AWS는 왜 고객의 보안을 100% 책임지지 않을까

“아마존웹서비스(AWS)는 고객의 보안을 100% 책임지지 않습니다”

지난 12일 한국은행이 주체한 ‘디지털금융의 미래와 발전 전략’이라는 세미나에서 아마존웹서비스(AWS) 코리아 신용녀 이사는 이렇게 말했다.

당연히 이런 생각이 이어졌다.

‘고객의 보안을 100% 책임지지 않는다고? AWS는 고객의 보안에 대해 “나몰라라”하겠다는 말일까? 가뜩이나 보안에 대한 의구심 때문에 국내 금융권에서의 클라우드 확산이 더딘데, 한국은행이 주최한 세미나에 나와 보안을 책임지지 않는다니…’

AWS는 왜 고객의 보안을 100% 책임지지 않는다고 얘기하는 것일까?

AWS는 이를 두고 ‘책임공유모델(Shared Responsibility Model)’이라고 부른다. AWS가 모든 것을 책임지는 것이 아니라 AWS는 인프라에 대한 보안만 책임지고, 나머지 애플리케이션에 관련된 보안 조치는 고객이 직접 취하도록 하는 것이다.

1
아마존의 책임공유모델

AWS 측은 “AWS는 호스트 운영시스템과 가상화 레이어부터 서비스가 운영되는 시설의 물리적 보안까지 해당하는 요소들을 관리하고, AWS 고객들은 안전한 애플리케이션 구축을 책임진다”고 책임공유모델에 대해 설명했다.

AWS가 보안 책임을 부분적으로만 지는 이유는 고객 데이터 접근에 대한 우려를 차단하기 위한 것으로 풀이된다. 고객 애플리케이션 보안까지 AWS가 책임지겠다고 나서면 고객 데이터에 접근하는 것이 아니냐는 오해를 불러일으킬 수 있기 때문이다.

기업들이 AWS와 같은 퍼블릭 클라우드를 이용하면서 가장 우려하는 것 중에 하나가 ‘혹시 내 데이터를 서비스 운영업체 등 남들이 보지 않을까’하는 점인데, ‘책임공유모델’은 AWS가 고객의 데이터에 접근하지 않는다는 것을 보여주는 징표다.

신 이사는 “하이퍼바이저(가상화엔진) 아래는 AWS가 확실하게 책임을 진다”면서 “그러나 고객의 환경에는 접근하지 않기 때문에 책임공유모델이 필요하다”고 말했다.

이는 또 고객이 스스로 보안을 책임짐으로써 안정감을 느끼는 심리적 효과도 있다. 일정 규모 이상의 기업이라면 보안을 남의 손에 맡기는 것보다 직접 책임지는 것을 선호하기 때문이다.

일반적으로 AWS와 같은 클라우드 서비스에는 일반 기업의 데이터센터보다 훨씬 많은 보안조치가 돼 있다. NSAS JPL의 톰 소더스톰 최고기술책임자는 “우리의 경험을 바탕으로 보면 AWS 클라우드가 우리의 데이터센터보다 더 안전할 수 있다고 생각한다”고 말했다. NASA는 AWS의 우수고객이다.

하지만 기업들은 스스로 제어할 수 없을 때 불안감을 느끼는 경우가 많다. ‘책임공유모델’은 고객의 애플리케이션과 데이터에 대한 보안을 고객이 책임지게 함으로써 이런 불안감을 없애주는 효과도 있다.

AWS의 책임공유모델은 보안업체 입장에서도 다행스러운 정책이다. 아마존이 모든 보안을 책임지진다고 하면 클라우드 서비스 상에서 보안업체들이 할 일이 없어진다.

그러나 책임공유모델로 인해 기업들은 여전히 보안업체들의 기술을 필요로하고, 보안업체들은 AWS상에서 고객의 애플리케이션과 데이터의 안전을 지키는 역할을 부여받게 됐다.

신 이사는 “과거에는 클라우드에 대한 우려 1위가 보안이었는데, 이제는 달라졌다”면서 “고객들은 기존에 가지고 있던 보안 자산을 AWS에서 적용함으로써 보안을 더욱 강화할 수 있다”고 말했다.

글.바이라이네트워크
<심재석 기자>shimsky@byline.network

관련 글

첫 댓글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다