AWS 환경에서 ISMS 인증 준비하기

국내외 다수 기업이 AWS를 인터넷 서비스에 적용하고 있고, ISMS 인증 시 클라우드 환경도 인증범위에 포함되는 사례가 늘고 있습니다.

2006년 아마존이 AWS(Amazon Web Service)를 출시한 이후 클라우드 서비스 시장규모는 폭발적으로 증가하고 있으며, 국내 기업들도 대외 서비스 부분에 AWS나 MS Azure 같은 클라우드 서비스를 적용하는 경우가 점차 증가하고 있습니다.

이번 시간에는 인터넷 서비스 인프라의 일부 또는 전부를 AWS 환경에서 구성한 경우에 AWS에서 제공하는 보안 기능을 활용해 ISMS 통제요건을 어떻게 달성할 수 있을지 살펴보고자 합니다.

2017년 전세계 퍼블릭 클라우드 시장 18% 성장 전망

전 세계 클라우드 서비스 시장은 지난 10년간 비약적인 성장을 해왔으며, 앞으로도 수년간은 지속적으로 성장할 것으로 보입니다. 가트너 예측에 따르면, 2017년 전 세계 퍼블릭 클라우드 서비스 시장규모는 2,468억 달러(원화로 279조)로 전년 대비 18% 성장할 것으로 보입니다. 특히, 클라우드 인프라서비스(Iaas) 시장은 전년 대비 36.8%의 큰 폭의 성장을 이룰 것으로 예측되고 있습니다.

2016년 삼성전자의 연간 매출이 201조 원 이었으니, 클라우드 시장이 규모가 얼마나 엄청난 규모인지 알 수 있습니다. 아마도 IBM이나 HP, Oracle 같은 H/W 벤더들이 위협을 받을 정도로 많은 서비스가 클라우드 환경으로 전환될 것으로 보입니다.

한국 클라우드 서비스 시장도 2017년 4조 원을 돌파할 것으로 보여 웬만한 대기업 매출 규모 정도로 시장규모가 커질 것으로 보입니다.

클라우드 서비스 시장의 40% 정도를 아마존 AWS가 차지

클라우드 서비스는 기존 IT 영역의 전통적인 강자들(H/W제조사, OS제조사, 인터넷서비스 제공사 등)이 치열하게 경쟁하고 있으며, 현재까지는 아마존 AWS가 40% 정도의 시장점유율을 차지하며 절대 강자로 군림하고 있습니다. 이어서 MS•구글•IBM 등이 23% 정도의 시장점유율을 보이고, 나머지 다수 군소업체가 나머지 시장을 차지하고 있습니다.

AWS의 경우 2015년 대비 2016년 점유율에 큰 차이가 없으나, MS•구글•IBM등의 경우, 공격적인 투자를 통해 시장점유율을 5% 정도 끌어 올렸고, 나머지 중소회사들의 경우 시장을 점점 빼앗기고 있는 상황입니다. Major 공급사들이 각 지역에 클라우드 서비스 센터를 공격적으로 구축하고 있기 때문에 대규모 투자를 할 수 없는 중소 공급사들의 경우, 가격 경쟁력에서 밀려 시장에서 빠른 속도로 사라지지 않을까 생각됩니다.

l 클라우드 서비스 시장 점유율(출처: Synergy Research Group)

클라우드 도입 시 “데이터 보안”이 가장 큰 우려 사항

매년 흥미로운 인터넷 트렌드를 제공하는 KPCB 벤처캐피털의 매리 미커(Mary Meeker) 파트너의 2017년판 보고서를 보면, 클라우드 서비스 관련한 흥미로운 분석내용들이 많이 들어가 있습니다. 첫 번째로는 기업들이 전통적인 데이터센터에 대한 투자가 점점 줄어들고 있고, Private Cloud 및 Public Cloud에 대한 투자 비중이 점점 늘어나고 있다는 사실입니다.

2013년 76:23으로 전통적인 데이터센터에 대한 투자가 많았으나 2016년 63:37로 빠른 속도로 클라우드에 대한 비용지출이 늘면서 전통적인 데이터센터에 대한 지출이 줄어들고 있습니다.

l IT 인프라 비용 지출 비율(출처: Kleiner Perkins 인터넷 트렌드 리포트(2017))

두 번째로 기업들이 클라우드를 적용할 때 고민하는 주요 우려 사항들이 분석되어 있는데요. 2012년에는 “데이터 보안”과 “비용 절감에 대한 불확실성”이 주요한 우려 사항이었으나, 2015년에는 “Compliance”와 “벤더 종속성”에 대한 우려가 증가한 것을 볼 수 있습니다.

클라우드 서비스 도입 사례가 늘어나면서 “데이터 보안”과 “비용”에 대한 검증이 이루어져 해당 분야 우려가 상당히 개선된 것으로 보입니다. (아마 클라우드 서비스 공급사에서 해당 분야에 대한 많은 BP 사례와 자료들을 지속해서 고객사에 제공해 많은 신뢰감을 다년간 심어 줬을 것으로 보입니다)

특히, “데이터 보안”의 경우 어느 정도 개선되기는 했지만 여러 우려 사항 중 가장 큰 우려 사항으로 평가되고 있으며, 이에 대한 대응책으로 클라우드 서비스에 다양한 보안 기능들을 적용해 서비스의 안전성과 데이터 보안성•무결성을 보장하기 위해 상당한 노력을 기울이고 있습니다.

해당 인터넷 트렌드 보고서에는 클라우드 관련된 내용 외에도 다양한 분야에 대한 흥미로운 주제들이 다뤄지고 있는데요. 아래 사이트를 방문해서 내용을 읽어보시면 많은 도움이 될 것 같습니다.

l 클라우드 우려사항(출처: Kleiner Perkins 인터넷 트렌드 리포트)

AWS는 클라우드 도입에 대한 우려사항을 불식시키며 승승장구 하고 있다

아마존 웹서비스가 시장에서 독보적인 자리를 차지하고 있는 이유는 여러 가지가 있겠지만 우선은 제공하는 서비스의 다양성에 있을 듯 싶습니다. 서버, 스토리지, DBMS, 네트워크 장비 등 실제 데이터 센터에 구성되는 물리적인 인프라들을 대부분 가상환경에서 제공하고 있어 사용자가 빠르고, 저렴하게 웹서비스를 구성할 수 있도록 해 줍니다.

AWS는 기본적인 인프라 환경 외에 Application Service, Analytics, 보안, Operation, Development 등 영역에서 다양한 서비스를 지속적으로 출시하고 있어, 사용자들의 다양한 요구를 신속하게 충족시켜나가고 있습니다.

l AWS Architecture(출처: https://cloudit4you.wordpress.com/tag/aws/)

AWS는 보안을 AWS의 핵심 가치로 보고 정보보호에 대한 다양한 기능을 제공하고 있는데요. AWS 자체에 대한 보안은 아마존이 책임지고, AWS 환경 안에서의 보안은 고객이 책임지는 보안 책임 공유 모델을 제시하고 있습니다.

l 보안 책임 공유 모델(출처: AWS Security whitepaper Overview(2013.11))

보안 연재 이번 편의 주제가 AWS 환경에서 ISMS 인증을 준비하는 것이므로, 이제부터 AWS에서 제공하는 보안 기능을 소개해 드리겠습니다.

AWS에서는 네트워크 영역에서 용도별로 네트워크를 구분하고 영역 간 접근통제를 수행합니다. 그리고 데이터 전송구간의 기밀성•신뢰성 확보를 위한 Security Group, 방화벽, VPN, Flow log등 보안 기능을 제공하고 있습니다. 또한, IAM을 통해 AWS내 리소스에 대한 강력한 권한관리 기능을 제공하고, 데이터 암호화를 위한 CloudHSM 기능을 제공하고 있으며, 애플리케이션 취약점 진단 및 웹 방화벽 기능을 기본적으로 제공하고 있습니다.

ISMS 인증에서 요구하는 대부분의 통제 요건을 AWS 기본 보안 기능을 통해 대응 가능합니다.

l AWS 보안기능(출처: AWS Security whitepaper Overview(2013.11))

아래 그림처럼 AWS에 VPC 구성사례를 보면 Elastic Load Balancer를 통해 부하분산을 하고 위험방지 계층을 구성해 IPS나 DDoS 대응솔루션 등 보안 인스턴스를 구성하고, 서비스 부하에 따라 자동 확장되는 웹서버를 프레젠테이션 계층에 구성하고, 애플리케이션 계정에 WAS 서버를 구성하고, 데이터 계층에 DBMS를 구성해 안전한 웹서비스 환경을 구성할 수 있습니다.

또한, AWS VPC와 사내데이터센터•관리자 환경접속을 위해 VPN을 구성해 암호화된 전송 채널을 구성할 수 있으며, ISMS 통제항목에서 요구하는 용도별 NW 구성 및 전송구간 암호화, 보안시스템 구성 등의 요건을 충분히 충족할 수 있습니다.

l AWS에 웹서비스 구성예(출처: AWS Security Best Practise(2013.11))

AWS가 직접 제공하지 않는 보안 기능은 별도의 마켓플레이스를 통해 전통적인 보안솔루션 벤더들이 제공하는 솔루션을 AMI(Amazon Machine Image)형태로 이용할 수 있습니다. 현재 마켓플레이스에서 제공하는 보안솔루션은 500여 종 이상으로 국내 보안솔루션 벤더들도 속속 아마존 마켓플레이스에 클라우드 버전 보안솔루션을 출시하고 있으므로, AWS에서 제공하는 기능 및 마켓플레이스에서 제공하는 기능으로 ISMS 인증을 충분히 대응할 수 있을 것으로 보입니다.

아마존 마켓플레이스
http://aws.amazon.com/marketplace

다만, 현재 AWS marketplace 내에 등록된 보안솔루션들이 국내 시장에 레퍼런스가 많지 않은 제품들이 많아 실제 AWS VPC에 적용하기 전에 충분한 검증 과정을 거쳐 적용해야 할 것으로 보입니다.

l AWS Market Place(출처: http://aws.amazon.com/marketplace)

그리고, ISMS 통제항목 중 보호 대책 92개에 대하여 AWS 환경에서 인증을 받으려 할 때 AWS에서 제공하는 보안 기능들을 아래 표와 같이 활용할 수 있으니 참고하시기 바랍니다.

아마존 AWS환경에서 ISMS인증검토 시 인증기관과 사전 협의가 꼭 필요합니다

AWS등과 같은 클라우드 서비스의 경우 서비스 이용 고객의 데이터가 다수의 데이터 센터에 분산되어 저장되기 때문에 인증심사 통제항목 중 일부 항목에 대해서는 보호대상 자산을 특정해 통제 기준 충족 여부를 점검하기 어려운 항목이 존재합니다.

예를 들면 「7.물리적 보안」이나 「11.4.1 정보시스템 저장매체 관리」 같은 항목의 경우 실제 보호대상 서버/NW 자산이 있는 데이터센터에 방문해 현장실사를 진행 해야하나 클라우드 서비스의 경우 점검 대상을 특정하기 곤란한 경우 등이 존재한다. 현재 정보통신서비스 제공자 중 일부 AWS 환경의 서비스를 사용하고 있는 경우 일부 통제영역을 인증범위에서 제외하고 ISMS 인증을 받고 있기 때문에 완전한 ISMS 인증을 획득했다고 할 수 없는 상황입니다.

이에 대해 인증기관인 KISA에서는 클라우드서비스 사업자가 ISMS 인증을 받았다면 사용자가 요건을 충족한 걸로, 인증을 안 받았다면 사용자가 요건을 충족하지 못한 걸로 판단한다는 방침을 정했기 때문에 경우에 따라 기 획득한 ISMS인증의 유효성에 대한 논란이 발생할 우려가 있으므로 의무인증대상 사업자인 정보통신서비스 제공자는 인증기관 및 클라우드서비스 제공자와의 협의를 통해 ISMS 인증기준을 100% 충족시킬 수 있도록 사전 대응해야 합니다.

[관련 기사] KISA “클라우드서비스, ISMS 인증 범위에 넣겠다”
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20170426154557

현재(2017년11월) 국내 진출한 외국계 클라우드서비스 사업자의 경우 년내 클라우드 서비스 인증을 받겠다고 계획을 발표했으나 아직까지 인증서를 획득했다는 기사가 나오지는 않고 있으므로 클라우드 서비스 도입을 고려하는 기업의 경우 서비스제공자의 ISMS인증 획득여부도 같이 검토해야 합니다.

결론

인터넷 서비스는 새로운 기술을 활용해 새로운 비즈니스 모델을 지원하기 위하여 빠른 속도로 변화하고 있습니다. 그러한 이유로 기존의 전통적인 데이터센터에 하드웨어와 소프트웨어에 대한 비용을 온전히 투자해, 전용 서비스 환경을 구성하는 것은 속도와 비용 면에서 엄청나게 비효율적인 방식이 되어 버렸습니다. 클라우드 서비스 시장규모가 매년 큰 폭의 성장을 거듭하고 있는 것이 바로 이러한 서비스 환경의 변화를 반영하고 있다고 봅니다.

기업의 정보보호 관리체계도 과거에는 보호 대상을 데이터센터에 모아놓고 2중, 3중의 보안대책들을 적용하는 중앙 집중형 보안체계가 선호되었으나, 최근에는 분산되고 흩어진 정보자산을 효과적으로 보호하고 관리할 수 있는 보안모델에 대한 요구가 점점 증대되고 있습니다.

이제 기업의 보안 담당자들도 보안 솔루션을 구축하고 보안정책을 수립 운영하는 형태의 전통적인 업무뿐만 아니라 클라우드 등 새로운 서비스에서 제공하는 보안기능을 잘 이해하고 활용하여 각종 Compliance 및 ISO27001•ISMS 통제요건을 효과적으로 달성할 수 있도록 아키텍처 설계 능력을 더욱 향상시켜야 하는 시점인 것 같습니다.

글 ㅣLG CNS 보안컨설팅팀

블로그