개발자(Developer)와 감사자(Auditor)가 생각하는 클라우드(Cloud), IaaS, PaaS, SaaS정의


정보시스템 감사를 하는 감사자(Auditor)가 생각하는 클라우드(Cloud), IaaS, PaaS, SaaS의 정의는 아래 미국 정보시스템 감사통제협회 ISACA(Information Systems Audit and Control Association)에서 내놓은 2014 CISA(Certified Information Systems Auditor) 리뷰 매뉴얼책을 참조하였습니다.



2014 CISA Review Manual(한글판)

저자
ISACA 지음
출판사
한국정보시스템감사통제협회 | 2014-02-01 출간
카테고리
컴퓨터/IT
책소개
『2014 CISA Review Manual(한글판)』은 국제정...
가격비교



미국 정보시스템 감사통제협회 ISACA(Information Systems Audit and Control Association)의 CISA(Certified Information Systems Auditor) 매뉴얼에서 나오는 클라우드와 IaaS, PaaS, SaaS정의

클라우드 컴퓨팅

클라우드에 대해 기본적인 정의를 내린 두 기관은 NIST(National Institute of Standards and Technology)와 클라우드 보안 연합(Cloud Security Alliance)이다. 두 단체 모두 클라우드를 설정이 가능한 컴퓨팅 자원(네트워크, 서버, 스토리지, 애플리케이션 시스템 및 서비스)의 공유 저장소에 필요할 때 즉시 이용가능한 편리한 네트워크 접근을 가능하게 하는 하나의 모델로서 정의하고 있다. 클라우드에서는 이러한 자원들이 최소의 관리노력 또는 서비스 제공자와의 최소의 상호작용으로 신속하게 보급될 수 있다. 클라우드에서 제공하는 서비스를 설명하는 또 다른 방법으로서 공공서비스에 비유를 들 수 있다. 전기, 가스, 수도 사용에 대해 기업이 비용을 지불하는 것처럼 사용량에 따라 IT서비스에 대해서 비용을 지불할 수 있는 선택권이 생긴 것으로 이해할 수 있다.



클라우드 컴퓨팅 서비스 모델

 서비스모델

정의

고려사항

 서비스로서의 인프라

(Infrastructure as a Service: IaaS)

프로세싱, 스토리지, 네트워크 그리고 기타 기본적인 컴퓨팅 자원 제공 가능성 

운영체제 및 애플리케이션 프로그램을 포함하여 어떠한 소프트웨어라도 고객이 가동운영할 수 있도록 해준다

클라우드 서비스 제공업체로부터 서비스 장애가 발생할 경우 영향을 최소화하기 위한 대책

서비스로서의 플랫폼

(Platform as a Service: PaaS)

클라우드 서비스 제공업체가 지원하는 프로그래밍언어 및 툴로 고객이 개발 또는 도입한 애플리케이션 시스템을 클라우드 인프라 상에서의 가동 가능성

  • 가용성
  • 기밀성
  • 민감한 정보를 다루는 데이터베이스가 외부에 있음으로 인해 보안사항 위반 시 프라이버시 및 법적 책임 문제
  • 데이터 소유권
  • e-discovery 관련 문제

서비스로서의 소프트웨어

(Software as a Service: SaaS)

클라우드 인프라에서 동작하는 애플리케이션 시스템의 사용 가능성. 애플리케이션 시스템은 웹브라우저와 같은 저사양 단말용(thin client) 인터페이스를 통해 다양한 종류의 단말기에서 접근 가능하다.(예: 웹기반 E-mail서비스)

  • 애플리케이션 시스템에 대한 소유권
  • 애플리케이션 시스템이 가동되는 장소

 출처: ISACA, Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives, USA, 2009, 5페이지 도표 1.

http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Cloud-Computing-Business-Benefits-With-Security-Governance-and-Assurance-Perspective.aspx


정보시스템 개발을 하는 개발자(Developer)가 생각하는 클라우드(Cloud), IaaS, PaaS, SaaS의 정의는 아래 "생생 IT 토크 - 프로그래머들의 클라우드 이야기"의 내용을 참조하였습니다


"생생 IT 토크 : 프로그래머들의 클라우드 이야기" - http://www.hanbit.co.kr/ebook/look.html?isbn=9788968486920


정보시스템 개발을 하는 개발자(Developer)가 생각하는 클라우드(Cloud), IaaS, PaaS, SaaS, BaaS의 정의

클라우드

네트워크를 도식화하여 표현할 때 사용하던 구름 모양의 아이콘에서 유래된 것으로, 구름과 같은 무형의 공간에서 컴퓨터로 할 수 있는 업무들이 가능하도록 설계한 것을 뜻한다. 또한 클라우드 서비스란 컴퓨팅의 기능을 네트워크를 통해 제공하는 것으로 네트워크에 접속할 수 있는 단말만 있으면 컴퓨터를 보유하고 있는 것과 같은 효과가 있다.



설명

 IaaS(Infrastructure as a Service)

클라우드 서비스의 가장 기초적인 모델, 쉽게 말해 컴퓨터와 같은 기본적인 저수준 자원(인프라스트럭처:Intrastructure)을 제공해주는 서비스를 말한다. 물리적인 컴퓨터도 상관없지만 대부분 가상 서버를 제공한다. 컴퓨터 외에도 가상의 저장소(디스크), 방화벽, 로드밸런서, IP주소, 가상LAN까지 제공하기도 한다. IaaS이용자는 인터넷으로 요청만 하면 원하는 컴퓨팅 환경을 수 분 이내에 사용 가능한 상태로 제공받을 수 있고 사용한 만큼만 지급하면 된다.

 PaaS(Platform as a Service)

서비스 제공자가 운영체제, 프로그래밍 실행 환경, 데이터베이스, 웹 서버와 같은 컴퓨팅 플랫폼을 제공해주는 클라우드 서비스 모델이다. 이 서비스를 이용하면 각 플랫폼의 라이선스 구매나 복잡한 설치 과정 등을 신경 쓸 필요가 없다. PaaS위에 구축한 서비스 이용자가 늘어나면, 이를 지탱하는 데에 필요한 밑단의 컴퓨팅 파워와 저장소 크기도 자동으로 늘어난다.

 SaaS(Software as a Service)

 클라우드로 서비스되는 일반 사용자가 이용하는 애플리케이션 소프트웨어를 말한다. 클라우드로 서비스한다는 것은 사용자가 자신의 컴퓨터 애플리케이션을 설치할 필요 없이 언제 어디서건 네트워크만 연결되어 있다면 그 소프트웨어를 이용할 수 있다는 의미로 G메일이나 드롭박스가 대표적이다.

 BaaS(Backend as a Service)

 넓게 보면 PaaS에 포함할 수도 있는 서비스로 최신 트랜드의 모바일 혹은 웹 애플리케이션에서 공통으로 쓰이는 기능을 묶어 백엔드 형태로 제공하는 서비스다. 사용자 관리, 각종 통계, 소셜 네트워크 서비스와의 연동, '푸시 노티피케이션[Push Notification]'등이 이에 포함된다. BaaS를 사용하면 앱 개발자는 UI등 프론트엔드에 집중할 수 있어서 앱 개발이 빨라지고 직접 구축하는 것에 비해 안정적인 서비스도 가능하게 된다.



위의 감사자와 개발자가 생각하는 클라우드, IaaS, PaaS, SaaS정의를 견주어 보면 약간의 시각의 차이가 있음을 알수 있습니다.

감사자(Auditor)의 경우는 회사 조직의 전략과 목표, 그리고 외부 위협 및 위험 대처에 대하여 감사를 하다보니 고려사항에 법적 책임과 소유권, 서비스 장애 등의 대책까지 고려를 해야합니다. 결국에는 기업 측면에서 바라보게 되구요

개발자(Developer)의 경우는 클라우드, IaaS, PaaS, SaaS를 구현하기 때문에 구체적인 정의 및 작동과 기능적인 측면에서 접근하는 시각이 있습니다. 구체적인 동작 기능 측면에서 바라보게 됩니다.


개발자와 감사자 모두 시스템을 보는데에, 감사자가 기능을 중시하나 기업 거버넌스와 IT거버넌스에 맞게 해석한다면, 개발자는 말그대로 개발하는 입장이기 때문에 구체적인 동작, 기능 측면에서 해석하게 됩니다.


이번에 CISA(Certified Information Systems Auditor)시험을보고 나서 개발자가 생각하는 것과 감사인이 생각하는 것이 다르다는 것을 느꼈습니다. 그 느낌을 클라우드 개념 정리할때 위의 내용처럼 확실하게 구분할 수 있게 되더군요.


개발자도 개발자의 시각에서만 바라보지 말고, 사용자 그리고 감사자의 시각으로 어떻게 보는지 알아야겠다는 생각을 CISA시험을 통해 느낍니다.

Buy me a coffeeBuy me a coffee

2014년 6월 14일 토요일

고려대학교 우당교양관 입구.


고려대학교 우당교양관에서 CISA(Certified Information Systems Auditor)자격증 시험을 봤습니다.


작년 9월달 CISA시험을 연세대학교 백양관에서 봤었다만, 올해 6월달  고려대학교 우당교양관에서 CISA시험을 보았습니다. (쉽게 말해서, 시험보고 떨어져서, 올해에 재시험을 본것이죠)


작년 9월달에 CISA시험을 보고 떨어진 이후, 올해초부터 6월까지 저도 남들처럼 L모 학원다니면서 준비를 하였구요.


작년 9월달에 본 CISA시험이 왜 떨어졌는지 진지하게 생각을 해봤습니다.

1. 독학하면서 이론만 줄창 팠고,이론을 이해하는 대신 암기만 했다. 복습을 많이 하지 않았다.

2. 친구를 통해 L모 학원의 기출문제집을 1번만 보고 암기만 했다

3. 개발자의 시각으로만 문제를 푸려고 했다. (CISA는 정보시스템감사인 자격을 묻는 시험이기 때문에 개발을 아는 감사인의 시각으로 문제를 풀어야 합니다)


작년 9월달에 CISA시험을 보면서 뭔가 시험이 쉽네 하며 금방 풀고 나갔던것도 시험 떨어진 원인일지도?


작년의 실패를 경험삼아, 올해는 이 자격증을 따야겠다는 목표가 확실한 상태에서, 공부하는데 큰 돈을 들여 투자를 하였고 언젠간 결실을 맺게 될것으로 생각합니다. (시험 합격 발표는 아마  7월말~8월초사이에 나올듯 합니다.)


CISA를 공부하면서 개발자가 아닌 감사인, 경영인, 이사진의 관점에서 어떤 내용을 알아야 하고, 어떻게 설득하고 등등을 느꼈습니다.

 그리고 감사의 방법과 정치,행정에서 사용하는 거버넌스(Governance)라는 용어를 IT에 도입한 IT거버넌스, 정보시스템 설계, 개발, 운영, 보안등등을 두루두루 배우며, 내가 부족한 것이 무엇인지를 알게 되었습니다


회사에서 프로젝트를 위한 제안서를 쓰고 RFP를 받고 어떻게 제안서 쓰는지, 수주 받은 프로젝트를 어떻게 개발하고, 개발이 끝나면 운영하더라 이런 식의 프로세스를 입사후 몇차례 이해를 하니 작년과 다르게 올해에 시험대비하는데 수월하게 대비를 하였습니다.


CISA시험은 5개의 파트(도메인)로 나눠집니다

1. IT 감사

2. IT 거버넌스

3. 정보시스템의 획득, 개발 구현

4. 정보시스템의 운용과 유지보수 그리고 지원

5. 정보자산의 보호


개발자들은 도메인 3,4,5가 쉬운반면에, 도메인 1,2는 경영과목이나 감사 과목을 듣지 않은 이상 이해하는게 어렵습니다.

개발자출신이라면 도메인 1,2 부분을 집중적으로 공부하셔야 부담감이 덜할것이구요, 도메인 5 정보 자산의 보호의 경우 시험에서 많은 비중을 차지하는데 보안 과목을 들어봤으면 쉽게 푸실것입니다.


참고로 시험장에서 L모사 기출문제지를 들고 공부하는 사람들 많습니다. 시험문제가 꼬아서 내기 때문에 시험문제 암기한다고 해서 답을 찍을수 없을겁니다. CISA시험은 감사인의 입장에서 이해하는 것이 먼저입니다. 감사인의 입장을 이해 못하면 답을 맞출수 없구요. 맞는 답이 여러가지 있어도 포괄적인 내용을 찍어야 답입니다.


개발자 입장에선 이것도 답이 되고 저것도 답이되는 문제가 많다보니 화가날수 있지만, 포괄적으로 보는 시각을 얼른 키워야 시험 합격할 수 있을 것입니다.


그리고 CISA시험의 한국어 버전은 오역이 많다보니 영어문장을 한국어로 어떻게 해석하는지 그 능력도... -_-;; (번역 품질이 썩좋진 않습니다.)


올해 CISA시험을 보는데에 작년과 다르게 시험문제를 꼼꼼하게 푸느라 시험 200문제에 대한 마킹을 1시간 이상 투자한 것 같군요 -_-;;

시험이 L모 학원 문제풀이집에 나온 것과 유사한것이 너무 많이 나와서 의심하며 풀었긴 한데 (시험문제를 비슷하게 내도 시험 주관하는 미국 ISACA협회에서 시험문제를 조금 다르게 비비 꼬아서 내기 때문에+번역 품질이 좋지 않기 때문) 뭐 어렵지 않게 풀었긴합니다.


CISA시험에 대해 후기를 주절주절 썼지만, 중요한 것은 "감사인의 입장에서 생각해보기" 이걸 이해하면 시험 통과는 어렵지 않을 것 같습니다.


아직 시험 통과를 하지 않았지만, 좋은 결과가 나왔으면 합니다. ㅎㅎ


ps. CISA 시험 끝내니깐 그동안 정신력으로 버틴 체력이 딸린지라 탈진했습니다.ㅠㅠ

ps2. 이제는 CISSP시험에 도전하려고 합니다. 직장인 환급과정으로 L모학원 CISA수업 듣고 환급받았으니 이번엔 재직자 계좌제로 L모학원 CISSP수업 듣고 환급 받을려고 합니다.

ps3. CISA시험과 CISSP시험 내용이 40%정도 겹친다고 하니 공부하는데엔 지장이 없을듯 하나, 이제는 체력부족으로 체력단련하면서 공부하려고 합니다 -_-;;

ps4. 20대 마지막 여름은 공부하느라 정신 없을듯 하네요.

Buy me a coffeeBuy me a coffee



요즈음, 이번 6월 14일 고려대학교 우당교양관에서 시험보는 미국의 ISACA협회 주관의 CISA(Certified Information Systems Auditor) 시험공부중입니다.

이 시험은 외국 협회에서 보는 시험이라 시험접수료가 무려 약 60만원 정도입니다. 실패하면 60만원이라는 큰 돈이 날라가는 것이지요.

작년 9월달에 CISA시험보고 시원하게 떨어지다보니 처음에는 왜 실패하고 왜 떨어졌을까란 자괴감에 빠졌습니다.

그 후, 정신을 수습하고 올해 2월부터 CISA시험을 준비하고 있습니다.

시험준비할때마다 처음 공부할때 왜 따야하는지 절박감이 부족해서 떨어진것 같다는 생각을 해봅니다. 절박하지 않으니 열심히 준비하는 척이였고 결국은 시험에 떨어지는 불상사가 일어난것이지요.

이번엔 저번의 크나큰 실패를 교훈삼아 열심히 노력하여 좋은 결과 만들겠습니다.

이번 시험 끝나면 바로 CISSP자격증에 도전할 생각입니다.

PS. 올해에 작년의 목표인 자격증 2개따기가 성공했으면 간절한 희망을 가져봅니다.
Buy me a coffeeBuy me a coffee

2014년 5월 5일~5월 6일간 6월 14일에 보는 CISA(Certified Information Systems Auditor, 국제 정보시스템감사사) 자격증 시험 공부를 하러 하러 학원에 갔었다.

학원에 도착하여 공부하려니 주위에 공부하는 분들이 대부분 40~50대 아저씨들.


주위에서 20대는 나밖에 없었고, 간혹 30대 누님들이 보일뿐, 40~50대 아저씨들 공부하는 과목들을 보면 다양했다 CISA, CISSP, 정보시스템감리사 등등

40~50대 아저씨들이 왜 이렇게 연휴에도 열심히 공부하지 생각을 해보니, 직장인으로서의 수명을 연장하려고 저렇게 열심히 공부하시는구나를 느겼음.


아 나도 열심히 공부해야겠다고 생각했음.

Buy me a coffeeBuy me a coffee
2014년 4월부터 시작인 2분기 계획을 생각하다 든 생각.

올해말까지 어떻게 계획을 잡을지 모르겠다.
목표는 뚜렸한데, 목표에 다가가기 위한 전략을 위한 일정잡는게 너무 힘들다.
그리고 작년처럼 지금의 목표가 흐지부지될때의 위험부담을 안고 있다보니 머리가 아픔. -_-

작년에 시험보고 떨어진 CISA를 다시 공부하다보면 ... 그리고 올해말에 CISSP과 CISM을 다 볼 생각하려니 자금문제도 있고.
그리고 작년에 정보보안기사 필기는 붙었는데 실기가 떨어져서... 실기는 언제

그리고 자금상황이 너무 안좋아서 자금계획 생각하는것도 머리아프고.

여러모로 여러가지 일로 머릿속이 너무 복잡합니다. ㅠㅠ
Buy me a coffeeBuy me a coffee

+ Recent posts