“아마존웹서비스(AWS)에서 가장 우선순위로 두는 업무는 바로 보안입니다. 지난해 새로 도입한 722개 피쳐 중 299개가 보안 관련된 사항입니다. 전세계 각국 규제당국이 요구하는 보안 규정을 준수하고 시행합니다.”
클라우드 산업이 국내에서도 빠르게 확산될 조짐을 보이지만 여전히 이전을 머뭇거리게 하는 가장 큰 우려점은 `보안`이다. 사내 데이터센터를 구축해 운영하고 스스로 보안을 통제하던 기존 온프레미스 환경과 달리 시스템 인프라 많은 부분을 클라우드 서비스 제공자에 의존하기 때문이다.
트렌드마이크로가 8일 서울 리츠칼튼호텔에서 개최한 클라우드섹(CLOUDSEC) 2016에는 스탠리 챈 AWS 아태지역 테크니컬파트너 대표와 리차드 버즈비 아태지역 파트너솔루션 아키텍트가 참석해 AWS 클라우드가 제공하는 보안 수준에 대해 기조연설했다.
챈 대표는 AWS가 단순한 보안 통제 기능과 쉽고 투명한 감사를 지원한다고 강조했다. 방대한 시스템 자원을 운영하면서 고객이 투명성과 가시성을 누리는 다양한 도구를 제공한다는 것이다.
AWS는 클라우드 인프라 자체의 보안을 책임진다. 컴퓨팅 하드웨어와 스토리지, 네트워크, 데이터베이스에 대해 글로벌 보안 규정을 준수하고 각종 인증을 획득했다. 고객은 클라우드에 올려 이용하는 소프트웨어(SW)와 애플리케이션, 세부 보안 설정에 대한 책임을 진다. 클라우드 서비스 제공자와 이용자가 일부 공동의 책임을 지는 `공유책임(혹은 책임분담) 모델`이다.
클라우드 인프라에는 ID 관리와 접속제어, 암호화 키관리, 로그 기록, 규정 설정, 웹 애플리케이션 방화벽, 자산 관리 및 리포팅, 자원과 사용량에 대한 감사 등이 모든 사용자에게 기본적인 보안 요소로 제공된다. 고객이 요구하는 보안 요건을 충족하기 위해 다양한 표준을 준용하고 외부 써드파티 감사를 받는다. 기업이 온프레미스 환경에서 스스로 신경스지 못했던 부분까지도 높은 수준으로 보안이 적용된다는 설명이다.
고객이 책임지는 부분 역시 보안을 반드시 강구하도록 설계했다. 데이터는 이동 중이라도 쉽게 암호화 가능하고 모든 업데이트 시스템을 지원한다. API콜로 모든 접속과 스트리밍, 데이터 보관이 이뤄지기 때문에 모든 콜에 대한 기록을 남기고 리포팅을 제공한다. 어느 시점이든 볼 수 있는 스냅샷 리포트로 보안 수준 향상에 필요한 높은 가시성을 제공한다.
리차드 버즈비 아키텍트는 “장애로 인해 외부로 반출되는 스토리지 디바이스조차 모두 분쇄돼 3밀리미터(mm) 이상 크기로는 AWS 센터 밖으로 나가지 못한다”며 “모든 프로세스는 엄격하게 감사받고 통제된다”고 말했다.
지역 별로 요구되는 보안 요건도 갖춘다. 국내 클라우드 보안인증제도 마련에 참고된 국제 클라우드 보안표준과 미국 클라우드 보안인제도인 `페드램프(FedRAMP)도 모두 받았다. 한국 고객을 위한 요건 충족도 이뤄지는 중이다.
박상현 트렌드마이크로코리아 대표는 “많은 규정을 충족한 퍼블릭 클라우드가 사내 데이터센터보다 안전하다”며 “클라우드 인프라 자체에 대한 우려는 내려놓아도 될 것”이라고 말했다.
박정은기자 jepark@etnews.com
