AWS “고객 컴플라이언스 업무 줄여준다”
상태바
AWS “고객 컴플라이언스 업무 줄여준다”
  • 김선애 기자
  • 승인 2018.05.30 15:10
  • 댓글 0
이 기사를 공유합니다

“산업별 주요 인증 획득해 고객 컴플라이언스 부담 줄여”…클라우드 보호 위한 다양한 보안 서비스 제공

25일 시행된 유럽 일반개인정보보호법(GDPR)에서 주의 깊게 살펴봐야 할 부분이 ‘클라우드’이다. 클라우드에 산재된 데이터를 가시화하고 암호화해 보호할 수 있을지 기업들은 신중하게 검토해야 한다. 주요 퍼블릭 클라우드 기업들은 글로벌 규제와 표준을 준수하고 있어 자사 서비스를 사용하면 고객의 컴플라이언스 업무를 상당부분 줄일 수 있다고 소개한다.

김일호 AWS코리아 솔루션즈 아키텍트 매니저는 “만일 클라우드 서비스 사업자가 HIPPA 표준 인증을 획득했다면, 이 서비스를 이용하는 고객도 일정부분 HIPPA 표준 준수 의무를 이행하고 있다고 인정받게 된다. 다만 고객의 책임 하에 있는 데이터 등에 대해서는 규제준수 이행이 필요하다”고 말했다.

AWS의 경우 국내 ISMS 인증을 획득했으며, ISO27001, HIPAA, FIPS 등 글로벌 주요 규제와 표준을 준수하고 있으며, GDPR과 관련해서도 모니터링, 서비스, 기술 가이드 등을 갖추고 있다.

고객이 직접 컴플라이언스 수준을 진단할 수 있는 점검도구를 제공하고 있으며 ‘컨피그(Config)’ 서비스를 통해 컴플라이언스에 대한 가시성을 확보할 수 있게 해 준다. ‘트러스티드 어드바이저(Trusted Advisor)’라는 전문 서비스도 제공한다.

▲김일호 AWS 매니저는 “AWS는 주요 규제와 표준을 준수하고 있어 서비스를 이용하는 고객의 컴플라이언스 부담을 줄일 수 있다. 또한 다양한 보안 서비스를 제공해 위협을 완화하는데 도움을 줄 수 있다”고 말했다.

클라우드 보안, 사업자-고객 책임 공유해야

클라우드에서 보안은 서비스 사업자와 고객이 책임을 공유하는 모델로 설명된다. AWS의 경우, 인프라 서비스, 컨테이너 서비스, 앱스트랙트 서비스로 나누어 책임 범위가 달라진다. 인프라 서비스는 IaaS와 같이 클라우드 인프라만 사용하는 모델로, 클라우드에서 운영되는 네트워크, OS, 애플리케이션, 계정·권한 접근관리(IAM), 데이터가 모두 사용자 책임이다.

컨테이너 서비스는 AWS가 제공하는 플랫폼, 애플리케이션까지 책임지며, 고객은 데이터, 백업, 방화벽, 고가용성 등을 책임진다. 앱스트랙트 서비스는 AWS가 저장 중·전송 중인 데이터까지 책임지며, 고객은 사용하는 데이터의 보안과 IAM을 관리한다.

김일호 매니저는 “클라우드 보안은 계약에 따라, 사용하는 서비스에 따라 책임 소재가 달라질 수 있으므로 클라우드 운영 시 고객들도 보안에 각별히 신경써야 할 것”이라며 “AWS는 고객의 클라우드 비즈니스를 보호할 수 있는 여러 보안 기능과 서비스를 제공하고 있다. 또한 국제 컴플라이언스를 만족하는 인증을 받아 고객의 규제준수 노력을 절감시킬 수도 있다”고 말했다.

고급 보안 위협 탐지 서비스도 제공

AWS가 제공하는 보안 서비스는 IAM, 전송 중·저장 중인 데이터 암호화, DB암호·API 키 등 주요 자격증명 라이프사이클 관리, 인증서 관리, 로그 관리, AWS 애플리케이션 모니터링, 중요 이벤트 규칙 설정과 이상징후 탐지, 애플리케이션 보안 수준 진단, AWS 리소스 변경사항을 추적하고 감사하는 서비스, 해당 변경사항이 기준 정책에 위반될 때 대응 규칙 실행 등 다양한다.

클라우드 내에서 격리된 사설 네트워크를 생성해 프라이빗 클라우드처럼 사용하는 VPC는 강력한 보안 운영을 위해 제안되며, 클라우드 기반 웹방화벽, 고도화된 L3/L4/L7 디도스 방어 및 탐지 등, 행위기반 보안위협 탐지 등 고급 보안 기술도 사용할 수 있다.

국내외 주요 보안 기업들의 서비스를 AWS 클라우드를 통해 이용할 수 있으며, 홈페이지 보안포털을 통해 다양한 보안 정보와 백서, 취약점 리포팅, 침투테스팅 신청 등의 정보를 제공한다.

한편 AWS코리아는 글로벌 퍼블릭 클라우드 기업 중 가장 먼저 ISMS 인증을 획득한데 이어 공공 클라우드 사업을 위해 클라우드 보안인증 획득을 위한 절차에도 돌입, 국내 규제를 준수하고 있다고 밝혔다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.