거듭 중요해도 놓치는 것, 약관 꼼꼼하게 읽기
구매자의 필요한 질문, 클라우드 업체에도 업그레이드 계기될 수 있어

[보안뉴스 문가용] 현대의 가상화된 세계에서 가장 중요한 자산 중 하나는 데이터다. 고객 명단, 예산 관련 정보, 지적재산 등이 바로 그것이다. 그런데 그 데이터가 이제 클라우드를 거쳐 여기저기 자유롭게 흘러 다니고 있다. 그러니 불안할 수밖에 없다. 클라우드가 대세라 알아보긴 해야 할 텐데, 그 소중한 데이터를 남의 손에 들이미는 거 같아 불안한 마음을 억누를 수가 없다.



그렇다면 클라우드나 SaaS 제공업체와 계약을 맺을 때 어떻게 해야 할까? 무조건 신뢰? 노노. 할 일이 있다. 먼저는 제공업체의 이용약관 및 계약 명시 사항을 꼼꼼하게 읽는 것부터다. 단순히 글자를 읽는 게 아니라 ‘우리 회사의 사업과 관련된’ 항목들이 무엇인지 찾아내고, 그것을 중점으로 앞으로 일어날 수 있는 일들과 주의해야 할 일들을 생각해가며 읽어야 한다.

당연하다고? 물론 당연하며, 기본 중 기본이다. 그러나 깨알같이 인쇄된 글자들은 우리 모두에게 긴장과 경직을 제공한다. 게다가 온갖 법률 용어들이 난무하니 첫 장도 다 못 읽는 게 대부분이다. 이 글을 읽고 있는 독자들 중 95%는 아마 태어나서 단 한 번도 약관을 처음부터 끝까지 읽어본 경험이 없다는 것에 난 돈을 걸 의향이 있다.

스크롤 쭉 내려서 읽었다고 ‘치는’ 게 보통인 약관은 우리가 모두 알듯이 굉장히 중요하다. 바로 여기에 클라우드 서비스가 하는 일과 안 하는 일, 계약을 맺은 당사자들이 해야 할 일과 하지 말아야 할 일들이 정의되고 있으며, 양 업체는 모두 이 ‘정의’에 따라 움직여야 하기 때문이다.

다 읽었다면 질문을 할 차례다. 생각을 하면서 약관을 읽다보면 분명히 애매하거나 이해가 잘 안 되는 부분이 생긴다. 뭐든지 확실히 해야 한다. 그렇다면 뭘 물어야 하는가? 그 예를 몇 가지 적어보았다.

보안과 관련하여서
- 물리적으로든 가상으로든 내 데이터에 접근할 수 있는 사람은 정확히 누구인가?
- 데이터 저장소를 아웃소싱하는 경우가 있는가?
- 누군가 합법적으로 데이터 점검을 요구할 때 어떻게 대응하는가?
- 내 데이터는 언제 어떤 방식으로 삭제되는가?
- 귀사의 데이터 아키텍처는 무엇이며, 고객들의 데이터는 어떤 식으로 구분/분리되는가?
- 인증서 및 제3자 감사는 어떤 식으로 구성, 진행되는가?

프라이버시와 관련하여서
- 정확히 어떤 정보를 수집하고, 민감한 데이터의 프라이버시는 어떻게 보장하는가?
- 민감한 데이터들을 정확히 어디에 사용하는가?
- 민감한 데이터는 얼마나(기간) 저장해놓는가?
- 민감한 데이터들은 어떻게 암호화 하는가?
- 민감한 데이터를 저장해놓는 곳은 어디인가?
- 데이터를 내부 혹은 외부적으로 전송하는 일이 있는가? 그렇다면 어떤 방식으로 하며, 주로 어디로 하는가?

운영과 관련하여서
- 백업 주기는 어떻게 되는가?
- 정전 등의 일이 발생할 때 복구에 얼마나 걸리는가? 최소 시간, 평균 시간, 최대 시간은?
- 나는 사용자로서 데이터에 어떻게 접근해 어떻게 다운로드 받을 수 있는가?
- 데이터를 분석할 수 있는 툴도 제공하는가?
- 데이터에 손상이 생겼을 경우, 어느 정도의 손실이 발생하는가?

클라우드에 대한 의심과 거부감이 채 걷히지 않았는데 분위기에 떠밀려 어딘가와 계약을 맺고 클라우드로 회사의 체질을 개선해야 할 경우, 위 질문들을 토대로 필요한 것들을 알아가거나 실제로 클라우드 회사에 물어보면 필요한 정보를 많이 얻어낼 수 있을 것이다. 너무 꼬치꼬치 묻는 거 아니냐고 반문할 수 있는데, 괜찮다. 우리의 소중한 데이터에 관한 문제다. 또한 이런 질문들을 통해 클라우드 업체 또한 생각지도 못한 것을 얻어갈 수 있다. 중요한 건 분위기에 휩쓸리지 않는 거다. 클라우드 열풍에 정신부터 차리자.

글 : 제이미 티샤트(Jamie Tischart)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>