린아레나 “클라우드에서도 ISMS 손쉽게 인증 가능”
자체 데이터센터에서 ISMS 보안 인증을 받은 사업자도 IT 환경을 클라우드로 전환할 수 있을까? 클라우드 전환이 크게 복잡하거나 어렵지는 않을까?
많은 기업들이 클라우드 전환을 검토할 때 보안에 대한 우려를 한다. 특히 ISMS 인증 의무기업의 경우 클라우드로 이전했을 때 문제가 생기지 않을지 걱정하기도 한다.
린아레나 문경곤 대표는 이같은 의문에 “ISMS가 클라우드로 넘어간다고 해서 큰 문제는 없다”면서도 “클라우드 환경 설정에 대한 컴플라이언스가 명확한 게 없어, 이런 과도기에는 혼란에 대처할 솔루션이 필요하다”고 말했다.
문 대표는 바이라인네트워크가 지난달 27일 주최한 <클라우드 네이티브 시큐리티 & 제로트러스트 컨퍼런스 2023>에서 ISMS와 같은 보안규제를 클라우드 환경에서 지킬 수 있도록 지원하는 솔루션 ‘디클로(D-DLO)’를 소개했다. 이 솔루션은 보안컨설팅 전문가 집단인 린아레나가 그동안의 컨설팅 경험을 솔루션에 담아 놓은 결과다.
문 대표는 환경설정의 중요성을 강조했다. 그는 “보안 사고의 95% 이상은 화려한 해킹에 의한 것이 아니라 미흡한 설정 때문”이라며 “설정 오류는 클라우드 공급자가 아니라 이용자가 책임을 져야 하는 부분”이라고 설명했다.
이런 문제를 해결을 위해서는 보안 환경을 지속적으로 모니터링하고 관리를 자동화하는 솔루션이 필요하다. 디클로가 이런 역할을 하는 솔루션이다.
예를 들어 클라우드는 변동성이 큰 것이 특징이다. 이처럼 시시각각 변하는 환경에서는 ISMS 인증을 받기 쉽지 않다. 위험 평가를 위해 자산을 조사해야 하는데 자산이 계속 바뀌면 하나의 기준으로 평가를 하기 어렵다. 문 대표는 “클라우드에서 자산을 정의하려고 할 때는 일단 자동화가 기본적으로 필요하다”면서 “디클로는 API 키 연동을 통해 자산 정보를 자동으로 수집하기 때문에 실시간으로 변동돼도 5분이면 파악할 수 있다”고 설명했다.
위험 평가의 경우에는 시장에서 통용되는 실무 체크리스트가 존재하는데, 디클로를 이용하면 이런 체크리스트에 맞게 위험 평가를 손쉽게 할 수 있다고 전했다. 그는 “저희 솔루션을 통해 (위험평가) 산출물을 도출해서 타이틀만 바꿔서 그대로 제출을 했고 ISMS 심사에 통과한 사례가 있다”면서 “국내 환경에 최적화 해서 솔루션을 만들었다”고 강조했다.
문 대표에 따르면, 디클로는 AWS, 구글 클라우드, 마이크로소프트 애저, 네이버 클라우드 등 다수 클라우드를 지원하며, 올해 안에 KT 클라우드도 지원할 방침이다. 금융보안원, ISMS P, CSAP, CIS, PCIDSS, NIST, ISO27001등 다양한 국내외 컴플라이언스도 지원한다.
문 대표는 “저희 솔루션은 클라우드 보안을 좀 편리하게, 국내에서 손 안 대고 운영할 수 있는 편의성 보안 서비스”라면서 “보안 경력 2년만 되면 그림 보고 따라할 수 있는 가이드를 제공하고 있다”고 말했다.
그는 “2021년 메가존 클라우드의 자회사로 편입된 이후 클라우드 보안 전문기업으로 거듭나기 위한 연구개발 산출물인 D-CLO가 출시됐다”면서 “향후 화이트해커 집단의 린아레나 기술력으로 클라우드 보안성을 극대화할 수 있을 것”이라고 덧붙였다.
글. 바이라인네트워크
<심재석 기자>shimsky@byline.network