캐피털 원의 정보유출 사건의 관점에서 볼 때, 대기업들은 공공 클라우드를 두려워해야 할까? By Robert Hackett

캐피털 원 Capital One보다 ‘공공 클라우드’를 더 열심히 활용하는 회사를 찾기는 쉽지 않다. 수입 기준으로 미국에서 7번째로 큰 이 은행은 최근 몇 년간 데이터 센터를 축소해왔다(2014년 8개였던 센터를 내년 말까지 전부 없앨 계획이다). 대신 컴퓨팅과 데이터 저장을 위해, 수시로 활용할 수 있는 아마존 웹 서비스(AWS)의 자원에 의존하고 있다. 하지만 1억 600만 명의 북미인들에게 영향을 미치는 해킹 사건이 발생한 가운데, 현재 사람들은 과연 캐피털 원을 통해 사이버 보안의 교훈을 얻을 수 있을지 의문을 갖고 있다.

해커는 캐피털 원의 시스템에 침투하기 위해, ‘보안이 부적절하게 설정된 방화벽 (misconfigured firewall)’을 이용했을 것으로 추정된다. 기본적으로, 도둑이 열린 문으로 몰래 들어간 것이다. 캐피털 원과 아마존 모두 “이런 유형의 취약성은 클라우드에만 국한되지 않는다”고 강조했다

그러나 신생기업 클라우드플레어 Cloudflare의 보안 관리자 에번 존슨 Evan Johnson과 같은 일부 전문가들은 AWS의 기술적 설정이 정보유출 사태를 “훨씬 더 악화시켰다”고 지적한다. 그는 AWS가 특히 “서버 측의 요청 위조”에 취약하다고 설명한다. 즉, 해커가 속임수로 서버를 클라우드에 접속시켜 데이터를 빼낸다는 것이다. 존슨은 “적절한 보완책을 마련해야 한다”고 역설한다.

이런 비판에도 불구하고, 시장조사기관 포레스터의 부사장 글렌 오도넬 Glenn O'Donnell은 캐피털 원의 정보유출이 “클라우드의 잘못을 입증하진 못한다”고 옹호한다. “대신 그 사건이 강조하는 바는 보안과 거버넌스의 관점에서, 클라우드를 제대로 통제해야 한다는 점이다.”

AT&T의 전직 보안 책임자 에드 아모로소 Ed Amoroso는 대부분 기업에서, 자체 인프라를 운영하는 것보다 클라우드를 활용하는 것이 더 안전하다는 데 동의한다. “100% ‘완벽한’ 보안상태와 비교하지 말고, ‘사내’에 설치했을 때 과연 안전할지 따져봐야 한다.”