AWS 클라우드 보안 ① AWS 책임 공유 모델

현재 클라우드 컴퓨팅은 공공, 민간 분야를 가리지 않고 모든 변화의 중심에 놓여있습니다.

Forrester research 에서는 2021년 전 세계 퍼블릭 클라우드 인프라 시장은 35% 성장할 것으로 예측하고 있습니다.

클라우드 시장이 커져감에 따라 클라우드 보안의 중요성도 나날히 증가하고 있습니다.

 

퍼블릭 클라우드 도입 후 기업에서 보안사고가 발생될 경우 고객의 책임은 어느 영역까지 일까요?

 

기존의 온프레미스 인프라 방식의 경우 모든 보안사고의 책임은 고객사에서 가지고 있습니다. 서버와 네트워크 장비 장애가 발생하면 직접 해결해야 하는 것이고, 어플리케이션에서 발생하면 개발자와 운영자 쪽에서 대응해야 합니다.

 

클라우드 환경에서는 아마존 AWS 책임 공유 모델(Shared Responsibility Model) 을 통해 고객사가 사용하는 범위에 따라 아마존 클라우드 공급업체에서 보안과 장애로 책임져야 할 부분과 고객사가 책임져야 할 영역을 나누어 설명하고 있습니다.

 

▲ AWS 책임공유모델 (출처:AWS)

AWS책임 '클라우드의 보안' : AWS는 AWS 클라우드에서 제공되는 모든 서비스를 실행하는 인프라를 보호할 책임이 있습니다. 이 인프라는 AWS 클라우드 서비스를 실행하는 하드웨어, 소프트웨어, 네트워킹 및 시설로 구성됩니다.

 

고객 책임 '클라우드에서의 보안' : 고객 책임은 고객이 선택하는 AWS 클라우드 서비스에 따라 달라집니다.

예를 들어, EC2같은 서비스는 IaaS로 분류되어 고객이 필요한 모든 보안 구성 및 관리 작업을 수행도록 요구합니다. EC2 인스턴스를 배포하는 고객은 게스트 운영 체제의 관리(업데이트, 보안패치), 고객이 인스턴스에 설치한 방화벽(보안그룹)의 구성 관리에 대한 책임이 있습니다. S3 및 DynamoDB와 같은 추상화 서비스의 경우, AWS는 인프라 계층, 운영체제, 플랫폼을 운영하고 고객은 데이터를 저장하고 검색하기 위해 엔트포인트에 액세스합니다. 고객은 데이터 관리(암호화), 자산 분류, 액세스를 부여하는 IAM 서비스 사용에 책임이 있습니다.

 

| 클라우드 사고 사례로 보는 책임 주체 

위의 AWS 책임 공유 모델을 한번에 이해하기 쉽지 않을 수 있어 사례를 가져와 설명해보겠습니다.

클라우드 사용자(고객)의 책임	클라우스 서비스 제공자의 책임
▶ 미국 Capital One 개인정보 유출 사고    Capital One 1억 600만명 개인정보 유출 Capital One에서 방화벽 설정을 잘못하였고, 해커는 해당 취약점을 이용하여 AWS의 고객 데이터 접근 및 획득 🚫 해당 보안 사고는 클라우드의 보안 문제가 아니라, 클라우드를 사용하는 기업의 잘못된 보안 설정으로 인해 발생한것이므로 기업의 책임으로 판결	▶한국 AWS DNS 서버 설정 오류로 인한 접속 불가    DNS 서버 설정 오류로 84분간 DNS 기능 사용 불가 AWS 엔지니어가 내부 DNS 설정을 잘못 변경하여 해당 리전에 있는 인스턴스에 대한 서비스 장애 발생 🚫 AWS 엔지니어의 DNS 서버 설정 오류로 인한 장애로 AWS는 책임을 인정하고 AWS SLA(Service Level Agreement)을 기준으로 서울 리전 EC2 인스턴스 청구 항목 10% 환불

 

이처럼 클라우드 보안사고를 예방하기 위해서는 클라우드 서비스 제공자의 보안 수준은 물론, 고객도 그 역할을 다해야 합니다. 클라우드 서비스 이용자는 클라우드에서 제공하는 보안 서비스 및 리소스 구성을 명확히 이해하고 안전한 보안 운영을 위해 보안 아키텍처를 수립하고 관리하여야 합니다.

 

| ISMS-P 인증기준 2.10.2 클라우드 보안

클라우드 서비스 이용 시 서비스 유형(SaaS, PaaS, IaaS 등)에 따른 비인가 접근, 설정 오류 등에 따라 중요정보와 개인정보가 유·노출되지 않도록 관리자 접근 및 보안 설정 등에 대한 보호대책을 수립·이행하여하 한다. 

ISMS-P 에도 클라우드 보안에 대한 인증항목이 존재합니다. ISMS-P 인증을 준비하는 클라우드 서비스 이용 기업이라면 클라우드 서비스 및 클라우드 영역에 대한 보호 대책을 수립하고 이행하여야 합니다.

 

▶클라우드 서비스 유형에 따른 역할 및 책임 (출처 : 한국인터넷진흥원)

클라우드 서비스 유형	클라우드 서비스 제공자	클라우드 서비스 이용자
IaaS	- 물리적 영역의 시설 보안 및 접근 통제 - 호스트 OS에 대한 보안 패치 - 하이퍼바이저 등 가상머신에 대한 보안 관리 등	- 게스트 OS, 미들웨어 및 어플리케이션 보안 패치 - 게스트 OS, 미들웨서, 어플리케이션, 사설 네트워크   영역에 대한 보안 구성 및 설정 - 데이터 보안 - 관리자, 사용자 권한 관리 등
PaaS	- IaaS 영역에서 클라우드 서비스 제공자의 역할 및   책임 - 네트워크 영역의 보안 설정 -게스트 OS 및 미들웨어 영역에 대한 보안패치, 보안 구성 및 설정	- 어플리케이션 보안 패치 및 보안 설정 - 데이터  보안 - 관리자, 사용자 권한관리 등
SaaS	- IaaS, PaaS 영역에서 클라우드 서비스 제공자의   역할 및 책임 - 어플리케이션 보안 패치 및 보안 설정 - 데이터 보안 (데이터 레벨의 접근 통제, 암호화 등) 등	- 어플리케이션 관리자, 사용자 권한 관리 등

※ 클라우드 서비스 사업자, 서비스 구성 및 특성 등에 따라 달라질 수 있음

 

클라우드 서비스 이용 시 서비스 유형에 따른 클라우드 서비스 제공자와 정보보호 및 개인정보보호에 대한 책임과 역할을 명확히 정의하고 이를 계약서(SLA 등)에 반영하여 보안사고의 책임 소지를 명확히 하여야 합니다. 

 

클라우드 보안은 클라우드 제공자, 이용자 어느 한쪽에만 노력해서 이루어지는 것이 아니기 때문에 제공자 이용자 모두 본인의 책임 역할을 명확히 알고 보안 사고 예방을 위해 주의를 기울여야 할 것입니다.