?상명대학교?/?서광규 교수


 

클라우드 서비스 수준 협약(SLA: Service level agreement)은 클라우드 서비스 제공자(CSP: Cloud Service Provider)와 클라우드 서비스 이용자(CSC: Cloud Service Consumer)간의 서비스의 품질에 관한 계약으로, 특정한 서비스가 충족시켜야 하는 기준을 정확히 명시한 일종의 협약서이다. 그렇다면 잘 작성된 SLA에는 어떤 내용을 포함하여야 할까? 수용 가능한 품질과 성능을 정의하는 데에 사용될 측정기준은 물론이고, 투입물과 산출물을 명확히 명시하여야 한다. 또한 클라우드 서비스 제공자(CSP)들은 외부고객과 내부고객에게 제공되는 서비스의 기대치를 정의하는 데도 SLA를 사용된다.

사전적 정의로써 서비스 수준 협약(SLA)은 다음과 같다.

  • 서비스 수준 협약(SLA: Service Level Agreement) : 서비스 사업자와 서비스 사용자가 제공될 정보 서비스 및 그와 연관된 여러 조건들에 대한 서로의 책임과 의무 사항을 기술해 놓은 협약서로 서비스 사업자와 서비스 사용자 간 합의를 통하여 서비스 시간, 서비스 가용성, 성능, 복구 등 다양한 항목에 대해 최소한의 서비스를 제공하기로 사전에 협약을 맺는다. 만약 서비스 제공 수준이 주기적으로 혹은 일정기간 사전에 합의된 수준에 미치지 못하는 경우 서비스 사업자는 벌과금을 받게 된다. 서비스 수준 협약(SLA)이 있으면 사용자는 서비스 사업자의 서비스 성능을 측정할 수 있는 지표를 가질 수 있게 됨으로써 서비스에 대한 막연한 기대감에서 벗어나 구체적인 성능을 기준으로 이용 환경을 평가할 수 있게 되는 장점이 있다. 서비스 수준 협약(SLA)은 서비스 수준 관리(SLM: Service Level Management) 절차를 통해 지속적으로 유지되고 관리된다.

클라우드 SLA는 CSP에 의해 제공되는 클라우드 서비스의 품질과 성능 등의 정보를 하나의 문서를 통해 공유하고, 책임과 기대를 명확하게 작성한 메트릭이다. 이는 클라우드 서비스상에 문제가 발생했을 때 CSP와 CSC간의 책임소재를 명확하게 하고, 클라우드 서비스 레벨에 대해 명시적으로 정의하여 양 당사자를 모두 보호하는 문서이다.

ISO/IEC JTC 1 SC 38에서는 2016년에 ISO/IEC 19086-1, Information technology - Cloud computing - Service level agreement (SLA) framework - Part 1: Overview and concepts (First Edition)의 국제 표준화 문서를 제정하였다.

※?이 문서는 「ISO/IEC 19086-1:2016, Information technology - Cloud computing - Service level agreement (SLA) framework - Part 1: Overview and concepts)」를 토대로 작성되었음.

 

[그림 1] Figure 1. Relationship of parts of ISO/IEC 19086 and other cloud computing standards


cloud_181017_image_1

* 출처 : ISO/IEC 19086-1:2016, Information technology - Cloud computing - Service level agreement (SLA) framework - Part 1: Overview and concepts


 

Figure 1은 ISO/IEC 19086의 내용과 ISO/IEC 19086과 클라우드 컴퓨팅과 관련된 다른 주요 국제 표준 간의 관계에 대한 개요를 나타낸다.

 

[그림 2] Figure 2. SLA components and SLA content areas


cloud_181017_image_2


* 출처 : ISO/IEC 19086-1:2016, Information technology - Cloud computing - Service level agreement (SLA) framework - Part 1: Overview and concepts


 

이 표준화 문서는 Figure 2와 같이 SLA 구성 요소와 SLA 컨텐츠 영역의 2개의 주요 그룹인 클라우드 SLA의 내용을 다룬다.

본 고에서는 이 국제 표준화 문서에서 다루고 있는 클라우드 SLA를 설명하기로 한다.

 



 

클라우드 서비스 SLA 개요


클라우드 서비스 협약의 일부인 클라우드 서비스 수준 협약(클라우드 SLA)은 규정된 클라우드 서비스의 SLO(Cloud Service Level Objectives)와 SQO(Cloud Service Qualitative Objectives)를 포함한다. 클라우드 SLA는 ISO/IEC 17788:2014에 포함된 클라우드 컴퓨팅의 주요 특징을 반영하는 것이 좋다.

- 주문형 셀프서비스(on-demand self-service)

- 리소스 통합(resource pooling)

- 멀티 테넌시(multi-tenancy)

- 신속한 탄력성과 확장성(rapid elasticity and scalability)

- 비용과 통제의 절충(tradeoff between cost and control)

- 종량제 서비스(measured service)

클라우드 SLA, SLO, SQO는 클라우드 서비스의 범주, 클라우드 서비스의 능력 유형, 클라우드 배치 모델에 따라 다를 수 있다. 이 표준에 규정된 클라우드 SLA는 다양한 클라우드 서비스 범주와 클라우드 배치 모델에서 CSC와 CSP가 유용하게 사용하기 위한 것이다. SLO와 SQO의 정의는 기술과 비즈니스 모델에 대해 중립적이기 때문에 모든 클라우드 서비스에 모두 적용되는 것은 아니며, 적용되는 부분은 특정한 클라우드 서비스와 다른 방식으로 구성하고 적용해도 된다.

 



 

클라우드 서비스 협약과 클라우드 SLA의 관계(Relationship between the cloud service agreement and cloud SLAs)


클라우드 서비스, 특히 공용 클라우드 서비스에는 일반적으로 클라우드 서비스의 획득과 이용에 관하여 CSC와 CSP가 체결하는 협약이 있다. 이 표준의 목적에 따라 법률적 합의는 ‘클라우드 서비스 협약(Cloud Service Agreement)’ 또는 간단히 CSA라고 부른다. CSA는 ‘기본 서비스 협약(Master Service Agreement)’, ‘서비스 약관(Terms of Service)’ 또는 간단히 ‘협약(Agreement)’이라고도 부른다.

CSA의 공통 부분에는 다음과 같은 예가 있다.

- 클라우드 서비스 수준 협약(클라우드 SLA): 클라우드 SLA에는 보통 클라우드 서비스의 내용을 다루는 클라우드 서비스에 관련된 SLO, SQO가 담겨 있고, 가용성, 신뢰성, 성능, 보안, 데이터 보호, 법규준수, 데이터 취급에 관한 내용도 포함될 수 있다.

- 적절한 사용 정책: 적절한 사용에 관한 정책은 보통 CSC의 클라우드 서비스 사용 한도를 규정한다. 여기에는 클라우드 서비스에 대한 CSC의 멀웨어 설치 제한 또는 저장할 수 있는 데이터의 유형에 대한 제한 등이 포함될 수 있다.

- 보안 정책: 보안 정책에는 일반적으로 CSC와 CSP에게 적용되는 책임, 클라우드 보안 약관에서 CSP가 클라우드 서비스에 적용하는 SLO와 SQO를 기술하며, 클라우드 서비스가 충족하는 보안 인증 또는 표준을 명시할 수도 있다.

- 데이터 보호 정책: 데이터 보호 정책은 통상적으로 클라우드 서비스에 의한 개인 데이터 또는 민감한 데이터의 취급을 다루며, 특정한 데이터 보호 조치와 프라이버시 인증 또는 서비스에 적용하는 표준에 관련된 SQO를 포함한다.

- 사업 연속성 정책: 사업 연속성 정책은 일반적으로 클라우드 서비스의 회복력 측면을 다루며, 데이터 손실을 방지하고 서비스 불능을 해결하기 위해 CSP가 시행하는 백업과 잉여요소 등의 조치가 포함될 수 있다.

- 업그레이드 정책: 업그레이드 정책은 보통 약정 서비스의 특징과 기능의 변경 및 관련된 관리 인터페이스의 변경을 다룬다. 주기적인 업데이트도 보통 업그레이드 정책에서 다룬다.

- 해지 정책: 해지 정책은 일반적으로 CSC가 하나 또는 여러 클라우드 서비스의 사용을 종료할 때 발생하는 사안들을 다룬다. 해지 정책에는 통지, 데이터 가역성, 데이터 삭제와 같은 분야에 관련된 SQO가 포함될 수 있다.

 



 

클라우드 SLA 관리(Cloud SLA Management)의 best practices


1) 개요

클라우드 SLA 관리는 클라우드 SLA의 설계, 평가, 협상, 수락, 실현, 실행, 변경에 관련된 사안을 포괄한다. CSC는 클라우드 SLA를 비롯한 기타 규범 문서가 자신의 사업 사유 및 전반적인 전략과 일치되도록 하는 것이 좋다. CSC는 클라우드 서비스를 규제하는 몇 가지 문서가 있을 수 있다는 점에 주의하는 것이 좋다.

2) 설계

클라우드 SLA는 클라우드 SLA에 명시된 약정 서비스에 적용한다. 하나의 클라우드 SLA를 다수의 CSC 또는 한 명의 CSC에게 적용해도 된다. CSC와 CSP가 공동으로 클라우드 SLA를 설계한 경우, 양측 당사자는 규정된 절차를 함께 이행하는 것이 좋다. CSP는 CSC의 수요에 부응하고 약정 서비스의 능력에 맞는 클라우드 SLA를 설계하는 것이 좋다.

3) 평가와 수락

CSC는 클라우드 SLA를 평가할 때 이 표준을 참고문헌으로 활용할 수 있다. CSC는 모든 개념을 검토하고 어떤 개념이 자신의 사업 목적에 중요한지 정할 수 있다. 이어서 CSC는 CSP의 서비스가 자신의 사업 목표를 충족시키는지를 평가할 때 CSP의 클라우드 SLA(및 배상)를 검토할 수 있다.

4) 실현과 실행

클라우드 SLA의 실현은 클라우드 서비스 특징에 대한 모니터링과 관리, SLO 및 SQO 미달성에 대한 보고, 배상 청구에 관한 절차를 수립하는 과정을 포함한다. 어떤 경우에 CSP는 클라우드 SLA를 실현할 때 CSC와 협력해야 할 수 있다. CSC는 또한 내부 거버넌스에 클라우드 SLA를 포함시키는 것이 좋다.

 



 

클라우드 SLA에서 SLO, SQO, 기준, 배상, 예외의 역할


클라우드 SLA에 있는 SLO와 SQO를 달성하기 위해서는 클라우드 서비스에 대한 모니터링 능력이 반드시 필요하다. 목표가 달성되지 않을 경우, 클라우드 SLA나 관련 문서에 배상 조항이 기술되어 있도록 하는 것이 중요하다. 마지막으로, 예외로 선언될 수 있는 사건이나 사고가 있을 수 있는데, 이 경우에는 SLO 또는 SQO가 달성되지 않아도 관련된 배상을 하지 않는다.

클라우드 서비스가 클라우드 SLA에 규정된 SLO 또는 SQO에 도달하지 못한 경우, CSP가 CSC에게 배상할 수 있다. 클라우드 SLA에 기재된 SLO 또는 SQO를 달성하지 못한데 대한 배상은 요금 환불, 무료 서비스 또는 기타 형태의 보상 등 다양한 형태를 취할 수 있다. 청구 절차는 SLO 또는 SQO를 충족하지 못한 경우에 CSC가 배상을 청구하는 절차를 기술한다.

 



 

클라우드 SLA 내용 분야 및 구성요소


클라우드 SLA 내용 분야는 하나 또는 여러 개의 SLA 구성요소로 기술한다. 클라우드 SLA의 내용과 그에 관련된 SLO, SQO, 기준은 사용하는 특정한 클라우드 서비스가 수립한 맥락에 따라 다르다. 본 고에서는 대표적인 SLA 구성요소를 간략하게 설명하기로 한다.

- 접근성: 접근성은 CSP가 약정 서비스의 일부로서 시행하는 장애인 보조 기술을 가리킨다.

- 가용성: 가용성이란 승인된 개체가 요구하면 접근하고 사용할 수 있는 속성을 가리킨다. 가용성은 약정 서비스에 접근할 수 있고 사용할 수 있는지를 판정하기 위한 방법을 규정한다.

- 클라우드 서비스의 성능: 클라우드 서비스의 성능에는 클라우드 서비스의 성능을 표현하기 위해 클라우드 SLA에 사용할 수 있는 개별 구성요소를 포함한다. 성능에 대한 정의가 클라우드 서비스, CSP, 그리고 아마도 CSC에 따라 달라질 수 있음에 유의한다.

- 개인식별정보 보호: 개인식별정보(이하 ‘PII’로 약칭)는 정보에 관련된 PII의 장본인을 식별하는데 사용할 수 있는 정보 또는 PII의 장본인과 직간접적으로 연결될 수 있는 정보이다.

- 정보보안: 정보보안은 클라우드 서비스의 정보보안에 관련된 SLO와 SQO를 다룬다. ISO/IEC 27017은 클라우드 서비스의 정보보안을, ISO/IEC 27018은 클라우드 서비스의 데이터 보호를 다루며, 이 표준들은 ISO/IEC 27002에 규정된 보안 목표와 보안 관리를 기초로 하고 있다.

- 서비스 해지: 서비스 해지는 해지 절차를 다룬다. 이 때 클라우드 서비스의 사용이 종료되고, CSC가 절차에 따라 클라우드 서비스 사용을 질서정연하게 중단한다.

- 클라우드 서비스 지원: 클라우드 서비스 지원에는 CSC에게 제공되는 약정 서비스에 관한 지원 대안에 관련된 SLO와 SQO가 포함된다.

- 거버넌스: 클라우드 서비스 거버넌스는 ISO/IEC 17789에 정의된 CSP, CSC 및 기타 당사자가 자신들의 거버넌스 요구사항을 지원하거나 준수할 수 있도록 하는 기준, 절차, 표준을 규정한다.

- 클라우드 서비스 특징 및 기능성의 변경: CSP는 CSA 기간 중에 약정 서비스의 특징과 기능성을 변경하기로 할 수 있다.

- 서비스 신뢰성: 클라우드 서비스의 신뢰성은 클라우드 컴퓨팅 시스템의 중요한 특징이다. 신뢰성은 복잡한 개념으로서 서비스 회복력/고장 내성, 고객 데이터 백업 및 복구, 재해 복구 등 세 가지 구성요소로 세분된다.

- 데이터 관리: 데이터 관리는 클라우드 서비스가 데이터를 다루는 방식을 규정한다.

- 증명서, 인증서, 감사: 증명서, 인증서, 감사는 CSP가 적합성을 증명하기 위해 사용할 수 있는 방법에 관련된 SQO를 포괄한다.

 



 

결언


클라우드 SLA는 CSP가 제공하는 클라우드 서비스를 제공받는 CSC가 서비스의 품질과 성능 등을 정성적인 지표와 정량적 지표를 이용하여 평가하는 것이다. 클라우드 SLA에서 보증, 수행 측정 등 클라우드 서비스의 필요 요소가 핵심으로 CSP와 CSC 등을 포함한 클라우드 서비스 당사자들은 표준화된 용어와 정의가 SLA에서 오해의 소지를 줄일 수 있으며 또한 클라우드 서비스의 비교를 통한 서비스 선택권을 가질 수 있다. CSP 마다 다른 SLA 기준, 자원, 보장 범위 등으로 혼란을 야기될 수 있고 이러한 문제점을 해결하기 위해 제정된 문서가 SO/IEC 19086-1:2016, Information technology - Cloud computing - Service level agreement (SLA) framework이다. 본고에서는 이 국제 표준화 문서의 내용에서 다루고 있는 클라우드 SLA를 설명하였다.

아직도 국내 기업 대다수는 클라우드 도입에 대한 고민이 적지 않다. 어떤 클라우드를 사용해야 할지를 판단할 근거가 없기 때문으로 이는 CSC 입장에서 어떤 클라우스 서비스를 신뢰할 수 있는지에 대한 정보가 없기 때문이다. 클라우드 서비스의 활성화를 위해선 무엇보다 서비스 품질과 성능 등 신뢰성이 확보되어야 하는데, 클라우드 SLA는 이러한 문제점을 해결하는데 중요한 참조모델이 될 수 있다, CSC 입장에서는 클라우드 서비스를 선택할 수 있는 중요한 도구로 사용할 수 있으며, CSP 입장에서도 클라우드 서비스를 개선하는데 적극적으로 활용할 수 있다.

 



 

참고문헌


1. ISO/IEC 19086-2,Information technology ? Cloud computing ? Service level agreement (SLA) framework ? Part 1: Overview and concepts

2. ISO/IEC 19086-2,Information technology ? Cloud computing ? Service level agreement (SLA) framework ? Part 2: Metrics

3. ISO/IEC 19086-3,Information technology ? Cloud computing ? Service level agreement (SLA) framework ? Part 3: Core conformance requirements

4. ISO/IEC 19086-4,Information technology ? Cloud computing ? Service level agreement (SLA) framework and technology ? Part 4: Security and privacy ISO/IEC 19941/2017, Information technology?- Cloud computing - Interoperability and portability.

5. ISO/IEC 17788:2014 , Information technology - Cloud computing - Overview and vocabulary.

6. ISO/IEC 17789:2014, Information technology - Cloud computing - Reference architecture.

7. https://terms.naver.com/entry.nhn?docId=2454762&cid=42346&categoryId=42346