본문 바로가기
일반IT/IT보안

AWS 공유 책임 모델(Shared Responsibility Model) 완벽 해설: 클라우드 보안, 누가 어디까지 책임질까?

by gasbugs 2025. 7. 29.

 

 

https://docs.aws.amazon.com/whitepapers/latest/aws-risk-and-compliance/shared-responsibility-model.html

 

 

클라우드 도입을 고민할 때 가장 중요하게 떠오르는 것이 바로 보안입니다. AWS(Amazon Web Services)를 포함한 모든 클라우드 서비스는 “공유 책임 모델(Shared Responsibility Model)”이라는 개념을 바탕으로 보안 및 컴플라이언스의 역할과 책임을 명확히 구분합니다.

이 글에서는 AWS의 공유 책임 모델이 무엇인지, 서비스별로 고객과 AWS가 각각 어디까지 책임지는지, 그리고 기업과 이용자가 구체적으로 어떻게 안전한 환경을 구축할 수 있는지 상세하게 설명합니다.

1. AWS 공유 책임 모델이란?

AWS 공유 책임 모델이란, 클라우드 기반 서비스의 보안과 규정 준수(Compliance) 책임을 AWS(서비스 제공자)와 고객(서비스 이용자)이 명확하게 구분·분담하는 프레임워크입니다.

  • AWS(클라우드 제공자):
  • 인프라 영역의 물리적 보안, 인프라 하드웨어/네트워크, 서비스의 기본 운영까지 책임.
  • 고객(이용자):
  • 실제 IT 자산의 구성·운영, 데이터 보호·암호화, 애플리케이션 구성 및 관리 등 직접 사용하는 영역의 책임을 집니다.

쉽게 말해 “구름 위 땅(AWS)은 AWS가, 그 위 집(서비스)은 내가 관리한다”라고 생각하면 됩니다.

2. AWS 책임과 고객 책임: 영역별 상세 설명

(1) AWS의 책임 – “클라우드 보안(Security OF the Cloud)”

  • 물리적 데이터센터 보안
    • 서버룸 출입통제, 감시카메라, 방화 시스템, 시설 안전 등
  • 네트워크 인프라 및 하드웨어
    • 서버, 스토리지, 네트워크 장비 등 물리 장비 관리와 유지보수
  • 기반 클라우드 인프라 소프트웨어
    • 가상화, 스토리지, 네트워킹, 보안 OS 계층 및 하이퍼바이저 보안
  • AWS 서비스의 운영 안정성 및 기본 소프트웨어 패치 적용
  • 서비스 장애·침해사고 탐지 및 대응체계 구축

(2) 고객의 책임 – “클라우드 내부 보안(Security IN the Cloud)”

  • 데이터 보안 및 개인정보 보호
    • 데이터 암호화/백업/마스킹, 개인정보의 수집·저장·삭제 정책
  • 애플리케이션 보안
    • 애플리케이션 설정, 로직·취약점 점검, API 키·계정 관리, 웹 방화벽(WAF) 구성
  • 네트워크 구성 및 보안 정책 설정
    • VPC, 서브넷, 보안그룹/ACL, 네트워크 라우팅 등 설정과 관리
  • IAM(Identity and Access Management) 정책
    • 접근 권한, 계정 생성/회수, 다중인증(MFA) 적용 등
  • OS/미들웨어/플랫폼 별 패치 관리 (EC2 등 IaaS 환경의 경우)
  • 서비스의 보안 로깅 및 모니터링(CloudTrail, CloudWatch, GuardDuty 등 설정)

즉, AWS 인프라 자체에 대한 신뢰를 기반으로, 사용자가 어떤 보안 설정과 서비스 구성을 하는지 책임이 집중됩니다.

3. 서비스별 책임 모델(서비스 유형에 따라 차등 적용)

유형 AWS 책임 고객 책임

IaaS (예: EC2, S3) 데이터, 애플리케이션, OS, 네트워킹, 접근권한, 보안패치 직접 관리
PaaS (예: RDS, Elastic Beanstalk) 데이터, 애플리케이션, RDS 계정 보안, 인스턴스 설정(패치/백업 등)
SaaS (예: AWS Chime, WorkMail) 계정 접근 관리, 데이터 프라이버시 및 규정 준수
  • SaaS일수록 AWS가 더 많은 보안영역을 책임지고, IaaS로 갈수록 고객의 책임이 커집니다.

4. 왜 이 모델이 중요한가?

  • 안전한 클라우드 환경을 위한 기본 전제:
  • 고객이 해야 할 보안조치, AWS가 관리할 영역이 뒤섞이면 보안 취약점이 발생할 수 있습니다.
  • 감사 및 규제 대응:
  • 내부정보보호, 개인정보 관리 등 준수해야 할 정부·업계 규정에서 ‘책임 구분’이 명확해야 합니다.
  • 비용 및 운영 효율화:
  • 각자 전문성을 바탕으로 효율적으로 보안을 유지할 수 있습니다.

5. 고객이 해야 할 체크리스트

  • 계정 및 접근 권한 최적화(IAM, 최소 권한 부여)
  • 규제에 따른 데이터 암호화 및 이중 백업
  • 애플리케이션 취약점 점검 및 최신 OS/미들웨어 패치
  • 로그 모니터링 및 이상 징후 실시간 감지
  • 네트워크 및 방화벽 설정 강화
  • 보안 인식 교육 및 정책 수립

결론

AWS의 공유 책임 모델은 “무조건 클라우드니까 안전하다” 또는 “모든 걸 AWS가 다 책임진다”라는 오해를 바로잡는 핵심 원칙입니다.

고객 스스로 자신의 책임영역을 파악하고 적절한 보안조치를 취할 때, 클라우드의 강점과 유연성을 제대로 활용할 수 있습니다.

'일반IT > IT보안' 카테고리의 다른 글

클라우드 보안 위협, 사실은 낯설지 않다: 기존 인프라와 클라우드 위협의 본질적 공통점  (1) 2025.07.29
AAA 모델과 제로 트러스트 아키텍처(Zero Trust Architecture)의 관계와 차이: 현대 보안의 핵심 구조 이해  (2) 2025.07.29
KISA가 운영하는 클라우드 보안 인증제(CSAP) 완벽 가이드: 안전한 클라우드 도입의 첫걸음  (2) 2025.07.29
쿠버네티스 보안 위협 탐지: 로그 분석부터 AI 기반 이상 탐지까지  (1) 2025.07.20
AWS 계정 보안 및 침해 사고 대응 완벽 가이드  (2) 2025.07.20

관련글

티스토리툴바