김동규 베스핀글로벌 팀장이 25일 서울 서초구 양재동 엘타워에서 열린 클라우드임팩트2025에서 'AWS 컨트롤 타워로 완성하는 보안 거버넌스 체계'를 주제로 발표하고 있다.

[디지털데일리 이상일기자] “지금은 클라우드를 단순히 이전하는 시대가 아니다. 이제는 보안과 거버넌스까지 함께 설계하고 운영하는 것이 클라우드 도입의 핵심이다.”

베스핀글로벌 클라우드 SA팀 김동규 팀장은 25일 양재동 엘타워에서 개최된 [클라우드 임팩트(Cloud Impact) 2025] 콘퍼런스 에서 ‘AWS Control Tower를 통한 보안 거버넌스 체계 구축’을 주제로 발표하며 이렇게 말했다.

그는 다년간의 프로젝트 경험을 바탕으로 금융권 고객사인 A카드와 B신용의 성공적인 AWS 콘트롤 타워(AWS Control Tower) 구축 사례를 소개하며, 멀티계정 기반 보안 아키텍처와 실질적인 운영 전략을 공유했다.

AWS 콘트롤 타워는 멀티계정 기반 클라우드 환경에서 관리, 보안, 규정 준수 등의 복잡한 문제를 표준화된 방식으로 해결하는 솔루션이다. 계정 생성부터 정책 배포, 감사 로깅, 액세스 제어까지 하나의 프레임워크 내에서 통합적으로 수행할 수 있도록 돕는다.

김 팀장은 “다양한 계정을 관리하면서도 일관된 보안 정책과 접근 제어를 유지하려면 AWS 콘트롤 타워가 사실상 유일한 선택지다. 특히 금융사처럼 보안 기준이 높은 조직에 적합하다”라며 “클라우드는 확장성의 상징이지만, 보안과 통제 없이는 오히려 혼란이 커질 수 있다. AWS 콘트롤 타워는 이 복잡성을 간결하게 바꾸는 도구”라고 설명했다.

발표에서는 AWS 콘트롤 타워의 아키텍처 구성도 상세히 소개되었다. 관리 계정(Management Account), 로그 아카이브(Log Archive), 감사 계정(Audit), 네트워크 계정(Network), 공유 서비스 계정(Shared Services) 등으로 구성된 멀티계정 체계는 보안성, 확장성, 유연성 측면에서 이상적인 형태를 보여준다.

특히 네트워크 계정의 역할은 주목할 만하다. 이 계정은 전사적 네트워크 연결성 확보를 위한 핵심 구성요소로, 외부-내부(남-북, 동-서) 트래픽을 모두 제어한다. 그는 “로그 아카이브 계정은 보안 로그의 중앙 창고 역할을 한다. 이곳에 저장되는 로그는 변조 불가능한 단일 출처(immutable security log)로 활용된다”고 설명했다.

실제 AWS 콘트롤 타워를 활용한 금융권의 성공사례도 소개됐다. A카드사는 AWS 도입 초기 단계부터 AWS 콘트롤 타워 기반 거버넌스 체계를 구축했다. 자체 클라우드 역량이 부족하고 조직도 정비되지 않았던 시점에서 시작됐지만, 베스핀글로벌은 고객과 긴밀한 협의를 통해 맞춤형 OU(Organizational Unit) 설계를 완료했다.

OU는 인프라, 공유, 워크로드로 나뉘며, 워크로드는 다시 대외/사내 서비스, 운영/검증/개발 환경으로 분리되어 관리된다. A카드는 금융 클라우드 가이드라인과 전자금융감독규정에 맞춘 정책을 적용해 보안성과 컴플라이언스를 확보했다.

또한 A카드는 커스터마이제이션 포 AWS 콘트롤 타워(Customizations for AWS Control Tower, CFCT)를 활용해 K-ISMS 기준에 맞춘 보안 패키지를 배포했으며, IAM Identity Center 위임 구조도 설계해 ID 및 권한 관리를 효율화했다.

B신용사의 경우 기존 IDC 기반의 DR 센터 외에 클라우드 기반 DR 환경을 도입하면서 AWS 콘트롤 타워를 함께 구축했다. 클라우드 경험이 부족했던 만큼 초기 정책 설계와 인프라 구성에 많은 고민이 있었으나, 베스핀글로벌은 강력한 중앙 정책과 OU 기반 설계로 문제를 해결했다.

김 팀장은 “B신용사는 SCP(Service Control Policies)를 통해 IAM 정책 변경, KMS 키 삭제, S3 퍼블릭 액세스 설정 변경 등 위험 요소를 차단했다. 이는 고객 내부 보안팀과 협의해 커스터마이징한 결과”라고 설명했다.

한편 운영 단계에서 김 팀장은 주기적인 로그 분석의 중요성을 강조했다. 로그는 로그 아카이브(Log Archive) 계정에 저장되며, 아테나(Athena)를 활용한 쿼리 분석 또는 오픈서치(OpenSearch)를 통한 시각화 분석이 가능하다. 그는 “실시간 가시성이 중요한 환경이라면 오픈서치 도입을 검토해야 한다”며 “멀티계정 운영은 선택이 아니라 필수다. 하지만 그 복잡성을 통제할 수 있어야 진정한 거버넌스가 이뤄지며 AWS 콘트롤 타워는 이를 가능하게 만드는 핵심 도구”라고 강조했다.