최근 IT에서 주목을 받고 있는 분야가 바로 그린(절전)과 클라우드 컴퓨팅 분야입니다. 가장 대표적인 예로는 구글의 지메일에 관련된 서비스를 들 수 있으며, 외국 보안 업체들도 날로 증가하는 악성 프로그램에 대응하기 위한 하나의 수단으로 자리매김하고 있습니다.

클라우드는 보통 Saas 서비스로 받으며, 실제 서버를 두고 운영하는 측면에 비해 매우 편리한 것임에는 틀림없습니다. 하지만, 도입에 앞서 보안 이라고 하는 측면에서 검토해 본 적이 있는지 한번 질문을 해봅니다.

아마도, 보안은 알아서 잘 해주겠지. 뭐 하는 등의 무사태평한 경우가 대부분일 것입니다.

지금 소개할 일화는 최근 발생한 모 회사가 서비스로 운영하는 웹사이트가 해킹을 지속적으로 당해 회사의 이미지가 크게 손상되고, 비용 또한 많이 지불하게 되는 실제 사례입니다.


A 라는 호스팅 업체에서는 고객들의 웹 사이트를 대부분 클라우드화하여 서비스로 제공하고 있는 상태였습니다.

고객 중 하나인 B는 수집하는 법률 자료에 대한 비용을 청구하는 금융 서비스를 웹 기반으로 운영하기 위해 A에서 서비스를 받았습니다. 2007년도에 처음 서비스에 가입하면서 도입 비용자체가 매달 6.95 달러 정도로 매우 저렴했으며, A 사 자체의 시장 평가도 꽤 높았습니다.

하지만, 지난 1월에 B사 웹사이트는 SQL 인젝션 공격을 당해 웹으로 보여지는 페이지에 악성 코드가 삽입되는 피해를 입었습니다. 이러한 공격은 지속적이었으며 심지어는 악성 코드까지 배포하는 상태까지 이르렀습니다. 심지어 2월 달에는 일주일에 2번 정도 사이트가 중지되고, 3월달에 이르러서는 매일 다운되는 사태가 발생했습니다.

한편, 구글 검색 엔진에서는 이러한 감염을 인식하고 검색 페이지에서 이를 표시하는 바람에 회사의 이미지가 많이 훼손되기에 이르렀습니다. 그 뿐만 아니라, 서비스를 이용하는 자사 고객(변호사)들 조차도 이렇게 해킹을 당하는데 우리가 제공하는 파일이나 개인정보가 제대로 안전하게 보호되고 있는지 의문을 표할 정도로 최악의 상태로 치닫게 되었습니다.

B 회사에서는 모든 중요 정보를 이메일을 통해서 주고받았기 때문에 실제 웹사이트의 해킹으로는 그 정보들이 노출되지 않은 것은 다행이 아닐 수 없습니다.

B은 A에게 이러한 문제점을 알리고 해결해 주길 요청했었지만, 실제로 A가 해결해 줄 것이라고는 믿지 않게 되었습니다.

B 사는 감염된 부분을 해결하는 방법과 홈페이지를 닫는 방법에 대해서 알려 주었지만 실제로는 해결된 바가 없으므로 매번 동일하게 피해가 발생하고 이를 대응하는 수준에 머물렀습니다.

결론적으로, A 사는 호스팅 업체를 바꾸고 매달 400 달러의 서비스 비용을 내고 보안에 관련된 취약점을 모두 해결함과 동시에 안정적인 서비스를 운영하고 있다는 행복한 얘깁니다.


간단히 정리했지만, 매우 중요한 부분이 아닐 수 없습니다.

즉, 서비스 기반에서 정보를 다루는 주체는 바로 서비스 업체입니다. 이 업체에서 책임져야 하는 부분이 어디까지인지 명확히 구분해야 하는 것이 필요합니다. 예를 들면,

1. Uptime - 서비스를 항상 운영할 수 있는 능력. 예를 들면 99.5%
2. 데이터 보관 - 중요한 데이터를 어디에 보관할 것인지. 예를 들면, 국내, 국외
3. 백업 - 백업은 언제, 누가할 것인지, 가장 중요한 어디에 보관할 것인지
4. 보안 - 해킹, 웹 취약점 등 다양한 공격 경로에 따른 책임 소재

대충 정리해도 꽤 많은 사항을 고려해야 한다는 점을 알 수 있습니다.

Saas 도입을 검토하는 업체 담당자는 이러한 점을 한번 더 주목하시기 바랍니다.







reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus


    Web Analytics Blogs Directory