아마존웹서비스(AWS)가 국내에서 공공기관에 민간 클라우드 도입시 요구하고 있는 ‘클라우드 서비스 보안인증(CSAP)’ 제도를 ‘무역·기술장벽’으로 해결해야 할 사안이란 입장을 나타냈다.

필 로드리게스(Phil Rodrigues) AWS 아태지역 보안 솔루션즈 아키텍트 부문장은 13일 열린 클라우드 보안 미디어 브리핑 세션에서 “한국은 지난 5월 열린 한·미 정상회담에서 미국 주도의 인도-태평양 경제 프레임워크(IPEF) 가입의사를 나타냈는데 이를 위해 무역·기술 장벽 중 하나인 CSAP를 해결하는 것이 필요하다”고 말했다. 이어 그는 “국가 안보와 직접 관련이 없는 분야에 CSAP를 적용하기보다 데이터 현지화를 지양하는 방식으로 국제 표준 인증을 수용해야한다”고 덧붙였다.

공공기관에서 사용하는 민간 클라우드 서비스의 안전성과 신뢰성을 검증을 위해 운영하는 CSAP는 민간 클라우드 서비스 제공업체들이 공공 시장에 진출하기 위해서는 반드시 갖춰야 하는 필수 요소다. CSAP를 취득하기 위해서는 국내에 전용시설을 마련해 보안 대책을 적용해야 하고, 클라우드 시스템 망 분리와 접근통제 등을 수행해야 한다. 이에 따라 국내 클라우드 서비스 제공업체들만 획득해, 외국계 클라우드 서비스 제공업체들에게는 공공시장 진입 장벽으로 작용한다는 목소리가 이들 업체들에게서 이어져 왔다.

AWS는 98개에 달하는 수많은 글로벌 보안 표준과 컴플라이언스(PCI-DSS, HIPAA/HITECH, FedRAMP, GPR, FIPS 140-2, NIST 800-171) 요구사항을 충족하고 있다. 이와 함께 국내 정보보호관리체계(ISMS) 인증도 보유하고 있다.  지난 2017년에 이어 작년 1월에는 개인정보보호관리체계 인증과 통합된정보보호관리체계, 즉 ‘ISMS-P’ 인증을 취득했다. 글로벌 클라우드 서비스 제공업체로는 최초다.

로드리게스 부문장은 “AWS는 한국 규제도 준수한다. AWS에서 제공하고 있는 모든 컴퓨트, 스토리지, 네트워크, 데이터베이스에 대한 보안 인증을 마친 바 있다. ISMS의 새로운 버전인 ISMS-P는 굉장히 방대해 1010개의 AWS 서비스와 모든 AWS 인프라를 포괄하고 있다. AWS는 굉장히 높은 수준의 데이터 프라이버시와 데이터 보안요건도 충족하고 있다”고 강조했다.

AWS는 한국 정부와 국내 기업을 대상으로 고객 데이터를 국내에 저장할 수 있도록 지원하는 현지 데이터센터를 두고 안전한 클라우드 보안 인프라를 제공한다. 한국을 포함해 전세계 26개 지리적 리전(geographic region)에 걸쳐 84개의 가용 영역(Availability Zone)을 운영하고 있다. 앞으로 호주, 인도, 이스라엘, 뉴질랜드, 캐나다, 스페인, 스위스, 아랍 에미리트 연합에 24개의 가용 영역과 8개의 AWS 리전을 추가할 계획이다.

이같은 인프라를 바탕으로 AWS는 고객이 데이터를 저장할 리전을 선택하고, 데이터를 소유해 저장 위치, 저장 방식, 데이터에 대한 접근 권한 등을 통제할 수 있도록 한다. 국내 고객이 데이터를 AWS 서울 리전에 저장할 경우, AWS는 고객의 동의 없이 이를 외부로 이동하거나 복제할 수 없다. 필 로그리게스 부문장은 “고객은 데이터를 어디에 어떻게 저장하고 처리하고 또 어떤 애플리케이션을 적용할 것인지 선택할 수 있다. AWS는 리전 내에 어떤 고객사의 콘텐츠를 이동할 수 없고, 국경 밖으로 이전시킬 수 없다. 고객은 어떤 콘텐츠를 저장하고 액세스를 할 것인지를 결정해 통제할 수 있다. 특정 정보는 아무도 접근 못하게 할 수도 있고, 또 퍼블릭 웹사이트의 경우엔 전세계에서 접근할 수 있도록 설정할 수 있다. 어떠한 보안 툴들을 사용할지도 전적으로 결정할 수 있다”고 설명했다.

‘책임공유 모델’에 따라 AWS는 클라우드 서비스를 실행하는 하드웨어, 소프트웨어, 네트워킹과 물리적인 시설을 포함한 AWS 클라우드 인프라 보안을 책임지고, 이용 고객은 사용 중인 AWS 서비스에 따라 클라우드 환경에서의 안전한 애플리케이션 구축을 책임지는 모델을 운영한다. 서비스 이용기업은 AWS가 제공하는 다양한 모범사례, 암호화 도구, 가이드라인을 기반으로 애플리케이션과 데이터 보안 관리를 수행할 수 있다.

AWS는 계정접근관리(IAM), 시큐리티허브, 네트워크 방화벽, 가상사설망(VPN)을 비롯해 280여개 보안, 컴플라이언스, 거버넌스 서비스 및 주요 기능을 갖춘 클라우드 보안 도구와 보안 서비스를 제공하고 있다.

AWS는 고객들에게 보안이 갖춰진 클라우드 서비스를 제공하기 위해 최근 삼성SDS·LG CNS·SK쉴더스를 글로벌 시큐리티 컴피턴시 파트너로 선정해 협력하고 있다. 필 로드리게스 부문장은 “시큐리티 컴피턴시 파트너는 보안 분야의 최상의 파트너로 인정받은 것”이라고 설명했다.


한편, 국내에서 AWS를 사용하는 고객사는 교보생명, 신한금융투자, KB금융, KB국민카드, 뱅크샐러드, 핀다, 토스페이먼츠 등 다양하다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network