- 계정관리·접근제어·키관리·모니터링·컴플라이언스·감사 서비스 망라

[디지털데일리 이유지기자] 세계 최대 클라우드서비스 제공업체인 아마존웹서비스(AWS)가 보안서비스를 대폭 확장하고 있다.

보안전문업체들과 협력을 맺고 2300여종의 서비스가 제공되는 AWS 마켓플레이스를 통해 고객이 원하는 보안서비스를 선택적으로 적용할 수 있도록 지원하는 방식 외에도 자체 기술로 개발한 신규 보안서비스를 잇달아 선보이고 있다.

현재 AWS가 제공하는 보안서비스는 ▲계정관리와 ▲접근제어 ▲키관리부터 ▲모니터링·로그 ▲설정(Configuration)·컴플라이언스 ▲리소스·사용량 감사까지 망라돼 있다. 이들 서비스는 매니지드서비스(Managed Service) 방식으로 제공된다.

올 하반기에만 AWS는 시스템 보안설정 등을 관리하는 ‘AWS 컨피그 룰(Config Rules)’과 자동화된 애플리케이션 테스팅 서비스인 ‘AWS 인스펙터’, ‘웹 애플리케이션 방화벽(WAF)’ 서비스를 한꺼번에 출시했다.

지난주 한국을 찾은 마쿠 레피스토 AWS 테크 에반젤리스트는 “AWS는 50여종의 서비스를 제공하고 있다. 고객 요구에 따라 서비스를 계속해서 확장해 왔다”며 “보안서비스도 광범위하면서도 깊이있는 서비스를 제공한다”고 밝혔다.

AWS가 제공하는 계정관리 서비스는 애플리케이션 등의 자원에 접속하는 사용자를 식별·인증하는 기능을 제공한다.

접근제어 서비스는 화이트리스트 정책을 기반으로 사용자나 조직·기능별로 접근가능한 자원에 접근하도록 통제한다. 데이터베이스(DB) 관리자들조차도 특정 근무시간만 접근할 수 있도록 설정하거나 특정 테이블로 접근권한을 제한할 수 있다.

AWS의 키관리 및 스토리지 서비스는 사용자가 서비스 자원에 접근할 때 아이디와 패스워드 기반이 아니라 키(Key)를 기반으로 접속할 수 있도록 제공하고 있다. 사용자에게 사설키를 부여해 데이터를 암호화한다.

모니터링·로그 서비스는모든 서비스를 중앙에서 감시하고 모든 활동 데이터를 남겨 관리할 수 있게 지원한다.

AWS는 설정·구성(컨피규레이션)도 보안영역에서 다루고 있다. 모든 시스템 설정을 관리해 만일 설정이 변경된 경우 관리자가 즉각적으로 이에 대한 가시성을 확보해 조치할 수 있게 한다. 또한 필요한 규제(Compliance) 관련 감사자료가 있을 때 언제든지 제출할 수 있도록 지원한다.

최근 선보인 소프트웨어 테스팅 서비스인 ‘아마존 인스펙터’는 소프트웨어 개발·수정 단계에서 시큐어코딩(Secure coding)을 지원한다. 뿐만 아니라 운영체제나 애플리케이션 버전에 따른 취약점도 체크해 보완할 수 있는 기능도 포함돼 있다.

컨피규레이션 스캐닝 엔진부터 활동(Activity) 모니터링으로 이상행위도 검사하며, 최신 테스트 사례를 모아 적용할 수 있게 하는 ‘빌트인(built-in) 콘텐트 라이브러리’, 개발자들이 소프트웨어 배포시 데브옵스(DevOps) 프로세스를 자동 운영할 수 있게 하는 기능(Automatable via API) 등도 포함돼 있다.

레피스토 에반젤리스트는 “AWS 인스펙터로 민첩한 보안 테스팅을 지원으로 높은 수준의 애플리케이션 보안성을 확보하도록 해줄 뿐만 아니라 각 보안규정에 맞춰 신속하게 이를 준수할 수 있도록 지원한다”며 “새로운 보안취약점이 나오면 바로 수정할 수 있게 하는 추천의견이 제공되는 것이 특징”이라고 설명했다.

AWS WAF는 AWS CDN 서비스인 ‘클라우드 프론트’를 기반으로 제공된다. 모든 웹 애플리케이션의 보안 취약점을 필터링하며 이를 악용한 공격을 보호한다. 전세계 54곳에 존재하는 CDN 인프라를 기반으로 전세계 어떤 지역에서 악성 트래픽이 들어오는지 가시성도 확보할 수 있다. 규칙(rule)은 AWS 관리 콘솔에서 설정할 수 있으며, 개발자들이 애플리케이션프로그래밍인터페이스(API) 코드로도 구성할 수 있도록 지원한다.

AWS는 트렌드마이크로, 임퍼바 등의 기술 파트너들이 제공하는 WAF 솔루션과 연동해 하나의 콘솔에서 통합 운영을 지원하고 있다.

‘AWS 컨피그 룰(Config Rules)’은 서버 내 모든 설정을 관리한다. 만일 가상서버 내 버추얼프라이빗네트워크(vPC) 기반의 사설IP 기반 운영 환경이 공개IP로 전환되거나 하드디스크 볼륨 암호화가 돼 있지 않다면 바로 탐지해 자동으로 조치를 취하도록 규칙을 설정할 수 있도록 제공한다. 이 서비스 역시 스플렁크 등 AWS 기술파트너의 솔루션과 연동할 수 있도록 API를 지원하고 있다.

레피스토 에반젤리스트는 “이같은 세가지 보안 기능을 사용하면 자동화된 프로세스를 통해 자칫 소홀할 수 있는 보안을 강화면서도 안전한 서비스를 빠르게 출시할 수 있게 지원한다”며 “혁신의 속도를 빠르게 향상시키면서도 보안 속도도 높일 수 있게 하는 데브옵스와 클라우드의 장점을 제공한다”고 말했다.

이들 세가지 서비스는 AWS가 제공하는 5가지 보안 서비스군 가운데 접근제어, 설정 및 컴플라이언스, 리소스·사용 감사에 해당한다.

레피스토 에반젤리스트는 클라우드 사용을 고려하는 기업들이 우선적으로 채택해야 하는 보안 방안으로 “반드시 vPC를 사용해 반드시 외부에서 접속하지 못하게 사설망을 운영해야 하며, 계정관리 적용으로 내부 사용자들이 화이트리스트 기반으로 자원에 접근, 사용토록 해야 한다. 또한 키 관리 방식을 사용하며 모든 데이터는 암호화해야 한다”고 강조했다.

그는 “사람 손이 많이 가고 자동화돼 있지 않아 절차도 복잡하며 가시성이 부족해 많은 어려움에 봉착했던 보안 문제를 클라우드에서 해결할 수 있다”고 단언하며 “클라우드는 클라우드 보안을 신속하고 경제적으로 수행할 수 있도록 해줌으로써 비즈니스 민첩성뿐만 아니라 보안까지 확보할 수 있게 해준다”고 덧붙였다.

이밖에도 AWS는 미국 클라우드 보안인증인 ‘페드램프(FedRAMP, 연방정부 위험 및 인증관리프로그램)’, 클라우드 개인정보보호에 관한 국제표준인 ISO/IEC 27018을 비롯해 미국 연방정보보안관리법(FISMA), 전자지불업계 데이터보안표준(PCI DSS), 의료개인정보보호법(HIPAA) 등 다양한 보안 관련 법·규정을 준수하고 있다.

기본적으로 AWS는 전세계에 분산돼 있는 데이터센터(리전, region)에 설치돼 있는 물리적 인프라 환경의 보안은 AWS가 책임지면서 AWS 서비스 이용기업이 자사가 사용하는 애플리케이션 서비스 보안을 책임지는 ‘공유책임(Shared Responsibility)’형 보안 모델을 채택하고 있다.

AWS는 내년 초 국내에 데이터센터(리전)를 설립해 한국 고객 지원을 강화할 예정이다.

<이유지 기자>yjlee@ddaily.co.kr