믿고 쓰는 안전한 시스코 클라우드 보안 솔루션



요즘은 비즈니스에 필요한 IT 역량을 더 빨리 확보하기 위해 클라우드 기술을 점점 더 많이 활용하는 추세입니다. 덕분에 오늘날 대부분의 기업들은 어떤 형식으로든 클라우드를 이미 도입했거나 도입할 계획을 갖고 있지요. 


그럼에도 불구하고, 많은 IT 임원들은 여전히 '클라우드 우선' 전략 선택을 꺼린다고 합니다. 이에 더해 일부 기업들은 보안, 프라이버시, 운영 과제 또는 정보를 통제할 수 없다는 이유 등으로 클라우드 기반 서비스에 대한 의문을 제기하기까지 합니다. 시스코의 후원으로 IDC가 지난 해 진행한 클라우드 보고서에 따르면 한국 기업 중 39%는 클라우드 전략 자체가 전무하다고 하니 IT 강국인 한국도 예외는 아니군요. 


하지만 이처럼 클라우드로 마이그레이션하기를 꺼리는 것은 오히려 비즈니스 리스크를 키울 수 있는데요. 이번 포스팅을 통해 그 이유를 함께 알아보고, 믿고 쓰는 안전한 클라우드 환경을 구축할 수 있는 방법도 같이 살펴보겠습니다.
 



놓치고 싶지 않은 클라우드 경제 효과


프라이빗, 퍼블릭, 하이브리드 등 다양한 형태의 클라우드가 혼합되어 사용되는 오늘날의 클라우드 트렌드는 앞으로도 계속 이어질 것으로 예상되는 가운데, 기술 업계 리더 80명 이상이 클라우드를 비즈니스 혁신을 주도할 가장 영향력 있는 기술로 선정했다고 합니다(2014 KPMG 클라우드 보안 보고서).

 


또, 맥킨지(McKinsey & Company) 보고서, ‘파괴적인 기술: 생활, 비즈니스 및 글로벌 경제를 바꾸어놓을 기술 발전(Disruptive Technologies: Advances that will transform life, business, and the global economy)’에 따르면 클라우드로 인한 연간 경제 효과는 2025년, 1.7조 달러에서 6.2조 달러에 달할 것으로 전망되는데요. 이 중 1.2조 달러에서 5.5조 달러 가량은 클라우드 지원 인터넷 서비스를 사용하는 데서 발생하는 흑자로 인할 것으로 예상됩니다. 한편, 5천 억 달러에서 7천 억 달러 정도는 기업 IT의 생산성 향상으로 인해 발생할 경제 가치에 해당된다고 합니다.


다시 말해 클라우드를 사용하지 않는다면, 혁신의 기회는 물론 추가적인 수익을 창출할 수 있는 기회를 놓친다는 것이지요.
그렇다면 명실공히 글로벌 IT 리더로 인정받는 시스코는 이처럼 가능성이 무궁무진하다는 클라우드를 도대체 얼마나 사용하고 있을까요? 클라우드가 중요하다고 강조만 하고, 다른 기업들과 마찬가지로 보안 등의 문제로 클라우드 도입을 꺼리는 것은 아닐까요?


실제로 지난 5년 동안 시스코의 클라우드 도입률은 해마다 30%씩 증가해왔습니다. 그리고 현재 시스코에서는 검토 및 승인 완료된 클라우드 제공업체들의 서비스 500여개가 이용되고 있지요. 심지어 이 중 50%는 시스코의 극비 데이터를 처리하고 있을 정도이니, 여러분도 클라우드 사용을 그리 두려워하지 않아도 되겠지요? ^^

그렇다면, 시스코가 이처럼 안심하고 클라우드를 사용할 수 있는 이유는 무엇일까요?


사실, 시스코는 지난 십 년 동안 우수한 데이터센터 및 네트워크 솔루션과 파트너들을 통해 다양한 형태의 클라우드 구축을 지원해왔습니다. 그리고 이제는 다양한 형태의 클라우드가 같이 사용되는 오늘날의 클라우드 환경에서 워크로드를 끊김없이 관리하고 마이그레이션 하도록 도울 워크로드 이동 솔루션을 제공하는 데 초점을 맞추고 있습니다. 이게 과연 무슨 얘기인지 다음 내용들을 통해 자세히 알아보겠습니다!
 


안전한 클라우드를 향한 첫걸음, 클라우드 제공업체 평가 및 관리


클라우드 서비스를 도입하기 전에 여러분이 선택한 클라우드 보안 벤더가 데이터의 수명주기 전반에 걸쳐 강력한 보안 기능을 제공하는지 확인하는 것은 필수랍니다. 중요 데이터를 제3자인 클라우드 서비스 제공업체가 관리하는데, 발생 가능한 보안 및 재정적인 책임을 확실히 하려면 사용 중인 클라우드 서비스에 대한 퉁제력이 상당히 중요하지요.

 

시스코의 IT 부서는 이를 위한 글로벌 거버넌스 절차를 만들었는데요, 시스코는 이 절차를 통해 리스크 평가 개선은 물론, IT 서비스 오너들과 비즈니스 파트너들이 긴밀히 협력해 클라우드 제공업체를 선정하도록 프레임워크를 편성하는 정책과 절차들을 감독하고 있습니다. CASPR(Cloud/Application Service Provider Remediation)로 불리는 이 거버넌스 절차는 클라우드 제공업체들을 제대로 평가하고, 클라우드 서비스를 이용하는 주요 이해관계자들에게 필요한 가시성을 제공한답니다.


또한 IT 부서는 협업을 통해 비즈니스 부서의 필요에 맞는 사전 승인된 클라우드 서비스를 찾아주기도 합니다. 이외에도 독립적으로 운영되는 ‘시스코 인포섹(Cisco InfoSec)’이라는 전략적인 파트너를 통해 데이터 보안 수준 설정 및 보안 리스크 평가를 진행하고, 필요 리스크 개선 계획을 세우기도 하지요.
 


구축, 운영 및 관리에 보안을 더해라

 

IT 애널리스트들에 따르면 클라우드 보안 시장은 14%의 연평균성장률(CAGR)를 해마다 기록하고있습니다. 바로 클라우드 호스팅 서비스 이용 시 기업들이 보안을 매우 중요시하기 때문인데요. 이들의 기대 수준을 만족시키려면 클라우드 전반에 걸친 보안 역량 강화가 필수랍니다.

 


그리고 이제는 더욱 폭넓고 복잡해진 클라우드 환경을 안전하게 구축하고 운영하려면 ‘보안 자동화’와 ‘투명성’이라는 두 가지 요건이 충족되어야 하지요. 어떤 유형의 클라우드 서비스를 선택하든지 간에 반드시 다음과 같은 질문 2가지를 먼저 해보기를 권해드립니다.

  • 우리 기업이 클라우드에 저장할 데이터의 민감성을 고려했을 때, 이용하려는 클라우드 제공업체는 이 데이터를 보호하는 데 필요한 적절한 통제력을 갖췄는가? 또, 우리 기업이 클라우드 서비스 이용 시에 충분한 가시성을 확보할 수 있는가?
  • 사건 사고가 발생했을 때, 여기에 대응하는 것이 가능한가?


시스코의 ‘시큐어 디벨롭먼트 라이프사이클(Secure Development Lifecycle)’은 시스코 기반 클라우드 상품에 대해 고객이 기대하는 것보다 훨씬 높은 수준의 보안을 지원합니다. 이 라이프사이클은 보안이 강력한 상품 개발을 돕는 것에 더해, 안전한 운영과 모니터링을 통한 지속성, 회복성 및 데이터 보호도 지원합니다.

 

 

  • 안전한 클라우드 구축하기: ‘‘시큐어 디벨롭먼트 라이프사이클’은 모든 클라우드 상품의 보안 표준 및 품질 수준을 명확하게 정의합니다. 시스코의 보안 기준점과 공동 보안 모듈 및 서비스를 바탕으로 ‘데브옵스(DevOps)’ 부서가 안전한 클라우드 상품을 구축하고 운영할 수 있는데요. 이 보안 기준점은 시스코의 수준 높은 내부 보안 개발 표준 외에 CSA, FedRAMP 등과 같은 인정받는 보안 베스트 프랙티스를 바탕으로 정해집니다.
  • 안전한 클라우드 운영하기: 안전한 클라우드 서비스를 운영하기 위해 정해진 목표와 SLA에 맞춘 24시간 취약성 스캔, 네트워크 및 애플리케이션 레이어 보호, 적극적인 침투/공격 테스팅 및 책무 확인이 진행됩니다.
  • 안전한 클라우드 모니터링하기: 시스코는 자사 모니터링 절차, 사건 대응 프로세스와 업계 텔레메트리를 이용해 클라우드 상품들을 꾸준히 모니터링합니다. 또한 제3자 인증을 통해 시스코 상품, 절차 및 사이트의 감사를 진행해 고객 그리고 시스코 자체의 기대 수준을 확실하게 충족시켜줍니다. 예를 들어 시스코 웹엑스(WebEx) 상품은 ISO 27001와 SSAE-16 SOC/2 인증을 받은 바 있습니다.

 


기본 중의 기본, 신뢰 쌓기


클라우드가 비즈니스 세계에서 꾸준히 변혁을 일으키는 요즘, 점점 더 많은 기업들이 써드파티 클라우드 제공업체들을 신뢰하기 시작하는데요. 클라우드 전반에 걸쳐 보안 역량을 강화한다면 고객들의 신뢰를 얻는 것은 시간 문제일 것입니다.


또한 투명한 소통 역시 고객의 신뢰를 더욱 강화하는데, 시스코는 고객과 빠르고 개방된 소통을 하는 것을 최우선으로 생각합니다. 이에 더해 경쟁 기업들은 제공하지 못하는 수준 높은 위협 리서치 및 인텔리전스 자료를 제공함으로써 견줄 데 없는 보안 생태계를 만들어가고 있지요.


시스코가 왜 클라우드 보안 선두업체 자리를 아직까지 굳건히 지키고 있는지 이제 아시겠지요? 앞으로도 지속될 시스코의 클라우드 보안 활약, 많은 관심을 갖고 지켜봐 주세요~ ^^

 

 

이번 포스팅은 시스코 최고정보보안 책임자(CISO) 스티브 마르티노(Steve Martino)가 작성한 Designing Security and Trust into the Cloud를 바탕으로 준비되었습니다.