[Daily IT News] 클라우드(CSP, MSP), 보안 취약점 관리, 디지털 헬스케어

국내의 클라우드 시장이 점점 커지고 있다는 이야기를 신문기사를 기반으로 많이 이야기를 드렸었는데요, 클라우드 시장이 커지면 커질수록 클라우드 사업을 하는 사업체들은 CSP, MSP의 역할에 대해 장기적인 깊은 고민이 필요하지 않을까 싶습니다. MSP만 고집을 한다고 하면 경쟁력이 떨어질 것이고, CSP를 한다고 하면 기술력 확보에 대한 우려가 있긴한데 강중을 찾아서 경쟁력을 확보하는 방향을 찾아야 할 것 같습니다.

금일(2022.03.03. 목) 신문리뷰 입니다.

---

 

● 전자신문

구분	헤드라인	설명
(서비스) 클라우드	[ET톡]MSP와 CSP, 갈림길에 선 IT서비스	>> 국내 클라우드 산업 매출이 4조원을 돌파하는 등 시장이 확대되며 고객과 클라우드 서비스 제공사(CSP)​를 연결하는 클라우드 관리 서비스 제공사(MSP)의 역할이 중요해졌다. 삼성SDS·LG CNS·SK(주) C&C 등 대형 IT서비스 기업이 MSP 사업을 강화하는 것도 이 때문이다. 이들은 아마존웹서비스(AWS), 마이크로소프트(MS), 구글 등 글로벌 CSP와 동맹 관계를 맺고 있다. ​ 삼성SDS는 지난달 AWS와 전략적 상호협력을 위한 협약을 체결했다. AWS 익스클루시브 글로벌 비즈니스 네트워크에 참여하는 게 주된 내용이다. 삼성SDS는 2021년 4분기 실적발표에서 “AWS, MS, 구글 등 파트너와 협력해 MSP로 경쟁력을 강화할 것”이라며 “MSP 사업에 역량을 집중해 MSP 사업자 지위를 공고히 하겠다”고 말했다. LG CNS도 AWS와 클라우드 기반 애플리케이션 현대화(AM) 구축·운영사업을 위한 전략적인 협력 계약을 체결했다. AWS의 최신 클라우드 기술을 국내로 가장 빠르게 도입하려는 포석이다. ​ 이런 행보는 자체 클라우드 구축을 통한 CSP 사업보다 MSP 사업에 집중하겠다는 의도다. 계열사가 글로벌 클라우드를 안정적으로 사용할 수 있도록 운영·관리 지원에 집중한다는 의미다. 이를 통해 매출 규모를 확대하는 동시에 외부 고객의 매출 비중도 늘어날 것으로 기대된다. ​ 그러나 CSP 서비스를 공급하는 MSP는 태생적인 한계를 가졌다. CSP에 지불하는 원가가 높아 중간 마진을 취하기 쉽지 않다. 메가존클라우드·베스핀글로벌 등 MSP 기업이 폭발적 매출 증가에도 적자를 면치 못하는 이유다. ​ 사정이 이렇다 보니 국내 기업이 외산 클라우드 판매처로 전락하는 것 아니냐는 지적도 제기한다. 단순히 시장 점유율 잠식을 넘어 데이터 주권에도 영향을 미친다는 우려도 거론된다. 클라우드 수요 증가에 따라 MSP 수요도 늘어날 전망이다. 비즈니스 측면에서 MSP 역량을 강화하는 것은 당연한 일이다. 그러나 순이익이나 데이터 주권 측면에서 자체 클라우드도 고르게 육성해야 한다. ​ 글로벌 CSP와 경쟁하길 바란다. 대형 IT서비스 기업이기에 가능한 일이다. 동시에 협력도 필요하다. 자체 클라우드 서비스에 AWS 등 글로벌 서비스를 묶어 하이브리드로 제공하는 것도 한 방법이다.
(보안) 취약점(위험) 관리	[기고]사이버위험관리 효과개선 6계명	>> 기업들은 사이버 위험이 결국 다른 비즈니스 리스크와 다르지 않음을 이해해야 한다. 사이버 위험은 조직 전체에 존재하는 위협과 취약점의 집합체이며, 이를 외부에서 악용할 경우 재정적 손실, 평판 손상, 규제 문제로 이어질 수 있다. 이러한 위험을 제대로 방지하려면 '점수'보다는 조직에서 사용하고 있는 기술 또는 프로세스, 공격자가 악용할 수 있는 기회인 위협과 취약점이 무엇인지에 대해 명확한 가시성을 확보하고 있어야 한다. 리스크 환경 전반에 대한 가시성을 확보하면 악용될 수 있는 잠재적 위협과 공격 벡터를 식별할 수 있다. ​ 안타깝게도 사이버 위험의 범위는 너무나 광범위하고 이를 모두 한 번에 해결할 수 있는 만병통치약과 같은 프로세스나 기술, 솔루션은 존재하지 않는다. 성숙도 기반의 프로그램이 보안 프로그램의 전반적인 방향성에 큰 영향을 미치기는 한다. 하지만 더 촘촘하고 튼튼한 보안을 꾀한다면 조직의 보안 방향과 허용범위(Tolerance)를 정의·조정하고, 끝없이 진화하는 위협 지표에 이를 적용시킬 수 있는 기능들의 집합체로 보안 프로그램을 설계해야 한다. 보안 프로그램을 설계할 때 고려해야 할 여섯 가지 사항은 다음과 같다. ​ 먼저 조직의 가장 중요한 비즈니스 자산이 무엇인지를 이해해야 한다. 공격자가 목표 대상으로 삼았을 때 비즈니스에 가장 큰 타격이 될 주요 자산에 대한 이해도를 구축하고, 공격자의 침투에 방치되지 않도록 지속적으로 관찰해야 한다. 두 번째로 조직 전체의 사이버 위험 허용 범위를 정의하고 조정한다. 이때 하향식 관찰 접근방식을 취해 조직에 우선순위가 높은 위협부터 확인하고 경영진의 리포팅 요구사항을 명확히 함으로써 조직의 위험 허용 범위를 설정하고 타기팅하는 것이 중요하다. 세 번째는 중요 시스템의 보안 아키텍처 리스크를 식별하고 모델링하는 일이다. 이를 통해 미션 크리티컬 시스템을 구성 요소와 연결 요소로 나누고 위협과 취약점을 식별할 수 있다. 또한 각 위협에 리스크를 할당하고 조직에 미치는 영향을 미치는 허용 범위 내로 맞출 수 있다. 네 번째 고려사항은 주요 파트너와 포트폴리오다. 조직이 크게 의존하고 있는 파트너와 기타 조직을 식별하고 이를 대상으로 통합, 공급망 등의 위험 수준을 평가하는 실사를 진행해야 한다. 외부와의 접점에서 조직이 위험에 노출될 수 있을 뿐만 아니라 리스크 프로파일 수준이 허용치 이상으로 높아질 수도 있기 때문이다. 다섯 번째는 운영 취약점을 식별하고 조직의 위험 허용 범위를 조정하는 것이다. 취약점과 취약점 공격 강도를 식별하여 미션 크리티컬 시스템의 침투 가능성과 연결한 후 조직이 정의한 사이버 위험 허용 범위에 따라 이를 검증해야 한다. 마지막으로는 조직의 보안 역량이 올바른 방향으로 나아가고 있는지에 대한 효율성 평가다. 기존의 보안 프로그램 이니셔티브를 모범 사례와 비교하고 업계와 지역 표준 차이점을 확인하고 효율성을 평가해 보안 역량의 방향을 수립할 수 있다. ​ 사이버 위험에 대비한 보안 성숙도를 발전시키는 일은 하루아침에 완성되지 않는다. 프로그램을 구축하고 방향을 설정하며 이를 지속하는 과정을 거듭해야 비로소 이뤄진다. 따라서 사이버 보안의 관점에서 조직에 유의미한 방법으로 위험을 식별·매핑하고, 이를 리스크 프로파일에 통합하며 위험 요소를 줄여 나가야 한다. 간단한 방법론이지만 우리가 가장 흔히 사용하는 프로그램에서 이러한 과정을 발견할 수 없는 경우가 종종 있다. 조직에 막대한 영향을 끼치고 위기를 초래할 수 있는 위협과 취약점을 표면화해 예방하는 것이 최선의 사이버 위험 관리가 추구하는 목표다. 앞에서 나열한 여섯 가지 필수 사항을 고려해 적절한 프로그램을 설계한다면 사이버 위험 관리를 위한 효과적인 접근방식을 구축할 수 있을 것이다.

 

● 디지털 데일리

구분	헤드라인	설명
(서비스) 디지털 헬스케어	‘디지털 헬스케어’ 시장, 무섭게 치고 나가는 아마존∙∙∙ 아직 ‘제도의 늪’에 한국	>> 무궁무진한 시장성을 인정받고 있는 헬스케어 시장에 글로벌 빅테크기업인 아마존닷컴의 행보가 더욱 빨라지고 있다. 아직 국내에선 원격의료 또는 원격진료에 대한 법과 제도적인 장벽 때문에 의미있는 진전이 아쉬운 상황이지만, 미국을 비롯해 원격 의료에 대한 개방성이 큰 나라를 중심으로 헬스케어 시장이 크게 확산되고 있다는 분석이다. ​ 이런 상황에서 아마존은 AI기반의 음성인식 스마트 기기를 이용해 원격 진료에 대한 접근성을 한층 더 높이고 있다. 실제로 아마존은 헬스케어 산업의 이미 글로벌 시장의 선두주자로 평가받고 있다. 자체적인 원격 건강 서비스 ‘아마존 케어’ 이외에도, 지난해 12월부터는 응급 핫라인과 연결해 낙상감지용 하드웨어와 페어링이 가능한 노인요양서비스를 시작했다. 최근에는 더 광범위한 이용고객을 대상으로 한 의료 서비스를 전면 시행한다. 아마존에 따르면, 고객들은 “알렉사, 의사와 이야기하고 싶어요.”라는 간단한 말로 의사와 전화 연결이 가능하다. 아직까지는 화상이 아닌 단순 음성 전화로만 상담이 이뤄지며, 알레르기나 독감 증상과 같이 비교적 긴급하지 않은 질환에만 적용된다. ​ 해당 서비스는 텔라독(Teladoc)이 함께 제공한다. 텔라독은 미국 최대 원격의료 회사로, 지난 달 골드만삭스 투자은행에 의해 주가 상승 여력이 큰 기업으로도 선정되기도 했다. 텔라독은 최초 선별 통화에서 고객으로부터 의료 병력과 보험 정보를 수집하게 된다. 상담비는 보험에 가입하지 않은 사용자의 경우 75달러로 책정했다. 보험 가입자는 가입 보험에 따라 자기부담금에 차이가 있을 수 있으며, 이에 따라 완전히 무료일 수도 있다. ​ 한편, 코로나19 대유행과 함께 그 필요성이 대두되면서, 국내에도 원격진료 서비스가 임시 도입돼 운영되고 있다. 보건복지부는 지난 2020년, 코로나19 상황이라는 특수성 속에서 의사와 환자 간 비대면 진료를 한시적으로 허용했다. 환자가 의료기관에 직접 방문하지 않고도 전화로 상담 및 처방 등을 받을 수 있도록 한 것이다. 현재 국내에서 운영 중인 원격의료 플랫폼으로는 대표적으로 닥터나우, 올라케어, 똑닥 등이 있다. 누구나 해당 어플리케이션을 이용해 제휴 병원의 의사에게 화상이나 음성으로 원격 진료 요청이 가능하다. 진료를 기반으로 한 약 배송 서비스도 제공된다. 업계에 따르면, 이를 통해 지난 2년간 이뤄진 원격의료 진료 건수는 300만건에 달했다. 원격의료 플랫폼 시장의 지난해 4분기 거래액도 10억원을 넘어서는 등 그 수요와 사업성을 증명하는 중이다. ​ 이 같은 원격의료의 활성화는 비단 환자의 니즈를 충족하는 데만 그치지 않았다. 감기 등 가벼운 진료를 위한 원격의료 수요가 증가하면서 환자 감소로 폐업 위기에 처했던 소규모 동네 의원들도 상생하는 효과가 나타났다. 그러나 대한의사협회는 아직까지 이와 같은 원격 의료 서비스의 본격적 도입에 반대 입장이다. 의료분야의 특수성을 고려하지 않는다는 이유다.  ​ 아마존이 미국 내에서 원격의료 사업을 확장할 수 있었던 데는 우리나라와 달리 법∙제도적 기반이 탄탄했기 때문이다. 미국에서는 지난 1990년대부터 원격의료에 대한 법제화가 진행되어 왔으며, 현재는 상당히 정착된 단계라는 평가를 받고 있다. 이에 따라, 전문가들은 국내에서도 정부와 의료계의 지속적인 논의가 필요하다고 지적한다. 원격진료 서비스를 통해 의료계도 새로운 수익창출에 성공하는 동시에 정부 차원에서도 궁극적으로 국민들의 지속가능한 건강을 도모하는 윈-윈 모델이 정착돼야 한다는 것이다. 이와 더불어 원격진료의 의료사고에 대한 책임 소재, 환자 개인정보 유출 등 부작용에 대한 논의가 우선 이뤄져야 할 필요가 있다는 지적도 제기되고 있다.

 

금일 주목할 기사는 디지털 헬스케어 관련 기사입니다.
글로벌 플랫폼사들이 다음 먹거리로 생각하고 있는 것이 바로 헬스케어 산업으로 국내외 많은 테크 기업들이 눈여겨 보고 있는 시장입니다. 최근 코로나의 확진자가 늘어나면서 원격 진료도 시작을 했는데요, 이런 측면에서 기술은 어떤 기술이 쓰이고, 어떤 시스템으로 구성 되었는지 등을 확인 해보시면 좋으실꺼 같습니다.

​

다음 주목해야 할 기사는 보안 취약점관리 방안 관련 기사입니다.
일반적으로 보안 취약점을 해결하기 위해서 어떤 한 솔루션으로 다 막을 수 있다고 생각하실지도 모르겠는데요, 사실 어떤 곳에서 어떻게 공격을 해올지 모르는 상황이라 다양한 측면을 고려해야하지 않을까 하는 생각입니다.