?? ???? ?? ????? ??? ???? ???? ???, ?????? ??? ???? ???? ??? ????. Credit: Gorodenkoff / Shutterstock 클라우드와 온프레미스 중 어디에 서버를 두는 것이 더 나은가에 대한 논쟁은 이제 과거의 일이 됐다. 최근 기업들은 보안과 운영의 단순화를 중요하게 여기며 워크로드를 재배치하고 있다. 그러나 현대의 멀티클라우드 컴퓨팅 환경은 워낙 다양하고 복잡하기 때문에 이 같은 움직임이 일률적으로 나타나지는 않는다. 일부 기업은 AWS나 애저와 같은 단일 클라우드 서비스 제공업체로 여러 플랫폼(PaaS)에서 운영하던 워크로드를 통합하고 있다. 반면 일부는 클라우드 사용 범위를 축소하며 벤더 수를 줄이고 있다. 과거에는 다양한 클라우드 제공업체를 병행해 사용하는 것이 어느 정도 용인됐지만, 최근에는 기술적 부담이 커지며 이를 유지하는 것이 점점 어려워지고 있다. 포레스터애널리스트 안드라스 체르는 파운드리 산하 보안 매체 CSO와의 인터뷰에서 “여러 클라우드 제공업체를 통합하려는 움직임이 있다”라며 “이는 기술적 부채와 벤더 종속성을 줄이기 위한 노력”이라고 설명했다. 이러한 통합은 일관된 아키텍처 전략이라기보다는 기업 인수합병에 따른 중복 정리나 여러 개발팀 간의 일관성 확보를 위한 실용적 선택인 경우가 많다. 일부 기업은 워크로드를 온프레미스로 되돌리거나 퍼블릭 클라우드에서 하이브리드 또는 프라이빗 클라우드로 이전하고 있다. 다음은 멀티클라우드 보안에서 발생하는 주요 과제와 복잡성을 살펴보고, 이를 해결하기 위한 실질적인 방안을 제시한다. 보안의 목적성을 강화하고 도구의 중복 사용을 줄이기 위한 실행 전략이 중심이다. 비용 관리의 중요성 기업에서 겪는 핵심 과제는 클라우드마다 별도로 개발팀을 운영해야 해 전체 운영비용이 크게 증가한다는 점이다. 클라우드마다 도구와 구현 방식이 달라 다양한 서비스와 프로토콜, 시스템을 이해하고 유지할 수 있는 전문 인력이 필요하다. 인프라플랫폼 기업 피보탈(Pvotal)의 CTO 애슐리 만라즈는 CSO에 “엔지니어들은 여러 클라우드를 동시에 다룰 만큼의 전문 지식을 갖추기 어렵다. 대부분 한두 개의 클라우드에 집중하고 가능한 한 많은 보안 자동화를 활용해 관리한다”라며 “한 가지 클라우드에 집중하고 이를 잘 운영하는 것이 효율적이다. 모든 워크로드를 모든 클라우드에 일관되게 복제하는 것은 불가능하다”라고 전했다. 보안 컨설팅 기업 제나시티(Zenaciti) 설립자인 앤드루 플래토는 멀티클라우드 접근 방식이 그 매력을 잃고 있다고 분석했다. 그는 “예를 들어 AWS에서 애저로 워크로드를 옮기는 것은 비용도 많이 들고 기술적으로도 매우 어렵다”며 “대부분의 기업이 클라우드 서버를 온프레미스로 대거 이전하고 있는 건 아니지만, 퍼블릭 클라우드를 동시에 여러 개 운영하는 전략에서는 점점 물러나고 있다”라고 말했다. 결과적으로 비용 절감은 주요 동인이지만, 이 비용을 정확히 파악하는 일은 여전히 어렵다. 클라우드 비용 예측 도구는 지난 10년간 눈에 띄게 발전하지 않았으며, 사용량 기반 과금 구조와 제공업체의 가격 정책 변화로 인해 월별 청구 금액은 크게 달라질 수 있다. 앞서 보도된 바에 따르면 “월별 클라우드 청구서를 분석하려면 공인회계사, 소프트웨어 엔지니어, 상품 트레이더에 버금가는 분석 능력이 필요하다”고도 전해졌다. 보안 플랫폼 업체 시큐리티스코어카드(SecurityScorecard) CISO 스티브 콥은 “클라우드 요금 충격은 새 애플리케이션을 클라우드에 올리고 첫 요금 고지서를 받았을 때 자주 발생한다”라며 “트래픽 패턴은 실제 데이터를 투입해 운영을 시작하기 전까지는 예측하기 어렵고, 특히 클라우드 리전을 넘나드는 대용량 데이터 이동이나 다중 클라우드 간 페일오버 구성을 할 경우 그 충격은 더 크다”라고 분석했다. 데이터센터로 워크로드를 되돌릴 때가 온 것일까? 그럴 수도 있다. 줌(Zoom)과 같은 일부 조직은 실시간 애플리케이션의 성능 요구를 보다 안정적으로 충족하기 위해 일부 워크로드를 온프레미스로 이전했다. 과거 줌에서 근무했고 현재는 보안 기업 애비에이트릭스(Aviatrix)의 CISO인 존 치안은 CSO에 “줌은 급격한 수요 증가에 대응하기 위해 주요 3대 플랫폼(PaaS) 모두를 활용하고 있다”고 설명했다. 이어 “클라우드와 온프레미스의 장점을 모두 취해야 한다. 예를 들어, 자체 AI 클러스터를 구성할 수 있을 만큼의 GPU 대역폭을 확보할 수 있다면 데이터센터를 사용하는 것이 합리적”이라고 덧붙였다. 현재 애비에이트릭스는 두 개의 PaaS만을 사용하고 있다. 또한 AI 기반 대형 언어모델(LLM)과 같은 워크로드에서 저장 용량이 커질수록 온프레미스 스토리지가 더 경제적이고 예측 가능하다는 인식도 확산되고 있다. 특히 PaaS 간에 대규모 데이터를 전송해야 할 경우 온프레미스 방식이 유리하다는 분석이다. 앤드루 플래토는 “굳이 클라우드에 올릴 필요가 없다면, 올리지 마라”라는 원칙을 제안했다. 해법으로 떠오른 컨테이너 많은 전문가들이 공통적으로 언급한 흐름은 컨테이너 기반으로 워크로드를 전환하는 추세다. 치안은 “컨테이너는 추상화 계층을 제공하기 때문에 클라우드 간 혹은 클라우드와 온프레미스 간 전환을 쉽게 만든다. 다만 개발자는 컨테이너 간 보안 문제도 함께 고려해야 한다”라고 설명했다. 플래토는 “VM에서 컨테이너로 워크로드를 옮기는 것이 훨씬 쉽고, 여러 VM보다 컨테이너 클러스터를 보안 측면에서 더 효율적으로 관리할 수 있다”고 강조했다. 포레스터의 체르는 “컨테이너는 사실상 클라우드 위의 클라우드이기 때문에 클라우드 전환을 더 유연하게 만든다”고 평가했다. 보안 정책의 중앙화 모든 클라우드 환경에 걸쳐 공통되고 일관된 보안 정책을 수립하는 것이 이상적이다. 그런 다음 테라폼(Terraform)이나 통합개발환경(IDE)과 연동 가능한 기타 IaC(Infrastructure as Code) 도구로 자동 배포할 수 있다. 여기에 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)도 큰 도움이 된다. CNAPP는 다양한 보안 도구를 통합해 복잡한 환경에서도 일관된 정책 적용을 쉽게 한다. 다만, 이미 많은 자동화 도구를 자체 구축해 운용 중이라면 CNAPP 도입이 적절하지 않을 수도 있다. 플래토는 “이런 도구를 활용하면 강력하고 안전한 인프라를 구축할 수 있다”라고 말했다. 시큐리티스코어카드의 CISO 스티브 콥은 “멀티클라우드 환경 전반에 변경이 필요한 신규 애플리케이션을 배포할 경우, 자동화 없이 대응한다면 예산과 전문성, 시간 면에서 모두 감당하기 어려워진다”고 지적했다. 해결해야 할 보안 과제를 명확히 파악하라 일부 상황에서는 데브섹옵스(DevSecOps) 팀이 기술적으로 CISO보다 앞서 있는 경우가 있다. 이럴 경우 CISO는 팀이 어떤 보안 문제를 해결하려 하는지, 해당 기술이 실제로 해결책이 되는지 파악하지 못할 수 있다. 플래토는 “결국 특정 보안 요구를 충족시키는 도구를 선정하기보다는 도구 중심의 접근으로 변질되고 만다”며 “이로 인해 보안 데이터가 여러 곳으로 흩어지는 도구 난립 현상이 발생할 수 있다”고 지적했다. 또한 개발자 역시 모든 클라우드에 걸쳐 보안이 어떻게 작동하는지를 명확히 이해하지 못하는 경우가 있다. 만라즈는 “PaaS 제공업체들이 서로 다른 CPU, 서버리스, 애플리케이션 지원 모델을 제공하면서 각자의 고유 기능이 갈수록 차별화되고 있다. 이 때문에 모든 클라우드에 동일한 보안 정책을 적용하기가 더욱 어려워지고 있다”고 설명했다. 권장 사항 멀티클라우드 보안을 강화하기 위한 추가적인 방법들도 있다. 애슐리 만라즈는 “워크로드가 실제 인프라 요구에 최대한 근접하게 배치돼 있는지 점검하라”며 “이렇게 하면 비용 절감은 물론 데이터 입출력 수수료도 줄일 수 있다”고 조언했다. 또한 여러 전문가들은 기업이 전체 애플리케이션 스택을 자사 데이터센터 내에서 관리하는 것이 바람직하다고 제안했다. 은퇴한 엔터프라이즈 IT 아키텍트 존 크로닌은 CSO에 “사내에 프라이빗 클라우드 환경을 먼저 구축하고, 데이터베이스, 스토리지, 애플리케이션, API 등 사용하는 모든 소프트웨어 기술을 스스로 통제할 수 있어야 한다”라고 조언했다. 이어 “외부 클라우드는 처리 용량 확대나 이중화, 복원력을 확보하는 보조 수단으로 활용해야 한다”라고 밝혔다. 플래토는 “보안 도구를 도입하기 전에는 반드시 명확한 우선순위와 철저한 리스크 분석이 선행돼야 한다”라며 “위협에 대한 이해 없이 도구부터 적용해서는 안 된다”라고 설명했다. 이어 “각 PaaS 제공업체가 제공하는 기본 보안 도구를 우선적으로 검토하라. 대부분의 경우 제3자 솔루션보다 저렴하면서도 충분한 기능을 제공한다”라고 밝혔다. dl-ciokorea@foundryco.com ???? ???? ??? ??? IT ??? ???? ??? ????! ??? ??? ??? ?????. ????