용 자제 알림 공문을 내렸다. 당시 국정원은 클라우드를 통한 중요 자료의 외부 유출과 좀비PC 양산에 악용될 우려가 있다며, 주요 기관에 공문을 보내 클라우드 서비스를 차단할 것을 권고했다.
"그 어떤 나라에서도 이와 비슷한 수준의 클라우드 규제를 들어보지 못했습니다. 한국 정부기관이 이토록 강한 클라우드 제재를 가하고 있다니, 뜻밖입니다." 파이겐바움 보안 총괄은 대규모 서비스 인프라를 필요로 하는 정부와 연구기관일수록 클라우드를 도입해야 함에도 불구하고 한국 국정원이 왜 그토록 강한 규제를 펼쳤는지 이해 되지 않는다는 반응을 보였다. 특히 서비스 제한 이유가 다름아닌 '보안'이었다는 점에 대해선 말도 안된다고 설명했다.
"구글만 해도 300여명이 넘는 최고 보안 전문가로 구성된 팀이 클라우드 보안을 관리합니다. 어떤 기업이 이렇게 많은 인원을 보안 인력에 투자해서 인프라를 운영할까요? 적어도 구글 클라우드 서비스 이용자는 세계 최고의 전문가가 운영하는 보안 서비스에 정보를 맡기는 셈입니다."
구글 클라우드는 데이터를 단일 서버에 일괄 저장해 관리하지 않는다. 정보를 작은 조각으로 나눠 복제한 뒤 여러 서버에 분산해 저장한다. 데이터를 쪼갤 때도 무작위로 쪼갠 뒤 이름을 붙이고 암호화한다. 행여 해커가 구글 클라우드를 공격해 정보를 빼냈다해도 읽을 수 없는 문자의 나열만 볼 수 있다. 보안 패치나 관리도 클라우드라면 한층 더 쉬워진다. 전통적인 환경에서는 보안 문제를 발견하고 이를 해결해 패치를 적용하기까지 26일여 정도가 걸린다. 구글 클라우드는 자체 데이터 서버를 업데이트 하기 때문에 기업이 별도로 보안 패치 등을 걱정할 필요가 없다.
파이겐바움 보안 총괄은 이처럼 클라우드 보안을 문제 삼기 이전에 오히려 전통적인 인프라에서의 보안은 완벽한지 되짚어 볼 필요가 있다고 지적했다.
"구글 조사에 따르면 데이터 저장에 많이 사용하는 USB 메모리를 잃어버린 경험을 가진 직장인이 66%에 이르는 것으로 나타났습니다. 그 중 60%는 USB 메모리 안에 기밀을 요하는 사내 정보가 들어있다고 응답했지요. 적어도 구글 클라우드는 이런 환경보다는 우수한 보안을 자랑합니다. 개인이 직접 정보를 관리할 틈을 주지 않기 때문이지요."
그의 설명에 따르면, 사내에서 발생하는 보안사고 대부분은 악의가 없는 개인 사용자의 부주의에서 발생한다. 기업이 원천적으로 보안 사고를 막으려면 사내에서 발생한 모든 정보를 관리해야 하지만, 쉽지 않다. 구글은 사내 모든 데이터를 클라우드에 올려놓고, 이를 관리하는 걸 대안으로 내세웠다.
그럼에도 불구하고 상당수 기업들은 퍼블릭 클라우드를 도입을 주저하고 있다. 지난해 모건 스탠리가 미국, 유럽, 아시아 300명의 IT 의사결정자를 대상으로 진행한 설문에서 응답자의 43%는 클라우드 도입을 저해하는 장애요인으로 데이터 보안을 꼽았다.
그 뒤 대안으로 등장한 게 프라이빗 클라우드다. 기업은 직접 데이터센터를 구축해 클라우드로 운영하면서 보안을 스스로 책임지겠다고 나섰다. 구글과 아마존과 같은 특정 서비스 업체에게 데이터가 종속되는 효과를 겨냥한 점도 있다.
파이겐바움 보안 총괄은 기업의 클라우드 종속효과에 대한 우려를 이해하면서도 프라이빗 클라우드에 대해서는 부정적인 입장을 보였다.
"퍼블릭 클라우드를 두고 왜 비용을 굳이 더 내면서 프라이빗 클라우드를 구축해야 하는건지 쉽게 이해되지 않습니다. 프라이빗 클라우드는 클라우드의 장점을 살리지 못합니다. 그저 아웃소싱에 불과하지요."
퍼블릭 클라우드가 제공하는 장점은 서비스 업체가 갖고 있는 인프라를 바탕으로 즉각적인 서비스가 이뤄진다는 점에 있다. 기업은 서버나 스토리지, 네트워크 같은 별도의 장비를 필요로 하지 않아도 된다. 사용한만큼 비용을 지불하면 된다. 그러나 프라이빗 클라우드는 인프라 구축에 비용이 별도로 들어간다.
"우리가 만들고 직접 사용해서 잘 알려지지 않았지만, 구글은 IBM과 HP에 이어 세계 4대 서버 제조업체입니다. 안정된 서버 기술도 갖고 있습니다. 고객이 불필요하게 돈을 들여 프라이빗 클라우드를 구축한다며 별도로 장비를 구입할 필요는 없다고 생각합니다. 클라우드 락인에 대해서도 걱정하지 말라고 말하고 싶습니다. 다른 기업과 다르게 구글은 개방성을 앞세우고 있습니다. 구글 클라우드에 저장된 정보는 '데이터리버레이션' 사이트를 통해 다른 서비스로 충분히 이전할 수 있게 돕고 있습니다."
한마디로 구글 클라우드를 기업이 도입해서 사용하는데 있어 걱정할 필요가 전혀 없다는 얘기다. 보안도, 데이터 종속 문제도 해결했다. 이제 구글에게 남은 건 사용자의 생각 전환이다.
"사실 이게 가장 어렵습니다. 무엇이든 새로운 건 어색하기 마련이지요. 기업의 입장도 이해가 가지만 변화하지 않으면 살아남을 수 없는게 또 기업 생리 아닐까요. 클라우드는 도입이 반드시 받아들여야 할 요소라고 생각합니다."