“AWS 사용자 책임 범위 보안 문제 돕기 위한 다양한 서비스 마련”
[데이터넷] 미국 최대 금융기관 캐피탈원이 AWS에 저장된 1억600만여명의 고객정보를 유출당했다. AWS 상의 고객정보를 도난당했지만 이는 캐피탈원의 책임이 크다. 캐피탈원이 자사 방화벽 취약점을 방치해 발생한 일이기 때문이다.
클라우드의 최대 약점은 ‘보안’이며, 특히 데이터 보안은 사용자 책임 범위에 있기 때문에 공격에 취약하다. 관리자 실수로 고객정보를 암호화하지 않은 상태로 공개된 클라우드에 업로드하거나, 모든 사용자가 접근할 수 있도록 접근제어 정책을 잘못 설정하는 경우, 암호화했지만, 키를 함께 두어 암호화 데이터와 키를 모두 유출당하는 경우도 있다.
클라우드 책임 공유 모델에 따르면 IaaS, PaaS, SaaS 모든 경우에 데이터는 사용자 책임이며, 대부분의 클라우드 보안 사고가 이 영역에서 발생한다. 이러한 원칙이 있다고 해서 클라우드 사업자는 고객 보안 사고에 전혀 책임을 지지 않을까?
김기완 AWS 수석은 “고객 데이터는 클라우드 사업자가 통제할 수 있는 범위에 있지 않다. 데이터를 어떤 클라우드 리전에 저장하고 백업할 것인지, 암호화하고 키를 어떻게 관리하는지, 접근통제 정책을 어떻게 설정하는지 등을 사업자가 알 수 없으며, 알아서도 안된다”며 “하지만 클라우드 사업자들은 고객이 데이터를 더 안전하게 보호하고 관리할 수 있도록 도움을 줄 수 있다. 온프레미스의 데이터 보호 정책을 클라우드에 맞게 적용할 수 있도록 도와주는 프로페셔널 서비스를 제공하고 있으며, 여러 보안 서비스를 통해 클라우드 내에서 이상 행위가 발생하는지 탐지하고 대응할 수 있도록 도와줄 수 있다”고 설명했다.
프로페셔널 서비스 통해 보안 위협 완화 지원
거의 대부분의 클라우드 보안사고는 사용자 책임 영역에서 발생한다. 가트너는 90% 이상 클라우드 침해가 사용자의 실수나 잘못된 정책 설정 등에 의해 일어난다고 분석한 바 있다. 일각에선느 ‘클라우드 책임 공유 모델’에 대해 클라우드 사업자가 책임을 회피하기 위해 만든 것이라는 비판도 있지만, 사업자들이 보안에 대한 책임을 지지 않는다고 할 수는 없다.
김기완 수석은 “클라우드 책임 공유 모델은 고객과 협업하는 파트너십 모델이다. AWS가 책임져야 하는 인프라와 가상화 레이어, AWS 책임 영역 안에 있는 접근통제와 모니터링, 보안관제 영역은 최선을 다해 보호해 고객들이 안전하게 클라우드를 이용할 수 있도록 한다. 이와 함께 고객 책임 영역의 보안 문제 해결을 돕기 위해 여러 보안 서비스를 제안하는 한편, 마켓플레이스를 통해 써드파티 보안 서비스도 이용할 수 있도록 돕는다”고 밝혔다.
클라우드 사업자와 사용자 간의 ‘보안 파트너십’ 개념 모델의 예로 데이터 암호화를 들 수 있다. 사용자는 자체 보유한 암호화 키를 사용해 데이터를 암호화 한 후 클라우드에 저장할 수 있다. 사업자는 암호화 프로토콜과 클라우드 스토리지 암호화를 통해 저장 중·전송 중 데이터를 암호화한다.
암·복호화를 위해 대규모 컴퓨팅 리소스가 필요한데, 클라우드 인프라를 이용하기 때문에 고객이 자체 구축한 컴퓨팅 자원을 사용하는 것 보다 저렴하고 효율적으로 사용할 수 있다. 암호화 키는 사용자가 관리하는 키를 사용할 수도 있지만, 사업자의 키 관리 서비스를 이용할 수도 있다. 클라우드 HSM을 이용해 최고의 보안 수준을 보장받으면서 키를 관리할 수 있다.
클라우드로 규제준수 활동 지원
김기완 수석은 클라우드를 통한 규제준수 효과도 설명했다. AWS는 글로벌 주요 클라우드 컴플라이언스를 지원하고 있으며, 클라우드 보안과 관련된 각종 인증을 획득하며 AWS 책임 영역의 보안을 보장한다. 또한 사용자의 규제준수 활동을 돕기 위한 노력도 진행하고 있는데 우리나라 ISMS 인증도 획득했다. 고객이 ISMS 인증 신청 시 인프라 영역의 통제 항목은 AWS가 획득한 ISMS로 갈음하기 때문에 ISMS 인증 획득을 위한 노력을 일부 줄일 수 있다. EU GDPR도 마찬가지로, GDPR 요구사항 중 AWS 책임 범위에 있는 인프라·플랫폼 영역에서의 보안 책임을 완수하기 때문에 고객의 GDPR 준수 활동 부담을 줄일 수 있다.
AWS는 또한 자사 책임 범위 내에서 발생하는 모든 것을 모니터링하고 이상행위를 탐지해 위협을 지속적으로 완화하고 피해를 미연에 차단한다. API 모니터링, AWS 기반 애플리케이션 모니터링, 애플리케이션에 대한 자동화된 보안 수준 점검, AWS 리소스 변경사항 추적·감시, 중요 데이터 유출 방지, 보안 규정 준수 현황 파악, 무료 보안 개선 진단 도구 등 다양한 보안 서비스를 선택할 수 있게 한다. 방화벽·웹 방화벽, 디도스 방어, 위협탐지와 상시 모니터링 등 네트워크 기반 방어 기술도 다양하게 제공한다.
김기완 수석은 “AWS에게 보안은 최우선순위의 과제다. 또한 보안을 위해 비즈니스 속도를 포기할 수도 없다”며 “AWS는 미국 정부 주요기관 등 세계최고 수준의 보안 요건을 갖춰야 하는 기관 뿐 아니라 가장 빠르게 변화하는 인터넷 서비스 기업들도 사용하고 있다. 강력한 보안과 빠른 속도 요구를 만족시키는 AWS의 기술을 모든 고객이 이용할 수 있다”고 강조했다.
