본문 바로가기

상품, 서비스/Security

KT Cloud는 어떻게 보호되는가? #5

 

이전의 글에서는 Cloud를 보호하기 위한 시스템 측면의 보안을 살펴 보았습니다. 시스템 측면의 보안이 설계와 구축 관점의 취약점을 없애는 것이라면, 이용 중의 취약점을 없애는 것도 매우 중요합니다. 이러한 운영 관점의 보호를 관리적 보안이라 합니다.

 

조직과 인적관리

KT에서는 정보보호 업무를 총괄하는 전담 조직이 있습니다. 특히, 클라우드 사업의 경우 지속적으로 안전한 서비스를 제공하기 위해 별도의 전담 실무팀이 존재하죠. 필자가 속한 클라우드보안팀에서는 교육, 정보보호 관리, 보안 정책 개정, 사고 대응 등의 업무를 하게 됩니다.

교육을 받는데 즐거울 수가 없다.

클라우드 서비스 관련 업무를 수행하는 직원들은 연 1회이상 정보보호 교육을 수행하고, 비밀유지 서약을 하게 됩니다. 또한, 각 직원들도 직무에 따라 통제를 받게 되는데, 보안 정책을 관리하는 직원은 인프라 상면 운영자의 허락을 득해야 시설에 출입할 수 있게 되죠. 이러한 절차는 KT 직원 뿐 아니라, 협력사에도 적용됩니다.

클라우드 보안에 있어 조직과 인적관리는 보안 관리자의 그릇된 생각을 막고, 이에 대한 법적인 책임 소재를 명확히 하는 것에서 출발합니다.

 

자산 관리와 통제

조직과 인적관리가 클라우드의 '주체'를 관리한다면, 클라우드의 '객체'에 대한 관리 보안도 존재합니다. 서버나 스토리지와 같은 클라우드 자산 말이죠.

클라우드 자산의 관리적 보안은 자산의 생애 주기를 관리하는 것부터 시작합니다. 자산의 도입부터 폐기까지의 일련의 과정 속에서 클라우드에서 사용 중인 모든 자산을 시스템을 통해 관리하는 것입니다.

다음으로는, 각 자산에 대한 설정들을 관리합니다. 수립한 정책에 따라 보안 업데이트나, 안전한 프로토콜 사용, 로그 설정 등을 점검하죠.

마지막으로, 클라우드 인프라에 대해 취약점 점검을 하게 됩니다. 주기적으로 전체 클라우드 관점에서의 보안 취약점을 확인하고 개선하는 것입니다.

 

이렇듯 보안의 '주체'와 '객체'를 관리하고, 둘 간의 통제정책을 세우며 관리적 보안의 체계가 완성됩니다. 그런데, 클라우드 보안이 궁극적으로 목표하는 바는 무엇일까요?

 

클라우드 보안의 지향점, 서비스 연속성

서비스 연속성이란 자연 재해나 고장, 사람의 실수 등 다양한 위험 상황에서도 IT 서비스가 동작하는 것을 말합니다. 클라우드 사업자들은 고객과의 계약 내용에 서비스 가용성 보장 수준을 포함하고, 사용자의 비즈니스 요구를 만족하는 것을 목표로 합니다.

서비스 연속성을 보장하는 방법은 이전의 글에서 다루었던 사항들을 포함하는데요. 데이터센터 내의 장비를 이중화하며, 무정전설비나 네트워크 이중화도 해당 됩니다. (정말 중요한 시스템은 삼중화도 하죠.)

 

일반적인 이중화만으로는 데이터센터 단위의 장애에는 취약하기에, KT Cloud의 경우 지리적으로 분산된 데이터센터를 활용해 재해복구(DR) 서비스를 제공하고 있습니다. 예를 들어, 천안 지역에서 클라우드 서비스를 제공하되, 비상상황 발생 시 목동의 DR센터로 전환하는 것이죠. 참고로, 데이터센터 간의 연동을 위한 대용량 네트워크 구성은 비용적인 문제를 동반하는데, KT는 망사업자라는 특성 덕분에 이러한 이슈를 보다 쉽게 해소할 수 있습니다.

 

서비스 연속성은 장애 대응과 밀접한 연관이 있습니다.

먼저 성능적 이슈로 인한 장애를 방지하기 위해 가용성과 관련된 주요 정보에 대해서는 실시간 수집 및 24시간 관제 체계를 유지하고 있으며, 그외 리소스 정보는 주기적으로 모니터링 하며 증설 계획을 수립합니다.

또한, 작업자 실수를 방지하기 위해서 작업 전에는 내부 위원회를 통해 작업 계획을 검증하고 실제 작업 시는 작업 계획에 따라 작업을 수행합니다. (작업자 입장에서는 지정된 시간에 각 작업 단계를 수행해야 하므로 일찍 퇴근할 수 없다는 아픔이 있죠.)

야간 작업과 야근은 다르다. 야근이 끝날 때 야간 작업이 시작된다.

마지막으로, 장애 등급을 분류하고 각 등급별로 고객 통지 및 내부 보고, 원인 분석 등 일련의 정규화된 프로세스를 수립하고 이행합니다.

 

마무리

글로써 보안의 구조를 설명하기는 참 어렵습니다. 다만, 설계와 운영의 보안 측면에서 큰 틀의 보안 거버넌스는 기존의 IT 환경과 크게 다르지 않을 것입니다. 핵심은, 보안의 거버넌스를 얼마나 잘 준수하는 지가 아닐까 합니다. 글을 쓰며, 저 또한 보안 거버넌스와 KT Cloud의 현재를 다시 바라보는 계기가 되었는데요. 항상, 더 안전한 서비스를 제공하고자 노력하겠습니다.

 

 

관련글