AWS "클라우드 보안 최우선 순위…200여개 기능 제공"
by이후섭 기자
2020.09.24 16:29:41
3가지 책임 공유 모델 도입…"데이터 관리 주체는 고객"
데이터센터·네트워크 등 인프라 보안은 AWS가 담당
"서울 리전 2016년 오픈 이후로 보안사고 한 건도 없어"
| 김기완 아마존웹서비스(AWS) 수석 솔루션즈 아키텍트 매니저가 24일 열린 온라인 교육세션에서 클라우드 보안 서비스에 대해 설명하고 있다.(출처=온라인 영상캡처) |
|
[이데일리 이후섭 기자] “클라우드 서비스를 제공하는데 있어 보안을 최우선 순위로 두고 200여 개의 보안 기능을 제공하고 있다.”
김기완 아마존웹서비스(AWS) 수석 솔루션즈 아키텍트 매니저는 24일 열린 온라인 교육세션에서 “데이터 분석, 컴퓨팅 자원 활용, 머신러닝 등 클라우드에서 데이터를 가공하고 전달하는 모든 과정에서 보안이 전제되지 않으면 고객이 클라우드를 선택해서 사용하기 어려울 것”이라며 이 같이 강조했다.
AWS는 책임 공유 모델을 도입하고 있다. 데이터 센터의 물리적 보안, 변경관리, 네트워크 보안, 디스크 관리 등 인프라 관련 보안은 AWS가 담당하고 데이터 관리 및 저장, 암호화 등은 모두 고객이 결정하는 사안이라는 설명이다.
데이터 센터의 물리적 보안은 직원들이 물리적인 접근 권한과 논리적인 접근권한을 동시에 갖지 못하도록 하고 있다. 이 매니저는 “지난 2006년부터 클라우드 서비스를 제공하면서 쌓아온 노하우를 통해 경계선 통제, 인적자원에 대한 물리접근 통제, 2개 이상의 멀티 팩터 인증 적용 등을 실시하고 있다”고 설명했다.
또 대부분의 변경작업은 고객에 대한 영향을 최소화 하는 방식으로 진행하고 있으며, 지속적인 서비스를 제공할 수 있도록 지역별로 두고 있는 리전의 데이터 센터(AZs)를 여러 단위로 쪼갰다. 이 매니저는 “고객의 재해복구나 가용성을 향상시키기 위한 방법”이라며 “서울 리전의 경우 4개의 AZs로 나눠 서로 다른 전원을 공급하고 있어 하나 이상의 데이터 센터에서 문제가 생겨도 다른 데이터 센터를 통해 계속 서비스를 운영할 수 있는 구조를 갖추고 있다”고 말했다.
인프라 자체의 네트워크 보안도 AWS에서 담당해 디도스나 IP 스푸핑(Spoofing) 공격, 감청 등을 차단하고 있다. 독자적인 디스크 관리 기능을 통해 타인의 데이터에 접근할 수 없도록 통제하고 있으며, 사용 전 디스크 청소는 물론 물리적으로 폐기되는 디스크 관리도 미국 국방부(DoD) 기준에 맞게 통제하고 있다는 설명이다.
이 매니저는 “미국 항공우주국(NASA)이나 민감한 의료정보를 다루는 화이자, 군사정보 보안이 필요한 제너럴일렉트릭(GE) 등이 AWS 클라우드 서비스를 사용하면서 필요로 하는 기능을 반영해 보안 기술을 발전시켰다”고 강조했다.
AWS는 클라우드 서비스 사용 방식에 따라 책임 공유 모델을 3가지로 분류하고 있다. 우선 가장 전통적인 방법인 클라우드 서비스를 인프라 스트럭쳐로 사용하는 경우에는 고객이 데이터 관리에 더해 플랫폼 및 어플리케이션 관리, 운영체제·네트워크·방화벽 설정 등도 책임진다.
화물을 수송하는 데 쓰는 컨테이너 박스처럼 이동이 쉽도록 소형의 독립 운영체제로 나눠 어디서든 실행할 수 있는 컨테이너 환경에서는 고객이 담당하는 역할 중 플랫폼 및 어플리케이션 관리, 운영체제·네트워크·방화벽 설정 등도 AWS가 책임져 고객의 관리요소가 많이 줄어들게 된다. 원격 화면만 가져다 쓰는 가상데스크톱과 같은 일부 서비스의 경우에는 대부분 책임이 AWS에 있고 데이터에 대한 책임만 고객이 가져간다.
이 매니저는 “서비스 형태에 따라 운영상의 이점을 고객이 가져갈 수 있다”면서도 “3가지의 다른 방식에서도 핵심인 데이터에 대한 온전한 관리 주체는 고객에게 있다”고 말했다.
이어 그는 “실제 보안 사고가 발생했을 경우 책임 소재에 대해서는 어떤 형태로 사고가 일어나느냐에 따라 다르겠지만, 데이터에 대한 거버넌스는 고객이 가지고 있고 AWS는 도구와 기술적인 가이드, 파트너 솔루션 등을 제공하는 것”이라며 “서울 리전은 2016년 오픈돼 지금까지 AWS 플랫폼으로 인해 발생한 보안 사고는 한 건도 없었다”고 강조했다.