몇 년 전부터 아마존에서 밀고 있는 표현, 사전에도 없어
클라우드, 보안으로부터 시작해 모든 것이 보안으로 끝나야
AWS의 피터 무어 아태지역 총괄, ISEC 2017에서 기조연설

[보안뉴스 문가용 기자] 클라우드의 최강자 아마존 웹 서비스(AWS)가 몇 년 전부터 주구장창 주장하는 바가 있으니, 바로 ‘보안이 AWS의 알파와 오메가’라는 것이다. 그러면서 동원하는 표현이 좀 색다른데, “Security is Job Zero at AWS”다. 보안은 ‘잡 제로’다? 무슨 뜻일까? 영미 문화권에서 생긴 새로운 표현인가?


하지만 구글을 아무리 찾아도 이 표현에 대한 해석이 나오지 않는다. 사전에 나오지 않는 경우는 앞뒤 맥락을 파악해 의미를 유추하는 게 가능한데, 이 작업을 여기에 한 번 적용해보기로 한다. AWS가 클라우드의 보안에 대하여 하는 말들 중 몇 가지는 다음과 같다.

보안은 클라우드가 제공하는 모든 기능의 근간(foundation)
AWS는 벌써 11년이나 이어져온 서비스로, 2008년 24가지 서비스 및 기능을 가지고 출발했으며 2017년 기준으로 총 2913개가 제공되고 있다. 콘테이너 서비스, API 게이트웨이, 아마존 머신 러닝, 람다(Lambda), 아마존 SNS 등 손으로 꼽는 게 정말로 불가능한 수준이다. 3천개 가까운 이 서비스들이 보안에 뿌리를 내리고 있다는 것이 아마존의 설명이다.

또한 이미 클라우드의 대세로 자리 잡은 만큼 우리나라를 비롯, 미국, 브라질, 유럽, 일본, 싱가포르, 호주, 인도, 중국에서 16개 리전(Region)과 44개 가용 영역(Availability Zone)을 통해 서비스를 제공하고 있다. 이와 함께, AWS 엣지 로케이션 글로벌 네트워크는 전 세계 77개 지점에 걸쳐 있다.

흔히 보안이 취약하다고 여겨지거나 정부의 감시 활동이 너무 심하다고 알려져 있는 동유럽과 중국, 브라질 등에도 서비스가 개설되어 있을 정도니 시장의 수요와 자신감이 어지간히 높은 게 아닌가 보다. 하지만 위 주장에 따르면 이런 확장은 ‘보안을 근거로 하여’ 이뤄진 것이라고 할 수 있다.

보안은 공유된 책임(shared responsibility)이다
보안이 사업 확장과 새로운 서비스 개발의 가장 근본이 되는 개념이라고 외치지만, 그렇다고 해서 보안의 전부를 AWS 혼자 책임질 수 없다고 천명한 건 일견 모순처럼 보인다. 그러나 이건 클라우드라는 환경이 가지고 있는 보안의 특성을 가장 잘 나타내는 표현이다. 클라우드 제공업체가 데이터센터를 대신 돌려준다고는 하지만, 고객의 계정에 마구 접속할 수 없으니까 말이다.

AWS가 제시하는 책임 분할 모델은 명확하다. “고객들은 클라우드 안에서의 보안을 책임져야 하고, 클라우드 업체는 클라우드의 보안을 책임져야 한다.” 원문은 보다 명확해서, 고객들의 책임은 “in the cloud”에 있고, 클라우드 업체의 책임은 “of the cloud”에 있다. 좀 더 풀어보면 “콘텐츠에 대한 보안 책임은 고객에 있고, 클라우드 인프라에 대한 보안 책임은 업체에 있다”고 볼 수 있다.

“이 말은 곧 고객사의 보안 걱정을 최소화한다는 것입니다.” AWS 아태지역 총괄인 피터 무어(Peter Moore)의 설명이다. 클라우드 업체가 산도 뚫고 물 위로 다리도 안전하고 튼튼하게 짓겠으니, 고객은 한 발 한 발 콘크리트의 단단함이나 터널 천장의 안전함을 점검하지 말고 자기 생업에만 집중하면 된다는 것이다.

컴플라이언스의 가격 효율을 높인다
현장에서의 중요성에 비해 그다지 많이 언급되지 않는 보안의 한 주춧돌은 바로 규정 준수, 컴플라이언스다. 보안 전문가의 칼럼 등에서 “컴플라이언스가 보안의 전부가 아니다!”라는 맥락에서 가끔 나오긴 하는데, 현장에서 만난 CISO들은 실수로나 몰라서 범법하지 않으려는 데에 많은 노력을 기울인다. “내가 여기 CISO로 부임해 와서 제일 먼저 한 일은 규정과 정책을 정리하는 것이었다”고 말하는 이들이 의외로 많다.

규정을 지키는 게 왜 힘든 일일까? 규정을 지키면서도 생산성에 차질을 빚지 않아야 하기 때문이다. 컴플라이언스에 대한 고민이라고 하면, 우직하게 법을 지키는 것 그 자체만을 말하는 게 아니라 법의 테두리 안에서 생산성과 안전성 모두를 잡기 위한 고민이 된다. 클라우드로 네트워크 환경을 바꾸고도 컴플라이언스 걱정에 시달린다면, 실제 현장에서 CISO들이 체감하는 ‘보안 이점’이 상당히 줄어든다는 걸 의미한다. AWS는 컴플라이언스 고민을 전부 해결해준다고는 약속하지 않지만, 가격 효율을 높여준다고는 말한다. ‘규정 준수’에 대한 고민의 본질을 이해하고 있다는 뜻이다.

다시 처음으로, Job Zero란?
보안과 관련하여 AWS가 사용하고 있는 표현들은 ‘근간’, ‘책임 공유’, ‘가격 효율성’이 꼽힌다. 클라우드가 제공하는 서비스가 보안에 뿌리를 내리고 있지 않으면 소용이 없다는 것이고, 클라우드라는 커다란 환경의 안전은 클라우드 업체와 고객사가 함께 만들어가도록 인프라에 대한 책임은 철저히 맡겠다는 것이며, 담당자들의 고민을 본질부터 덜어내겠다는 뜻이다. 잡 제로의 정확한 뜻은 이 모든 것을 하나로 아우르고 있건, 중간 어디 즈음에 교집합처럼 위치해 있을 가능성이 높다.

문득 생각나는 표현은 Ground Zero다. 미사일이나 폭탄이 터지는 지점, 핵 무기가 폭발하는 지점, 빠르고 급격한 변화의 중심지, 시작점 따위의 뜻을 가지고 있는 말이다. Ground를 Job으로 바꾼다면, 그리고 Job에는 ‘책임’이라는 뉘앙스가 들어있다는 걸 고려하면 “모든 책임의 중심이나 시작” 정도로 이해가 가능하게 된다.

하지만 유추는 어디까지 유추. 더 정확한 뜻은 다음 주 삼성동 코엑스에서 열리는 ISEC 2017(http://www.isecconference.org/2017/)에 기조연설자로 방문할 피터 무어 총괄을 만나 직접 물어봐야 알 수 있을 것이다. 사전에도 없는 이 표현은 어디서 왔으며, 어떻게 AWS 및 클라우드 사업자들에게 적용되고 있고, 앞으로 어떻게 변해갈런지도 말이다. 기회가 되면 손을 들고, 마이크를 잡고 질문해야 겠다. Job Zero라는 표현을 자기 사전에 담고 싶으신 분이라면, 덩달아 클라우드 보안의 가장 좋은 레퍼런스인 AWS에 대해 더 알아보고 싶다면, 현장에서 뵙기를 바란다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>