필 로드리게스 AWS 아태지역 보안 솔루션즈 아키텍트 부문장. 2022.06.13. 오현주 기자© 뉴스1

글로벌 클라우드 기업 '아마존웹서비스'(AWS)가 아시아태평양(아태) 기업 10곳 중 9곳이 사이버 공격 위협을 걱정하는 것에 주목해 클라우드 기업과 고객사가 공동으로 보안관리에 힘써야 한다고 밝혔다.

AWS는 13일 '책임 공유 모델과 클라우드 보안에 대한 이해'라는 온라인 행사에서 '책임 공유 모델' 기반 클라우드 보안 전략을 강조했다.팬데믹 여파로 '온프레미스'(On-Premise·소프트웨어를 회사가 보유한 클라우드가 아닌 자사 서버에 직접 설치해 쓰는 방식) 대신 떠오른 '클라우드'(Cloud) 보안에 대한 우려 때문이다.

AWS는 이날 '온프레미스'보다 '클라우드' 보안시스템이 공격 탐지와 대응 속도 측면에서 뛰어남을 강조했다.

필 로드리게스 AWS 아태지역 보안 솔루션즈 아키텍트 부문장은 "지난해 FTI 조사 결과 아태지역 기업 93%가 사이버 보안에 큰 우려를 하고 있었다"며 "(하지만) 온프레미스의 보안 설비는 (가시성이 떨어져) 구성을 파악하기 어렵고, 자동화가 힘들어 실제로 공격 발생시 대응이 어려웠다"고 설명했다.

아마존웹서비스(AWS)의 공유 책임 모델 기반 보안 전략.2022.06.13. 오현주 기자© 뉴스1

회사는 더욱 강력한 클라우드 보안을 위해 자사가 전세계 26개국 고객사에서 시행 중인 '책임공유 방식' 보안 전략이 필요하다고 말했다.  

먼저 클라우드 제조사는 각국의 규제에 맞춰 식별되지 않은 접속자를 구분하는 '정체성'(Identity) 측면을 집중해야 한다는 주장이 나왔다.

필 로드리게스 부문장은 "AWS 보안서비스 100여 개는 국제·국가별 보안 표준이 적용됐고, 대표적인 국제 보안 기준이 ISO(국제표준화기구) 9001"이라며 "지난해 1월 KISA(한국인터넷진흥원)이 관장하는 정보보호관리체계(ISMS)를 준수한 최초 기업이 됐다"고 말했다.

이어 "클라우드는 누구나 접근할 수 있었던 '온프레미스'와 달리 접근권을 쓰도록 하는 방식"이라며 "누가 어떤 활동하는지 세밀하고 면밀한 검토 가능하도록 하는 환경이 필요하다"고 말했다.

이와 함께 클라우드 고객사가 MFA(다중인증관리) 같은 철저한 접근 관리로 제조사가 만든 클라우드를 관리해야 한다는 주장이 나왔다.

필 로드리게스 부문장은 "AWS는 기반 인프라에 대한 책임 가지고 있고, 고객사는 (인프라) 안에서 (지원되는) 암호화 서비스를 활용해 보안을 강구해야 한다"며 "원격서비스를 제공받는 직원에 대한 견제와 감시가 필요하다"고 말했다.

대표적인 국내 우수 기업으로는 △LG CNS △삼성 SDS △SK쉴더스가 꼽혔다. 앞서 세 기업은 AWS '글로벌 시큐리티 컴피턴시' 자격을 획득한 바 있다.

AWS는 클라우드 보안 전략과 함께 국내 클라우드 보안인증(CSAP)에 아쉬움을 드러내기도 했다.

여기서 'CSAP'는 공공분야에 안전한 민간 클라우드를 공급하기 위해 정부가 만든 인증 제도로, KISA가 주관하고 있다. 허가를 받은 업체만 공공 클라우드 분야에 참여할 수 있게 된다.

하지만 해외 클라우드 업체는 공공과 민간 클라우드 서버를 물리적으로 나눠야 하는 조건 때문에 인증을 받지 못했고, CSAP은 글로벌 표준과 다소 동떨어졌다는 지적을 받았다.  

필 로드리게스 부문장은 "이번 한미정상회담에서 미국 주도의 IPEF(인도태평양경제프레임워크)이 언급됐다"며 "IPEF에서 국제적 무역 장벽를 해소하기 위해 '클라우드 보안 인증 부문'도 해결해야 될 문제중 하나로 보고 있다"고 설명했다.

한편 AWS는 전세계 1위 클라우드 기업이다. 독일 시장조사기관 스태티스타에 따르면 AWS는 지난해 4분기 전세계 클라우드 시장에서 점유율 33%를 기록했다. 다음으로는 마이크로소프트(21%)·구글(10%) 순이다.


woobi123@news1.kr