실시간
뉴스

클라우드 서비스

보안은 고객과 ‘공동책임’이라던 AWS, 머신러닝으로 부담 줄여준다

[디지털데일리 백지영기자] 아마존웹서비스(AWS)는 그동안 클라우드 인프라 자체에서의 보안은 책임지되, 인프라 윗단의 애플리케이션 보안은 고객이 가져가는 ‘공동 책임론’을 강조해왔다.

일명 ‘책임공유모델(Shared Responsibility Model)’이라는 형태를 통해 AWS은 호스트 운영 시스템과 가상화 레벨, 서비스가 운영되는 시설의 물리적 보안까지 관리한다. 고객 데이터가 포함된 애플리케이션 영역의 보안은 고객이 책임져야 한다는 논리다.

이를 통해 AWS이 고객 데이터에 대해 접근할 수 있다는 우려를 원천적으로 차단하고 마켓 플레이스상의 보안 기업들과의 협력을 강조해 왔다.

하지만 최근 디도스(DDoS)과 같은 위협이 높아지고, 머신러닝과 같은 기술수준이 높아지면서 기존 입장에도 약간의 변화가 생기고 있다. ‘보안’을 최우선순위로 두고 있다는 얘기가 앤디 재시 AWS 최고경영자(CEO)의 올해 기조연설에서 여러 차례 강조됐다.

스테판 슈밋 AWS 최고정보보안책임자(CISO) 겸 부사장
스테판 슈밋 AWS 최고정보보안책임자(CISO) 겸 부사장
실제 미국 라스베가스에서 개최된 연례 기술 컨퍼런스 ‘AWS 리인벤트 2017’에서 발표된 ‘아마존 가드듀티(Amazon GuardDuty)’는 AWS의 변화된 모습을 보여주는 사례로 보인다.

‘아마존 가드듀티’는 고객들이 클라우드 상에서 악성 혹은 무단 행위를 지속적으로 모니터링해 AWS 계정 및 워크로드를 보호하도록 지원하는 지능형 위협 탐지 서비스다. AWS 관리 콘솔을 몇 번 클릭하면 API 호출 및 네트워크 활동을 즉각적으로 분석해 정상적인 계정 활동의 기준을 설정할 수 있다. 이후 머신러닝 기술을 적용해 정상적인 패턴을 벗어나는 모든 이벤트를 식별한다.

이와 관련, AWS 리인벤트 행사장에서 만난 스테판 슈밋 AWS 최고정보보안책임자(CISO) 겸 부사장<사진>은 디지털데일리와의 인터뷰를 통해 “그동안 고객들이 계속해서 요구했던 것이 아마존의 보안 강점을 인프라 스택에서 윗단으로 끌어올려 달라는 것이었다”며 “특히 중견·중소(SMB) 기업의 경우, 보안직원 채용이 쉽지 않은 만큼 고객의 클라우드 계정에 침입하려는 의도가 있거나, 자원이 원하지 않은 방향으로 흘러가는 상황에 대해서 알려준다”고 강조했다. 또, 이러한 작업을 고객이 별도로 할 필요가 없다는 설명이다.

2009년부터 AWS에서 보안을 총괄해온 슈밋 CISO는 관련 사항을 앤디 재시 CEO에게 직접 보고한다. 그만큼 보안을 중시하고 있다는 얘기다.

그는 “클라우드 상의 가상머신(VM)이 본넷으로 활용돼 비트코인을 채굴하는 등의 사례가 최근 많아지고 있지만, 고객이 여러 개의 계정 및 대규모 네트워크에서 이같은 비정상적인 활동을 식별하긴 어렵다”고 말했다.

실제 올해 한 클라우드 업체가 발표한 보고서에 따르면, 클라우드 사용자에 대한 계정 공격은 매분기 300~400%씩 늘어나고 있다. 악성 IP 주소에서 클라우드 계정에 로그온한 시도도 40% 이상 늘어났다. 이는 해커들의 공격대상이 클라우드로 바뀌고 있다는 것을 의미한다.

그동안 고객들이 웹 서버의 취약점을 노리고 있는 해커를 찾거나, 멀웨어 같은 악의적인 목적으로 사용되는 인스턴스를 모니터링하기 위해서는 여러 툴을 개발하거나 통합해서 사용해야 했다. 특히 기존에 알려지지 않은 위협 요인을 찾아내기 위해 API 액세스 및 네트워크 흐름을 수집하고 이를 위협 정보 소스와 대조하는 알고리즘을 적용해야 했다.

아마존 가드듀티는 활성화되는 즉시 AWS 클라우드 트레일 서비스와 아마존 VPC 플로우 로그 기능을 이용해 기존 솔루션이 감지하지 못하는 계정 관련 위협을 탐지한다. AWS 클라우드 트레일의 기록 활동을 비활성화하려는 시도 등을 찾아내고, 각 고객의 AWS 사용 패턴에 따른 보안 경고를 생성한다.

위협 정보 소스를 항상 최신으로 유지하면서도 기존 애플리케이션 워크로드에 부정정인 영향을 미치지 않는다는 설명이다.

그는 “독자 개발한 위협정보소스(허니팟)와 크라우드스트라이크와 같은 파트너의 3자소스를 활용해 비정상적인 행위를 감지한다”며 “또, 스플렁크나 팔로알토와 같은 보안업체와 보완적 관계를 유지하고, 그 어떤 업체도 제공하지 않았던 서비스를 제공한다”고 설명했다. AWS SDK를 통해 API 엔드포인트를 지원하기 때문에 AWS 마켓플레이스에 입점한 보안업체와도 상호운용성을 보장한다.

그는 “과거에는 보안이 클라우드로 전환하는데 가장 걸림돌이었지만, 이제는 정보보안에 민감한 정부기관조차 목소리를 높여 자체 데이터센터를 운영하는 것보다 AWS 클라우드의 보안 수준이 높다고 말한다”고 자신했다.

<라스베이거스(미국)=백지영 기자>jyp@ddaily.co.kr

디지털데일리 네이버 메인추가
x