[기고] SaaS 클라우드 안의 기업 데이터, 믿고 보관해도 될까?

[IT동아]

'서비스형 소프트웨어(SaaS, Software as a Service)'는 현재로서 가장 익숙한 유형의 클라우드다. 구글의 지메일(Gmail)이나 애플의 아이클라우(iCloud)드, 네이버의 네이버 클라우드 등이 모두에게 유용한 서비스형 소프트웨어 클라우드다.

SaaS 클라우드 서비스는 자신의 PC, 스마트폰 등의 기기에 별도 소프트웨어를 설치해 데이터를 저장하지 않아도, 인터넷 접속만 가능하면 언제 어디서든 이용이 가능하다. 설치/설정, 데이터 보관의 편리함으로 SaaS는 비즈니스 분야에도 도입이 확대되고 있다.

국내에도 그룹웨어, ERP, CRM, HR, 회계, 마케팅 분야 등에 적합한 다양한 클라우드 SaaS 솔루션이 선보였으며, 한국정보화진흥원(NIA)이 운영하는 클라우드 스토어인 '씨앗(CEART)'에도 이미 150개 이상의 SaaS 솔루션이 등록돼 있다. 자사의 그룹웨어 SaaS 솔루션인 '하이웍스'도 이에 포함된다. 다만 SaaS 클라우드 도입 후 이점과 그에 따른 불안요소를 두고 도입을 망설이는 기업이 적지 않다.

SaaS 도입의 가장 큰 이점은 역시 '비용 절감'이다. 그룹웨어 등의 기업 솔루션을 회사 내부에 직접 구축할 경우, 구축 시간도 오래 걸리지만 자체 서버 구매, 전산실 구축, 전문 관리요원 채용 및 유지/관리 등 막대한 투자가 필요하다. 클라우드가 필요하지만 중소기업으로서는 엄두도 내기 어려운 이유다.

SaaS는 초기 구축 비용과 장기 유지보수 비용을 대폭 절감할 뿐만 아니라, 솔루션 도입을 통한 업무 프로세스 개선, 효율성 및 생산성 향상을 어렵지 않게 기대할 수 있다. 사실상 이 이점 하나만으로도 SaaS를 도입할 이유는 충분하다.

다만 개인용 클라우드나 매일 서비스를 사용할 때와는 달리, 비즈니스 환경에서는 '보안'이라는 결정적인 과제가 SaaS를 도입을 망설이하게 한다.

시장조사기관인 IDG의 '2018년 클라우드 컴퓨팅' 조사 결과에 따르면, 기업이 클라우드 도입을 주저하는 가장 큰 이유로 '보안 및 규정 준수에 대한 우려(63%)'가 꼽혔다. 기업 내부에서 정보를 관리하는 것보다 외부 업체에 정보를 위탁하는 것에 대해 정보 유출과 손실 위험을 크게 느끼는 것으로 나타났다. 더구나 클라우드 환경의 안정성도 완전히 신뢰하지 않는다.

클라우드 서비스 업체라도 신뢰할 수준의 보안성과 안정성을 제공하지 못하는 경우도 더러 있다. SaaS 서비스 업체를 잘 설정하면 기업 내부에 데이터를 보관하는 경우보다 훨씬 높고 안정된 수준의 보안성을 기대할 수 있다. 클라우드 서비스 업체를 설정하는 데는 해당 업체의 서비스 백그라운드를 면밀히 살필 필요가 있다.

편리한 사용자 환경(UI)이나 기능 요소만 따지지 말고, 해당업체 정보를 포함한 서비스 백그라운드도 꼼꼼히 조사해야 한다.

우선 기업 데이터를 서비스 업체 내부에 보관하는지, 제3자에게 위탁하는지 확인하고, 보안 수준 및 데이터 보관 환경도 점검한다. 클라우드 서버의 방화벽 설치 여부, 침입탐지, 로그/이벤트 관리, 접근제어, 데이터 암호화 등이 제대로 이뤄지고 있는지 체크한다.

최근 들어 관리자 계정이 탈취돼 데이터가 유출되는 사고가 빈번하게 발생하고 있으므로, 기업 데이터의 접근 권한을 누가, 어떻게 관리하며, OTP 등의 추가 인증수단을 적용하는지도 확인해야 한다.

아울러 백업 지원 여부도 중요하며, 공공기관, 금융 정보 등 극도로 민감한 데이터를 취급하는 경우에는 IDC 내부의 CCTV와 보안장치, 소방설비 설치 여부도 빠짐 없이 점검해야 한다.

안정성에 있어서는 가용성이 99.9% 이상을 유지하는지, 품질보장제도(SLA)를 운영하는지 확인한다. SLA를 운영할 경우 서비스 다운타임 시 솔루션 제공 업체로부터 보상을 받을 수 있다.

마지막으로, 해당 업체가 정보보호관리체계(ISMS) 인증과 클라우드 서비스 보안인증(CSAP)을 취득했는지 확인하여 업체와 서비스의 신뢰성을 파악한다.

SaaS 클라우드에 있어 보안은 시간이 지날수록 고도화되고 있다. 전세계 SaaS 솔루션 시장은 평균 20%, 국내 시장도 2022년까지 연 평균 15% 정도 성장할 것으로 전망되는 바, 보안성과 안정성은 모든 클라우드 업체가 최우선으로 하는 조건이 될 것이다.

SaaS 솔루션 도입 및 전환은 효율성과 비용 절감을 추구하는 기업에게는 필연적 흐름이다. 지금도 새로 등장하는 다양한 클라우드 기반 솔루션 중 현명한 선택을 하기 위해서는, 보안성이 담보되지 않은 SaaS 솔루션으로는 어떤 이점도 얻을 수 없고, 보안성이 보장된 SaaS 솔루션은 클라우드 서비스가 지닌 모든 불안을 상쇄하고도 남음을 기억하기 바란다.

글 / 가비아 안광해 정보보안실장
정리 / IT동아 이문규 (munch@itdonga.com)