필 로드리게스 아마존웹서비스(AWS) 아시아·태평양 지역 보안 총괄 부문장 전 BT 글로벌 서비스 부사장, 전 미군 정보 운영 전문가 / 사진 AWS
필 로드리게스 아마존웹서비스(AWS) 아시아·태평양 지역 보안 총괄 부문장 전 BT 글로벌 서비스 부사장, 전 미군 정보 운영 전문가 / 사진 AWS

“아마존웹서비스(AWS)는 항상 보안을 최우선 순위에 두고 군대나 글로벌 은행 같은 아주 민감한 조직의 보안 요건을 충족하는 클라우드 인프라를 구축하고 있다.”

필 로드리게스(Phil Rodrigues) AWS 아시아·태평양 지역 보안 총괄 부문장은 7월 30일 ‘이코노미조선’과 서면 인터뷰를 통해 이같이 밝히고 “가장 안전한 클라우드 컴퓨팅 환경이 되도록 설계했다”고 강조했다.

아마존 자회사인 AWS는 2006년 업계 최초로 퍼블릭 클라우드 컴퓨팅 서비스를 시작했다. 당시 공용 인터넷을 이용하는 퍼블릭 클라우드에 데이터를 저장하는 방식이 보안상 위험하다는 인식이 있었지만, AWS는 보안 전문가들을 확보해 24시간 클라우드 서버를 관리하며 보안 서비스를 제공한다는 점을 내세우며 우려를 불식시켰다. 개별 기업이 직접 자체 데이터센터를 구축해 데이터를 관리할 경우, 사이버 공격이 발생하면 보안 문제에 대응할 골든타임을 놓치기 쉽고, 외부 전문가를 불러 사태를 수습하는 데 비용도 많이 든다는 점을 파고든 것이다. 이후 2013년 미국 중앙정보국(CIA)도 AWS의 클라우드를 이용한다는 사실이 알려지면서 AWS 클라우드 서비스 보안에 대한 신뢰도가 상승, 기업 고객사가 크게 늘며 세계 최대 클라우드 서비스 업체 자리를 지키고 있다. 넷플릭스도 AWS의 높은 보안 능력을 인정, 2015년 자체적으로 운영하던 데이터센터(IDC)를 모두 폐쇄하고, 자사 데이터베이스(DB)를 전부 AWS 클라우드로 이전했다.

AWS는 전 세계 퍼블릭 클라우드 서비스 시장에서 40%가 넘는 점유율을 차지하는 글로벌 1위 업체다. AWS가 지난해 클라우드 사업으로 벌어들인 매출만 453억달러(약 53조원)였다.

필 로드리게스 부문장은 “AWS는 현재 전 세계 25개 지역에서 클라우드 데이터센터를 운영 중인데 호주, 인도, 인도네시아, 이스라엘 등 7개 지역에 데이터센터를 추가할 계획”이라며 “AWS는 가장 안전한 글로벌 인프라를 갖추고 있다”고 강조했다. 다음은 일문일답.


클라우드가 사이버 보안에 취약하다는 지적이 있다
“AWS는 가장 안전한 글로벌 인프라를 갖추고 있다. AWS 글로벌 네트워크는 AWS 글로벌 인프라는 전 세계 25개 지역의 데이터센터들을 상호 연결하고 있다. 이 네트워크를 통과하는 모든 데이터는 AWS 보안 시설을 떠나기 전 자동으로 암호화된다. 또 AWS 데이터센터의 보안을 검증하기 위해 외부 감사관이 연중 2600개 이상의 보안 표준 및 지침에 대한 테스트를 수행한다. AWS는 또 보안을 최우선 순위로 생각한다. 전 세계 25개 지역에 데이터센터를 구축하고 운영하면서 안전이 검증된 하드웨어와 소프트웨어를 모두 동일하게 사용하고 있다. 운영하면서 안전이 검증된 하드웨어와 소프트웨어를 모두 동일하게 사용하고 있다. AWS의 클라우드 서비스를 이용하는 모든 고객사는 극비의 워크로드(Workload⋅컴퓨터 시스템이 처리하는 작업)를 다루기에 충분하다고 인정받은 클라우드 서비스와 공급망을 사용하고 있는 것이다. AWS는 클라우드 관련 다수의 국제 보안 인증도 보유 중이다. 클라우드 보안 관련 ‘ISO 27017’ 인증과 클라우드 프라이버시 관련 ‘ISO 27018’ 인증이 대표적이다. AWS는 글로벌 클라우드 서비스 업체 최초로 한국의 정보보호관리체계(K-ISMS) 인증을 획득하기도 했다.”

고객과 보안 책임을 공유한다고 들었다
“우리는 고객과의 책임 공유 모델을 통해서도 이중으로 보안성을 높이고 있다. 우선 AWS는 AWS 클라우드가 제공하는 서비스가 운영되는 인프라를 보호하는 것에 대한 책임을 진다. AWS 고객들은 이러한 클라우드 서비스를 사용해 안전한 데이터 애플리케이션(앱) 구축에 대한 책임을 진다. 이를 위해 AWS는 고객에게 다양한 보안 모범 사례 자료, 암호화 도구(tool) 그리고 고객이 개별 데이터 앱에서 보안 조치를 실행할 때 이용할 수 있는 기타 지침서를 제공한다. 고객 계정과 워크로드를 지속적으로 모니터링하고 보호할 수 있는 보안 위협 탐지 기능도 제공한다.”

클라우드 인프라가 계속 확산하고 있다. 향후 보안 전략은
“많은 기업이 클라우드가 주는 장점(자체 데이터센터 구축 없이 저렴하게 데이터 관리 가능)을 알고 있기 때문에 기업들의 클라우드 도입은 계속 증가할 것으로 예상한다. 기업들이 클라우드 기반의 디지털 경제 이점을 최대한 활용하려면 클라우드에 저장한 데이터가 보호되는 것이 매우 중요하다. 이 때문에 AWS는 보안을 최우선으로 생각한다. AWS의 보안 전략은 다음 세 가지로 요약된다. 안전한 글로벌 클라우드 인프라를 구축하는 것, 고객에게 세계적 수준의 질 높은 보안 도구를 제공하는 것, 많은 보안 전문 파트너사를 확보하고, 질 좋은 보안 솔루션을 개발해 최고의 클라우드 보안 생태계를 만드는 것이다.”

기업은 랜섬웨어(ransomware⋅몸값 요구하는 악성코드)에 어찌 대응해야 하나
“가장 최선은 보안 사고에 미리 대비하고 실천하는 것이다. 기업은 보안 업체 사고 대응팀이 클라우드에서 보안 사고를 감지하고 대응할 수 있도록 필요한 도구와 클라우드 서비스에 대한 접근을 보장해야 한다. 클라우드 환경 내에서 예상되는 보안 사고를 모두 시뮬레이션하고, 이를 반복해 대응 시간을 단축, 위험을 더욱 줄여야 한다. 이러한 대응 외에도 사이버 공격을 막는 가장 효과적인 방법은 시스템을 정기적으로 백업하는 것이다. 데이터 백업을 통해 기업은 랜섬웨어 공격으로 데이터가 삭제되거나 파괴돼도 피해를 방지할 수 있다. 최근 더 영리해진 일부 변종 랜섬웨어는 저장된 백업 데이터를 찾아내고 이를 암호화하거나 삭제하도록 설계돼 있다. 그러므로 데이터 백업 복사본은 여러 개를 만들어야 하며, 이를 격리된 오프라인 장소에 저장해야 한다.”

보안 권장 사항을 외부와 공유하고 있다
“AWS는 사이버 공격 피해를 줄이기 위해 보안 모범 사례와 보안 권장 사항을 비고객사와도 무료로 공유하고 있다. 우리가 권장하는 보안 방침은 다음과 같다. 우선, 사용자 ID 관리를 중앙 집중화 방식으로 바꾼다. 클라우드 환경의 변경 사항을 실시간으로 모니터링하고 로그 수집을 시스템과 통합해 자동으로 보안 사고를 조사하게끔 조치한다. 인터넷, 데이터앱, 데이터에 이르기까지 모든 영역에서 다중 보안 제어를 적용한 방어 모드를 취해야 한다. 자동화된 소프트웨어 기반 보안 메커니즘을 통해 보안 사고에 효율적으로 대응해야 한다. 암호를 통해 관리되는 보안 아키텍처(컴퓨터 시스템 설계 방식)를 적용하는 것도 권장한다. 다음으로는 데이터를 민감도 수준으로 분류하고 필요시에는 꼭 암호화해 둬야 한다. 이때 토큰화 같은 메커니즘을 사용하면 좋다. 데이터에 직접적으로 접근해야 하는 필요성을 줄이거나 없애는 것도 보안 강화에 도움 된다.” 

보안 강화를 위한 다른 기관과의 협업은
“AWS는 작년 12월 출범한 ‘랜섬웨어 태스크포스(RTF)’의 구성원이다. 미국 연방수사국(FBI), 사이버보안국(CISA) 등도 참여하고 있는 RTF는 국내외 협력을 통한 포괄적인 전략으로 랜섬웨어 공격을 억제하고, 랜섬웨어 비즈니스 모델을 교란시켜 범죄 수익을 감소시키는 것을 목표로 한다. 기업들이 랜섬웨어 공격에 대비할 수 있도록 지원, 랜섬웨어 공격에 보다 효과적으로 대응할 수 있도록 돕는 역할을 수행한다.”

심민관 기자

  • 목록
  • 인쇄
  • 스크랩
  • PDF 다운
ⓒ 조선경제아이 & economychosun.com