AWS "생성형 AI보다 보안 문화가 더 중요"
[필라델피아(미국)=남혁우 기자] "보안은 단순히 기술적 문제가 아니라 조직 전체의 활동에 깊이 뿌리내린 근본적인 요소이기 때문에 생성형AI 같은 기술 혁신보다 더욱 중요하다. 기업의 모든 활동에서 보안이 최우선 과제로 자리잡아야 한다." 11일(현지시간) 아마존웹서비스(AWS)의 크리스 베츠 최고정보책임자(CISO)는 미국 필라델피아에서 열린 AWS 리인포스 2024 키노트 발표에서 보안 문화가 기업 활동의 근본이 되어야 한다고 강조했다. 보안이 기술혁신보다 중요한 이유로 그는 서비스와 제품에 대한 신뢰와 비즈니스 지속 가능성을 꼽았다. 고객사의 민감한 정보가 사이버공격으로 인해 유출되거나 손상된다면 기업의 신뢰도와 평판이 크게 훼손될 뿐 아니라 이후 고객사 확보도 어려워지는 등 비즈니스에 치명적일 수 있다는 설명이다. 또한, 데이터의 중요성이 커지면서 많은 국가에서 데이터 보호와 관련된 규제를 준수하지 않으면 법적 제재와 벌금을 부과하는 법안이 마련되는 추세다. 더불어 크리스 베츠 CISO는 “생성형AI 같은 혁신적인 기술이나 서비스도 사이버 공격 위험에 노출되거나 지속해서 지적되는 윤리적인 문제가 발생할 수 있다”며 “보안 문화가 철저히 유지되어야만 혁신적인 기술도 가치를 제대로 발휘할 수 있다”고 설명했다. ■ AWS, 모든 기업 정책 최우선 순위 '보안' 크리스 베츠 CISO는 비즈니스 연속성을 보장하고 기업의 신뢰도를 높이기 위해 보안 문화를 강화하는 작업에 주력하고 있다고 밝혔다. AWS는 모든 임직원이 보안의 중요성을 인식하고, 이를 준수할 수 있도록 조직 전체에 일관된 보안 정책을 제시하고 있다. 크리스 베츠 CISO는 이런 문화를 조성하는 과정에서 최고 경영진의 적극적인 참여와 지속적인 교육이 가장 중요하다고 강조했다. AWS는 매주 금요일마다 각 계열사의 최고경영자(CEO)들과 보안 리더들이 서비스 팀과 만나 보안 문제를 논의한다. 그는 “이러한 작업을 통해 보안이 최우선 과제임을 명확히 하고 모든 팀이 보안을 중심으로 작업할 수 있도록 유도한다”며 “최고경영진의 참여는 조직 전체가 보안을 중요하게 여기는 문화를 형성하는 데 가장 중요한 역할을 한다”고 말했다. AWS는 각 서비스 팀이 자신들의 제품과 서비스에 대한 깊은 이해를 바탕으로 초기 단계에서부터 보안을 고려한 스마트한 결정을 내리도록 한다. 팀 리더들은 보안에 대한 책임을 지며, AWS 리더십은 이들이 보안을 유지할 수 있도록 지원한다. 이를 통해 모든 팀이 자율적으로 보안을 강화하는 문화를 조성하고 있다. 각 서비스 팀마다 보안 전문가인 가디언(Guardian)을 배치해 보안 모범 사례를 확산시키고, 개발 주기의 각 단계에서 보안 결정을 돕는 프로그램을 운영한다. 가디언은 개발 과정 전반에 참여해 보안 문제를 신속히 식별하고 해결할 수 있도록 돕는다. ■ 인프라에서 생성형AI까지 전방위에 걸친 보안 서비스지원 AWS는 인프라와 시스템의 보안을 강화한 노하우와 기술력을 기반으로 고객사의 클라우드 보안 환경을 지원하기 위한 신규 서비스도 선보였다. 자동화된 논리적 추론은 소프트웨어(SW) 시스템과 암호화 프로토콜의 정확성을 검증하고, 보안 정책과 네트워크 제어의 일관성을 확인한다. 이는 무한한 입력 가능성을 체계적으로 탐색해 보안을 강화하는 방법으로 보안 문제를 사전에 예방하고, 잠재적인 취약점을 신속히 해결할 수 있도록 지원한다. AWS 프라이빗 인증기관(Private CA)은 모바일 디바이스 애플리케이션에서 인증서 등록 과정을 간소화할 수 있는 신규 기능이다. 사용자는 자체 공용 비즈니스 또는 직업 범위를 관리하는 데 소요되는 시간과 비용을 절감할 수 있다. AWS 아이덴티티&엑세스 매니지먼트(IAM)가 패스키를 두 번째 인증 요소로 지원하며, 조직 내 리소스에 대한 액세스 권한을 분석 후 불필요한 외부 접근을 식별하고 차단할 수 있는 IAM 엑세스 애널라이저가 추가됐다. 아마존 시큐리티 레이크는 100개 이상의 AWS 내부 및 외부 데이터 소스에서 보안 관련 데이터를 중앙 집중화하고 분석할 수 있게 해준다. 이를 통해 강력한 인사이트를 제공하고 위협 탐지를 간소화할 수 있다. 악성코드를 자동으로 탐지하고 가드듀티 멀웨어 프로텍션의 아마존 S3용 버전도 공개됐다. S3 버킷에 업로드되는 파일을 자동으로 스캔하고 악성코드가 탐지될 경우 파일을 자동으로 격리하거나 삭제한다. 특히 AWS는 수요가 급증하는 생성형 AI에 대한 보안을 강화하기 위한 데이터 보호 및 생성형AI 기반 신규 기능을 추가하고 기존 인프라와 시스템을 개선했다. 차세대 EC2 인스턴스를 위한 기반인 AWS 나이트로 시스템은 격리된 실행 환경을 제공해 민감한 데이터를 안전하게 처리하고 외부의 무단 접근을 방지하는 AWS 니트로 엔클레이브를 지원한다. AWS 그라비톤4 프로세서는 모든 고속 물리적 하드웨어 인터페이스를 암호화해 하드웨어 기반 공격을 방어한다. 리턴 지향 프로그래밍(ROP)과 점프 지향 프로그래밍(JOP) 공격을 방어하기 위한 대책도 마련됐다. 아마존 배드록과 세이지메이커는 AI 모델 훈련 및 배포 과정에서 보안 가드레일 기능이 추가됐다. 모델 훈련 소스의 변경, 모델 이상 행동 탐지 및 보안 위협 탐지와 같은 기능을 통해 AI 워크로드를 보호한다. 이를 통해 AI 모델의 훈련과 배포 과정에서 보안을 강화할 수 있다. 생성형 AI를 활용한 쿼리 생성 기능이 미리보기 버전으로 출시됐다. 이 기능은 복잡한 SQL 쿼리를 작성하지 않고 자연어 입력만으로 클라우드트레일 레이크에서 AWS 활동 이벤트를 간단하게 분석할 수 있도록 지원한다. 또한 쿼리를 추가해 목적에 따라 미세조정을 실시할 수도 있다. 크리스 베츠 CISO는 "보안 문화는 단순히 기술적 문제가 아니라 조직 전체의 활동에 깊이 뿌리내린 근본적인 요소"라며 "해킹, 데이터 유출, 시스템 장애 등 기업이 직면할 수 있는 다양한 위험을 관리하기 위한 보안이 뒷받침되지 않으면 새로운 기술 도입과 혁신도 제대로 이뤄질 수 없다"고 말했다. 이어서 그는 "즉, 보안 문화는 기업의 장기적인 안정성과 지속 가능성을 보장하며, 이는 단기적인 기술적 성과보다 더 중요하다고 할 수 있다"며 보안의 중요성을 강조했다.