국내외 다수 기업이 AWS를 인터넷 서비스에 적용하고 있고, ISMS 인증 시 클라우드 환경도 인증범위에 포함되는 사례가 늘고 있습니다.
2006년 아마존이 AWS(Amazon Web Service)를 출시한 이후 클라우드 서비스 시장규모는 폭발적으로 증가하고 있으며, 국내 기업들도 대외 서비스 부분에 AWS나 MS Azure 같은 클라우드 서비스를 적용하는 경우가 점차 증가하고 있습니다.
이번 시간에는 인터넷 서비스 인프라의 일부 또는 전부를 AWS 환경에서 구성한 경우에 AWS에서 제공하는 보안 기능을 활용해 ISMS 통제요건을 어떻게 달성할 수 있을지 살펴보고자 합니다.
l 전세계 퍼블릭 클라우드 시장 전망(출처: 가트너 2017.02)
한국 클라우드 서비스 시장도 2017년 4조 원을 돌파할 것으로 보여 웬만한 대기업 매출 규모 정도로 시장규모가 커질 것으로 보입니다.
l 한국 퍼블릭 클라우드 시장 전망(출처: 가트너 (2016년12월))
클라우드 서비스는 기존 IT 영역의 전통적인 강자들(H/W제조사, OS제조사, 인터넷서비스 제공사 등)이 치열하게 경쟁하고 있으며, 현재까지는 아마존 AWS가 40% 정도의 시장점유율을 차지하며 절대 강자로 군림하고 있습니다. 이어서 MS•구글•IBM 등이 23% 정도의 시장점유율을 보이고, 나머지 다수 군소업체가 나머지 시장을 차지하고 있습니다.
AWS의 경우 2015년 대비 2016년 점유율에 큰 차이가 없으나, MS•구글•IBM등의 경우, 공격적인 투자를 통해 시장점유율을 5% 정도 끌어 올렸고, 나머지 중소회사들의 경우 시장을 점점 빼앗기고 있는 상황입니다. Major 공급사들이 각 지역에 클라우드 서비스 센터를 공격적으로 구축하고 있기 때문에 대규모 투자를 할 수 없는 중소 공급사들의 경우, 가격 경쟁력에서 밀려 시장에서 빠른 속도로 사라지지 않을까 생각됩니다.
l 클라우드 서비스 시장 점유율(출처: Synergy Research Group)
l IT 인프라 비용 지출 비율(출처: Kleiner Perkins 인터넷 트렌드 리포트(2017))
두 번째로 기업들이 클라우드를 적용할 때 고민하는 주요 우려 사항들이 분석되어 있는데요. 2012년에는 “데이터 보안”과 “비용 절감에 대한 불확실성”이 주요한 우려 사항이었으나, 2015년에는 “Compliance”와 “벤더 종속성”에 대한 우려가 증가한 것을 볼 수 있습니다.
클라우드 서비스 도입 사례가 늘어나면서 “데이터 보안”과 “비용”에 대한 검증이 이루어져 해당 분야 우려가 상당히 개선된 것으로 보입니다. (아마 클라우드 서비스 공급사에서 해당 분야에 대한 많은 BP 사례와 자료들을 지속해서 고객사에 제공해 많은 신뢰감을 다년간 심어 줬을 것으로 보입니다)
특히, “데이터 보안”의 경우 어느 정도 개선되기는 했지만 여러 우려 사항 중 가장 큰 우려 사항으로 평가되고 있으며, 이에 대한 대응책으로 클라우드 서비스에 다양한 보안 기능들을 적용해 서비스의 안전성과 데이터 보안성•무결성을 보장하기 위해 상당한 노력을 기울이고 있습니다.
해당 인터넷 트렌드 보고서에는 클라우드 관련된 내용 외에도 다양한 분야에 대한 흥미로운 주제들이 다뤄지고 있는데요. 아래 사이트를 방문해서 내용을 읽어보시면 많은 도움이 될 것 같습니다.
l 클라우드 우려사항(출처: Kleiner Perkins 인터넷 트렌드 리포트)
l AWS 핵심 서비스(출처: http://aws.amazon.com)
AWS는 기본적인 인프라 환경 외에 Application Service, Analytics, 보안, Operation, Development 등 영역에서 다양한 서비스를 지속적으로 출시하고 있어, 사용자들의 다양한 요구를 신속하게 충족시켜나가고 있습니다.
l AWS Architecture(출처: https://cloudit4you.wordpress.com/tag/aws/)
AWS는 보안을 AWS의 핵심 가치로 보고 정보보호에 대한 다양한 기능을 제공하고 있는데요. AWS 자체에 대한 보안은 아마존이 책임지고, AWS 환경 안에서의 보안은 고객이 책임지는 보안 책임 공유 모델을 제시하고 있습니다.
l 보안 책임 공유 모델(출처: AWS Security whitepaper Overview(2013.11))
보안 연재 이번 편의 주제가 AWS 환경에서 ISMS 인증을 준비하는 것이므로, 이제부터 AWS에서 제공하는 보안 기능을 소개해 드리겠습니다.
AWS에서는 네트워크 영역에서 용도별로 네트워크를 구분하고 영역 간 접근통제를 수행합니다. 그리고 데이터 전송구간의 기밀성•신뢰성 확보를 위한 Security Group, 방화벽, VPN, Flow log등 보안 기능을 제공하고 있습니다. 또한, IAM을 통해 AWS내 리소스에 대한 강력한 권한관리 기능을 제공하고, 데이터 암호화를 위한 CloudHSM 기능을 제공하고 있으며, 애플리케이션 취약점 진단 및 웹 방화벽 기능을 기본적으로 제공하고 있습니다.
ISMS 인증에서 요구하는 대부분의 통제 요건을 AWS 기본 보안 기능을 통해 대응 가능합니다.
l AWS 보안기능(출처: AWS Security whitepaper Overview(2013.11))
l AWS에 웹서비스 구성예(출처: AWS Security Best Practise(2013.11))
AWS가 직접 제공하지 않는 보안 기능은 별도의 마켓플레이스를 통해 전통적인 보안솔루션 벤더들이 제공하는 솔루션을 AMI(Amazon Machine Image)형태로 이용할 수 있습니다. 현재 마켓플레이스에서 제공하는 보안솔루션은 500여 종 이상으로 국내 보안솔루션 벤더들도 속속 아마존 마켓플레이스에 클라우드 버전 보안솔루션을 출시하고 있으므로, AWS에서 제공하는 기능 및 마켓플레이스에서 제공하는 기능으로 ISMS 인증을 충분히 대응할 수 있을 것으로 보입니다.
아마존 마켓플레이스
l AWS Market Place(출처: http://aws.amazon.com/marketplace)
ISMS 통제항목 중 보호 대책 92개에 대하여 AWS 환경에서 인증을 받으려 할 때 AWS에서 제공하는 보안 기능들을 아래 표와 같이 활용할 수 있으니 참고하시기 바랍니다.