[기고] 퍼블릭 클라우드, 오해와 진실

이미지투데이

클라우드 컴퓨팅은 기업의 IT환경뿐만 아니라 데이터 사용이 많은 개인들에게 익숙한 개념이 됐다. 누구나 컴퓨팅 자원을 '빌려 쓰는' 시대가 된 것이다. IT업계에선 이 클라우드 컴퓨팅을 수십 년 새 생겨난 단일 최고의 기술가속 요인으로 꼽는데 주저하지 않을 것이다.

전 세계적으로 기업 데이터 업무량의 30% 정도만 클라우드에서 운영된다. 비슷한 시기에 도입된 스마트폰의 전세계 보급률이 86% 수준임을 감안할 때 기업 업무의 상당 부분에선 여전히 클라우드 활용이 이뤄지지 않는 상황인 셈이다. 특히 국내에선 금융업계가 클라우드 도입에 상대적으로 보수적이다.

금융업계가 퍼블릭 클라우드에 보수적인 이유는 안정성 및 보안성 우려 때문이다. 퍼블릭 클라우드의 안정성 및 보안성이 사내구축형 인프라보다 과연 열악할까. 클라우드는 실제 사용량보다 여유롭게 자원을 운영하기에 장애 발생 및 수요급증 등 상황에 안정적으로 대처할 수 있다. 이중화 장비를 설치한 후에도 장애가 발생할 가능성이 있지만 이때는 추가 장비가 필요하다. 클라우드가 아닌 사내구축형 환경에서 이러한 모든 상황을 고려해 자원을 구비하는 일은 불가능에 가깝다.

클라우드는 관리방식이 더 체계적이다. 365일 24시간 자동화한 모니터링 시스템을 통해 모든 클라우드 하드웨어 및 소프트웨어를 감지하고 관련 상태를 추적할 수 있다. 물리적 하드웨어 설치·교체를 제외한 가능한 모든 현상감지·추적 및 이슈해결 등 프로세스를 자동화 및 체계적으로 관리할 수 있다. 사내구축형 환경에서 3교대 근무자들이 모니터링을 수행하는 방식과 완전히 다르다.

중요한 업무시스템에 대해서는 더욱 치밀한 관리가 이뤄진다. 모든 고객데이터를 저장과 동시에 암호화하고 데이터 암호화 및 해독에 사용하는 키(key)는 별도로 관리한다. 또 고객이 자원삭제 및 반환을 요청하면 저장된 모든 데이터는 완전히 삭제돼 복구할 수도 없다. 클라우드를 위해 내부적으로 사용하는 코드 및 이미지를 외부침입 및 위해로부터 보호할 수 있도록 상시 모니터링하고 검증한다.

클라우드 운영관리 프로세스 전반에 대한 외부감사 프로그램도 있다. 미국 페드램프(FedRAMP, 연방 클라우드 보안평가) 및 공인회계사협회(AICPA) 서비스 조직제어 등이 그것이다. 오라클도 매년 각 항목에 대한 감사를 받고 그 결과를 고객 대상으로 공시한다. 국내 금융권에서는 클라우드를 이용하기 위해 CSP(클라우드사업자) 안전성 평가를 수행해야 한다. 하나카드 통합멤버십 서비스 및 삼성증권 파생상품 운용 플랫폼 클라우드 전환 시 각 사는 오라클 클라우드 운영의 안전성을 철저히 검증했다. 2021년 이후부터는 기업들이 금융보안원을 통해 CSP 안전성 평가결과를 열람할 수 있다.

클라우드는 기업 자체 또는 금융보안원의 충분한 CSP 검증을 거쳐 안전하게 이용할 수 있다. 체계적인 기술지원 서비스를 제공할 수 있는 오랜 경험과 노하우를 기반으로 수준 높은 역량의 CSP를 검토해 국내 금융사들이 디지털혁신을 가속화할 수 있기를 기대한다.

유중열 한국오라클 부사장