사용자 셀프서비스‧IT 자원 공동이용 등 클라우드협회 ‘확인제도’ 눈길
클라우드산업협회, ‘서비스 확인제도’ 시행…서비스 시스템과 서비스 구성 등 필수
IT자원, 특정 사용자 독점은 금물…서비스 측정‧모니터링도 중요
클라우드 시대가 본격화함에 따라 클라우드 서비스를 제공하는 기업들도 우후죽순 난립하고 있다. 그러나 보안문제를 비롯해 서비스 이용자나 기업의 제공업체에 대한 종속 현상, 네트워크 표준 매커니즘이나 탄력성 등 다양한 요건이 충족되지 않아 문제를 일으키는 경우가 많다.
이를 검증하는 법적, 제도적 장치도 아직 미흡한 실정이다. 한국클라우드산업협회가 민간 차원에서 실시하는 ‘클라우드 서비스 확인제도’의 경우 클라우드 서비스 제공업체들이 필히 갖춰야 할 최소한의 요건을 확인하는 제도여서 관심을 끌고 있다.
이는 클라우드 서비스(IaaS, PaaS, SaaS 등)를 제공 중인 모든 업체를 대상으로 그 품질과 요건을 점검한 후 일종의 ‘확인서’를 제공하는 것이다. 비록 민간 차원이긴 하지만 클라우드 제공업체라면 갖춰야 할 최소한의 기술적, 제도적 S/W나 하드웨어의 기준을 망라하고 있어 의미가 있다. 이는 대체로 9~10가지 가량의 필수 요건을 클라우드 제공업체가 갖추고 있는지 점검한다.
이에 따르면 우선 클라우드 제공업체라면 ‘클라우드 서비스 기능정의서’를 서비스 대상업체나 사용자에게 제공해야 한다. 클라우드 서비스를 제공하기 위해 관리나 운영에 필요한 사항들을 포함한 서비스 설명서 및 관리자 매뉴얼을 제공하는 것이다.
또 클라우드 서비스 프레임워크, 즉 SW스택 등을 문서화하는 것도 중요하다. 클라우드 서비스를 제공하기 위해 관리와 운영에 필요한 프레임워크나, 그 기능을 정의하여 문서화할 필요가 있다.
클라우드 서비스 시스템과 서비스 구성도 역시 필수다. 즉, 클라우드 서비스를 제공하기 위해 관리와 운영에 필요한 시스템이나 서비스 구성도를 문서화하는 것은 최소한의 요건이라는 설명이다.
사용자 중심의 요청 기반 셀프서비스(On-Demand Self Service)를 제공하는 것도 중요한 조건이다. IaaS의 경우 서버자원, 네트워크 자원, 저장장치 등 컴퓨팅 자원을 서비스 제공자의 간섭없이 고객 스스로 필요한 서비스를 설치, 관리할 수 있도록 해야 하는 것이다.
SaaSeh 마찬가지다. 서비스 이용자가 제공업체의 개입없이 서비스 포털에서 필요한 기능을선택하고 변경하며, 이용 가능해야 한다는 내용이다. 이는 곧 서비스 이용자가 제공업체에 결코 종속되어서는 안 된다는 대원칙의 일환이다.
사용자들을 위해 범용 네트워크 접속(Broad Network Access)도 항상 가능하도록 해야 한다. 범용 네트워크에 사용자들이 항시 접속해서 스스로 관리할 수 있게 한다는 취지다.
클라우드 서비스를 이용하기 위해 사용자들이 이용하는 단말기 플랫폼, 즉 스마트폰, 노트북,태블릿PC 등 그 종류와도 관계없도록 한다. 어떤 단말기에서든 클라우드 서비스를 제공하는 네트워크에 접속할 수 있도록 표준 접근 매커니즘을 제공하는 것이 필수라는 지적이다.
이와 함께 신속한 탄력성도 중요 요건으로 꼽고 있다. 즉 사용자의 요청에 의해 자원을 확장 가능한 구조를 갖추고 있는가하는 것이다. ScaleIn(확장) 또는 Out(축소)인가 하는 문제다. 클라우드 컴퓨팅 환경을 기반으로 제공하는 IT서비스가 변경되는 경우, 변경된 시스템 구성을 물리적으로 변경하지 않고, IT서비스에 맞게 클라우드 환경을 빠르게 재구성할 수 있는지 여부가 관건이다.
IT 자원의 공동이용 여부도 중요한 전제 조건이다. IT자원을 풀(Pool)형태로 유지하며 이용자의 요청에 따라 할당하거나 회수가 가능한 기능을 갖추고 있는가하는 문제다. 물리적 자원을 이용자가 독점적으로 임대하는 것이 아니라 ‘다중임대(Multi-Tenant)방식’으로 해야 한다는 뜻이다.
즉 IT자원은 풀형태로 유지되며, 이용자의 요청에 따라 자동적으로 할당되거나 회수되어야 하는 것이다. 다시말해 서비스나 테넌트가 액세스하는 가상머신이나 컨테이너, DB등을 공동 이용할 수 있어야 하는 것이다.
측정(Metering)기능을 이용하여 자원을 제공하거나 관리할 수 있는가 하는 것도 중요하다. 즉 미터링 기능을 이용하여 자원 사용량을 측정하여 최적화하고 임계치를 초과하는 경우엔 사용을 제한하는가 하는 것이다.
미터링 기능을 이용하여 자원이나 테넌트별 사용량을 측정하고 그에 따른 과금을 모니터링하는지가 중요하다. 이와 함께 클라우드 보안 취약점도 가장 중요한 것이다. 즉 클라우드 서비스의 안정성 확보를 위해 보안 취약점을 점검하고 관리하며 지원하는 기능을 갖추고 있어야 한다.
클라우드 보안 취약점의 점검 도구를 활용한 보안취약점이 심각할 경우는 클라우드 제공업체로서 함량 미달이라는 판정이 내려질 수 밖에 없다.
한편 클라우드협회는 “확인서 발급 후 2년 이내 보안취약점 점검을 통하여 보안 심각도가 위험(High)으로 판단될 경우 확인서가 취소될 수 있다”면서 “확인서 발급 후 2년 이내 서비스·시스템 구조가 변경될 경우 해당 서비스에 대한 재검증을 실시해야 한다”고 밝혔다.