클라우드 서비스의 개념 정리와 문제점

이 내용은 2010년 11월 14일, 동국대학교에서 한국인터넷진흥원의 위탁으로 '클라우드 서비스 적용 가능 분야별 환경분석 및 정책방향 연구'라는 제목으로 작성한 연구개발 결과 보고서의 내용 중 일부를 간단하게 정리한 것입니다. 클라우드 서비스에 대해서 공부하시는 분들께 좋은 자료가 될 것 같아 소개해드립니다.
(참고로 기획자로서 이해할 수 없는 개발과 관련된 내용은 제 블로깅에서는 기술하지 않았습니다. ^^;; 개발과 관련된 내용이 필요하신 분들은 하단의 원문 보고서를 다운로드 받아 읽어보시길 바랍니다.)


연말이다 보니 수많은 미디어에서 2010년을 정리하고 2011년을 예측하는 기사들이 쏟아져 나오고 있습니다. IT와 관련하여 작성된 기사들을 보면 2010년과 2011년에서 빠지지 않고 등장하는 것 중 하나가 바로 '클라우드'일 것입니다. 많은 사람들이 Gmail, 구글 Docs에서부터 Dropbox, Ucloud 등의 다양한 클라우드 기반의 서비스를 사용하면서 대략적으로는 이해하고 있지만 클라우드에 대해서 자세하게 이해하고 있지 못하기 때문에 조금 자세하게 알 수 있는 기회가 되었으면 하면서 동시에 클라우드 서비스 이용시 약관이나 별도의 보안 관련 내용을 가볍게 여기며 사용하는 모습을 보면서 갈수록 대두되는 보안 문제에 대해서 한번쯤 상기할 수 있는 기회가 되었으면 합니다. 클라우드 시장이 갈수록 커지고 있는 시점에서 다양한 보안 문제가 발생하여 소비자들이 큰 피해를 입을 수 있기 때문에 많은 관심과 함께 사업자의 노력, 그리고 정부의 제도적 뒷받침을 기대해봅니다.  

- 관련기사 : 한국 IDC, 2011년 IT분야 10대 핫이슈 발표
                 삼성SDS, 2011년 IT 8대 트렌드는? 소셜-클라우드-스마트
                 가트너, 2011년 향후 핵심 예측 발표

클라우드 컴퓨팅의 정의와 모델

 

클라우드 컴퓨팅이란 IT와 관련된 다양한 자원(하드웨어, 플랫폼, 소프트웨어 등)을 웹이라는 거대한 구름 속에 넣어두고 이러한 자원이 필요한 사용자의 요청에 따라 네트워트를 통해 필요한 정보를 신속하게 제공하는 모델을 말합니다.

[서비스 모델]

- 소프트웨어형 서비스 (Software as a Service=SaaS)
: 사용자는 특정 소프트웨어를 필요한 시기에만 네트워크에 접속하여 사용하고 그것을 실행시키고 있는 운영체제, 하드웨어, 네트워크에는 접근(제어)하지 못합니다.

- 플랫폼형 서비스 (Platform as a Service=PaaS)
: 개발을 위한 플랫폼을 구축할 필요없이 표준화된 플랫폼을 웹에서 빌려 쓸 수 있게 만든 방식으로 가상화된 모든 개발과 관련된 환경 및 프로세스를 제공합니다.

-  인프라스트럭쳐형 서비스 (Infrastructure as a Service=IaaS)
: 소비자는 프로세싱 파워, 스토리지, 네트워크 또는 미들웨어와 같은 기본적인 컴퓨팅 자원을 가상화 환경으로 구축하여 사용자의 필요에 따라 서비스 형태로 제공하는 방식입니다. 소비자는 운영체제, 스토리지, 어플리케이션들, 그리고 방화벽과 부하분산기와 같은 네트워크 컴포넌트들에 대한 제어가 가능합니다.

클라우드 컴퓨팅의 특성

 
1. 빠른 탄성 (Rapid Elasticity)
클라우드 컴퓨팅에서의 탄성이란 필요에 따라 자원의 양을 증가 또는 감소시킬 수 있는 능력을 의미합니다. 사용자에게 클라우드는 무한하게 보여지고 사용자는 그들의 필요에 따라 적거나 많은 컴퓨팅 파워를 살 수 있습니다.

2. 측정된 서비스 (Measured Service)
클라우드 서비스는 클라우드 제공자에 의해 모니터링 되고 관리되어 집니다. 이것은 과금 정책 수립, 접근제어, 자원의 최적화, 사용량의 예측 등을 위해 필수적입니다.

3. 요청기반 셀프서비스 (On-demand Self-Service)
클라우드 컴퓨팅의 요청(on-demand)과 셀프서비스(Self-Service)는 소비자가 클라우드 제공자와의 어떤 인간적인 상호작용 없이 클라우드 서비스를 필요한 만큼 이용할 수 있다는 것을 의미합니다.

4. 유비쿼터스 네트워크 접속 (Ubiquitous Network Access)
유비쿼터스 네트워크 접속은 클라우드 제공자의 역량(기능과 성능)을 클라이언트의 성능과 상관없이 표준 절차에 의해 접근이 가능하며 네트워크상에서 이용할 수 있다는 것을 의미합니다.

5. 자원 풀 (Resource Pooling)
자원 풀은 클라우드 제공자로 하여금 그들의 소비자들을 다중 소유 모델로 서비스할 수 있게 합니다. 물리적인 그리고 가상 자원들을 소비자의 요청에 따라 할당되고 재할당됩니다. 자원의 위치는 독립적이고 고객은 제공되는 자원의 정확한 위치에 대한 인지나 제어가 불가능하지만 일정 부분에 대해서는 사용자가 지정할 수 있습니다.

클라우드 컴퓨팅 사용 사례

1. 최종 사용자와 클라우드 간 (End User to Cloud)
최종 사용자는 클라우드의 데이터와 응용 프로그램에 접근할 수 있습니다. 이런 타입의 응용 프로그램으로는 이메일과 SNS 등이 있습니다. 지메일이나 페이스북, 트위터 등의 사용자는 어떠한 디바이스의 어떤 브라우저를 통해서도 응용 프로그램과 데이터에 접근이 가능하며 사용자는 그들의 데이터가 클라우드에 저장되고 관리되기 때문에 단지 비밀번호만 알면 됩니다. 가장 중요한 점은 사용자는 구조적으로 어떻게 동작하는지 몰라도 된다는 점이며 인터넷만 연결되어 있다면 원하는 자신들의 데이터에 접근할 수 있다는 것입니다.

2. 기업과 클라우드 그리고 최종 사용자간 (Enterprise to Cloud to End User)
기업은 사용자에게 데이터와 서비스를 전달하기 위해서 클라우드를 사용합니다. 사용자가 기업과 접촉하면 기업은 데이터를 가져오고 다루기 위해서 클라우드에 접근하고 그 결과를 사용자에게 보내줍니다. 사용자는 기업 내의 누군가가 될 수도 있고 외부의 고객이 될 수도 있습니다.

3. 기업과 클라우드 간 (Enterprise to Cloud)
기업이 내부의 프로세스를 위해 클라우드 서비스를 사용하는 경우로 기업에게 대부분의 제어권을 주기 때문에 클라우드 컴퓨팅 초기 단계에서 가장 자주 볼 수 있는 경우입니다.

4. 기업과 클라우드 그리고 기업 간 (Enterprise to Cloud to Enterprise)
두 기업이 같은 클라우드를 사용하는 경우로 여기서 중요한 것은 기업들의 응용 프로그램들이 서로 상호작용할 수 있도록 클라우드 내에서 리소스를 호스팅하는 것입니다. 기본적인 부분은 기업과 클라우드 간의 것들과 유사하나 서로 다른 기업들 간에 응용 프로그램과 데이터를 서로 공유하기 위해서 트랜젝션과 동시성, 상호운영성이 필수적입니다.

5. 프라이빗 클라우드 (Private Cloud)
프라이빗 클라우드는 클라우드가 기업 내에 포함되어 있다는 점에서 다른 경우와 다릅니다. 이런 경우는 대규모의 기업들에게 유용한 케이스로 특정 요일에 특정 부서의 작업량이 몰리는 경우 클라우드를 활용하지 않는다면 작업량이 몰리는 요일을 고려하여 최대치의 컴퓨팅 파워를 확보해야 하지만 클라우드를 이용하면 보다 적은 컴퓨팅 파워로 각 부서마다 적절히 조정하여 운영이 가능합니다.

클라우드 컴퓨팅 환경 하에서의 사용자 보호 문제

클라우드 컴퓨팅 서비스에 대해서 사용자들은 여러가지 측면에서 불안감을 가질 수 밖에 없습니다. 특히 클라우드 컴퓨팅 서비스에 문제가 발생할 경우 사용자가 얼마나 보호될 수 있는가에 대한 우려가 매우 큽니다. 최근 구글 지메일의 접속 장애, 트위터의 사내 자료 유출, 아마존의 서비스 중단 등으로 사용자의 불안감이 커지고 있기 때문에 클라우드 컴퓨팅 서비스에 대한 안정성과 신뢰성 확보에 대한 요구가 갈수록 높아지고 있습니다.
 
1. 사업자 파산

사업자가 파산하는 경우, 클라우드 컴퓨팅 서비스의 사용자 입장에서는 손해가 막대할 수 밖에 없습니다. 사업자가 파산하는 경우, 기존에 서비스 이용자는 안정적으로 서비스를 이용하지 못해 지금까지 서비스를 이용해 진행하던 업무가 정지되게 되며 또한 데이터가 훼손되거나 손실되는 경우, 지금까지 클라우드 컴퓨팅 서비스에 보유하고 있었던 정보들이나 데이터를 잃게 됩니다. 만일 서비스 제공자의 파산 이후 또 다른 서비스 제공자를 찾는다고 하여도 기존에 제공받던 서비스를 동일하게 제공받을 수 있는지, 업체들 간 시스템 부분에서 호환이 가능한지의 문제들이 발생할 수 있습니다.

해외에서는 사업자 파산에 따른 피해 축소를 위해 대부분의 기술자료 임치제도를 활용하고 있습니다. 기술자료 임치제도란 개발자의 소스코드, 실행프로그램 등을 제 3의 임치기관이 보관하고 있다가 사업자의 파산, 폐업 등이 발생하는 경우 해당 임치물을 사용 기업에게 제공하여 해당 기술의 신뢰성을 보호하여 주는 제도입니다. 사업자의 파산은 예상치 못한 상황이기 때문에 클라우드 임치기관의 사용자 정보에 대한 실시간 자동 백업이 클라우드 임치의 핵심 요소입니다. 

2. 서비스 중단 및 장애

클라우드 컴퓨팅 서비스가 중단되거나 장애가 발생하는 경우에도 사용자는 서비스 공급자가 파산하는 경우와 유사한 피해를 입게 됩니다. 특히 클라우드 컴퓨팅 서비스는 인터넷과 마찬가지로 각각의 서비스와 컴퓨터가 네트워크로 연결되어 있어 바이러스 감염이나 해킹 등의 침해사고 등에 취약하여 언제라도 서비스에 장애가 발생할 수 있는 가능성이 큽니다. 게다가 클라우드 컴퓨팅 서비스는 사용자의 정보를 서비스 제공자의 서버에 저장해놓는 형태로 제공되기 때문에 서비스 장애에 따른 정보 유실이나 손실의 규모는 여타 다른 인터넷 기반 서비스보다 휠씬 클 것으로 예상됩니다.

이를 예방하기 위해서는 클라우드 컴퓨팅 서비스 사업자의 이용 약관규정에서 서비스 장애에 따른 손해배상의 범위를 명확히 규정하는 것이 필요하며 손해배상의 면책 규정을 일방적인 사업자 입장만을 고려하는 것이 아니라 서비스 이용자의 입장을 함께 고려함으로써 서비스 이용자들이 서비스를 이용하는 데에 있어서 가지는 불안감을 해소해 줄 수 있어야 할 것 입니다.

3. 사용자의 정보보호
클라우드 컴퓨팅의 핵심 기술은 가상화입니다. 따라서 사용자가 저장해 놓은 데이터의 위치 파악이 어려울 뿐만 아니라 외부 공격에 취약하고 관리자가 권한을 오남용하는 경우 민감한 개인정보의 유출 위험이 큽니다. 그럼에도 불구하고 현행법에 의하면 사용자의 개인정보 보호에 예외가 되는 법조항들이 다수 존재하며 정보 유출로 인하여 개인이 큰 피해를 입은 경우에도 현행범으로는 서비스 제공자에게 벌금을 부과할 뿐 구체적으로 피해자에 대한 보상이 명시되어 있지 않아 클라우드 컴퓨팅의 사용자들에게 정보보호에 관한 불안감을 해소시켜 주기에는 미흡한 점이 많습니다.

4. 플랫폼의 독립성 강화

플랫폼의 독립성이란 플랫폼이 운영체제 또는 단말기에 상관없이 작업을 수행할 수 있는 것을 의미합니다. 클라우드 컴퓨팅 서비스에서는 플랫폼의 독립성 강화가 무엇보다 중요합니다.
클라우드 컴퓨팅 서비스 사업자가 갑작스럽게 파산을 하거나 사업을 폐지하는 경우, 기존에 해당 서비스를 이용하던 사용자들은 다른 서비스로의 전환이 불가피합니다. 이 경우 플랫폼이 독립적인 경우, 사용자들은 별다른 전환비용 없이 손쉽게 다른 서비스로 옮겨갈 수 있게 됩니다. 따라서 클라우드 컴퓨팅 서비스에 있어서 플랫폼의 독립성 강화는 사용자들의 권리와 정보를 보호해 줄 수 있는 제도적 장치의 연장선이라 할 수 있습니다.

클라우드 컴퓨팅 환경 하에서의 공급자 지원 및 보호 문제

공급자의 측면에서 볼 때 사용자가 불안감을 느끼는 사항들은 모두 공급자에게도 불안감으로 작용될 수 있습니다. 공급자 측면에서 바라본 사용자의 불안감은 크게 사용자 정보의 보안성과 안전성으로 나눌 수 있습니다. 공급자의 입장에서는 사용자의 정보의 보안 유지와 사용자 정보의 손망실을 방지하기 위해 안전성을 유지하는 것이 시행되어야 하지만 이에 대한 대책은 현재로서는 미비한 수준입니다. 추가적으로 클라우드 컴퓨팅의 서비스는 시작된 지 얼마 되지 않아 이에 대한 이해도나 지원이 빈약하며 인적자원이나 법제도 측면에서의 지원이 미흡한 점도 공급자들이 클라우드 컴퓨팅 서비스를 공급하는데 문제점이 될 수 있습니다.

1. 사업의 보안성 확보

클라우드 컴퓨팅의 문제점으로 가장 많이 지적되는 것은 서비스의 보안성입니다. 사용자 측면에서 언급한 대로 해킹 등의 외부 공격과 관리자의 오남용 문제로 인해 사용자들은 보안성에 대해 우려할 수 있습니다. 사용자의 우려는 곧 공급자의 우려로 번질 수 있습니다. 사용자의 정보에 대한 보안성을 확보하지 않은 상태에서 서비스를 시행하다가 보안 문제로 인해 사용자가 피해를 입는다면 공급자 역시 이에 대한 손해배상을 준비해야 합니다. 하지만 현재 사용자에 대한 배상 범위와 액수도 정확하지 않아 많은 문제가 발생할 것으로 예상됩니다.

때문에 공급자는 서비스 공급에 있어서 충분한 보안 대책을 세우고 클라우드 컴퓨팅에 맞는 보안 요소를 보장할 수 있는 법규를 신설해야 합니다. 이 외에도 클라우드 컴퓨팅으로 인해 새로 나타나는 기술들인 가상화 서버에 대한 보안 항목을 추가하거나 기존 체계에서 소홀히 다뤄진 데이터에 대한 복구 또는 임치 등을 규정하는 항목 또한 추가되거나 새로이 클라우드 컴퓨팅을 위한 인증체제를 만들어 나갈 필요성이 있습니다.

2. 상호 호환가능성을 통한 서비스 안정화
공급자간의 호환성은 클라우드 컴퓨팅 서비스를 안정화 시킬 수 있습니다. 단기적인 시각으로 볼 때 호환성은 각 사업자간의 특성을 통합하여 이윤을 감소시킬 수 있습니다. 그리하여 현재 공급자간의 호환성에 대해서는 클라우드 컴퓨팅 산업에서 크게 이루어지지 않고 있습니다. 또한 이를 규정하는 법제도 또한 미흡하여 서비스를 안정화 하는데 있어서 많은 문제점을 야기하고 있습니다. 먼저 모든 사업자들이 상호호환성과 표준화를 통해 사고율을 낮추고 개념을 일관성 있게 정리하여 전체적인 시장의 크기를 넓힌 뒤에 각 공급자가 개별적인 사업 아이템을 들고 나와야 수익성을 확보할 수 있을 것입니다.

3. 공급자의 역량 강화
공급자 측면에서 볼 때 정부나 민간 부분의 인력 지원, 조세 감면, 제도적 보완, 규제 완화 등의 직접적인 지원도 중요한 요소 중의 하나입니다. 그러나 클라우드 컴퓨팅은 기술이 도입되어 실제로 서비스가 실시된지 얼마 안 된 관계로 클라우드 컴퓨팅을 사용하는 기업에 대한 지원 제도가 미비합니다. 먼저 클라우드 컴퓨팅을 실행하는 기업에 대한 정의가 모호하며 지원에 대한 범위가 정해져 있지 않습니다. 이로 인해서 클라우드 컴퓨팅을 서비스하는 기업의 경우 그 지원의 대상과 규모가 정확하지 않아 지원이 어렵습니다.

4. 인증제도 

인증제도는 제품 및 기술의 효과를 보증하여 사용자가 신뢰를 갖고 사용할 수 있도록 하는 방식입니다. 현재 클라우드 컴퓨팅이 도입된 지 얼마되지 않은 상황에서 인증제도는 대다수의 클라우드 컴퓨팅에 대해 알지 못했던 사람들에게 신기술에 대한 불안감을 줄여줄 수 있습니다. 이로 인해 공급자들은 사용자들의 신뢰를 얻어 좀 더 과감하게 기술을 개발하여 클라우드 컴퓨팅 산업을 활성화시킬 수 있게 될 것 입니다. 

보다 자세한 내용은 134 페이지에 달하는 원문 보고서를 참고하시기 바랍니다. ^^

201011-101215213550-phpapp02.pdf

가슴 따뜻한 세상을 꿈꾸는 세균무기