아마존웹서비스(AWS)가 생성형 인공지능(AI) 시대에 맞춘 포괄적 보안 전략을 발표했다. AI 할루시네이션(환각) 현상을 99%까지 탐지할 수 있는 자동화된 추론 기술과 함께 ‘보안 중심 문화’를 강조하며 클라우드 보안의 새로운 패러다임을 제시했다.
신은수 AWS 보안 전문 수석 솔루션즈아키텍트(SA)는 19일 서울 역삼동 AWS코리아 사무실에서 열린 ‘AWS 최신 생성형 AI 및 보안 기술 전략’ 기자간담회에서 회사의 생성형 AI 보안 전략을 공개했다. 기업들이 생성형 AI 도입을 확대하면서 보안 투자도 함께 늘리고 있는 가운데, AWS는 설계 단계부터 보안을 내재화하는 ‘시큐어 바이 디자인(Secure by Design)’ 접근법으로 이에 대응하고 있다고 밝혔다.
◇ AI 시대 맞춤형 보안 프레임워크 구축
AWS는 생성형 AI 환경에서의 보안 위험을 체계적으로 관리하기 위해 ‘생성형 AI 보안 범위 매트릭스’를 제시했다. 이는 AI 활용 방식에 따라 5가지 범위로 구분해 각각에 맞는 보안 전략을 수립하는 프레임워크다.
이 매트릭스는 챗GPT와 같은 소비자용 애플리케이션, 기업용 애플리케이션, 사전 학습된 모델 활용, 파인튜닝된 모델, 완전히 새로운 자체 개발 모델 등의 범위로 나뉜다. 범위별로 지배구조, 규제 준수, 법률 및 개인정보 보호, 위험 관리, 통제, 복원력 등 6개 영역에서 차별화된 보안 접근법을 적용한다.
핵심 기술은 AWS의 ‘자동화된 추론(Automated Reasoning)’이다. 수학적 확실성을 제공하는 논리적 추론을 통해 AI 할루시네이션 현상을 최대 99%까지 탐지할 수 있다. 아마존 베드록의 가드레일을 통해 제공되는 이 기술은 실시간으로 AI 응답의 정확성을 검증해 비즈니스 핵심 애플리케이션에서도 신뢰할 수 있는 AI 서비스를 구현할 수 있게 한다.
◇ 통합 보안 관리 플랫폼으로 운영 효율성 극대화
AWS는 기존 보안 서비스들의 대폭적인 업그레이드를 통해 통합 보안 관리 환경을 구축했다. 대표 환경은 ‘AWS 시큐리티 허브(Security Hub)’다. 프리뷰 단계로 출시된 이 서비스는 AWS 환경 전반에 대한 종합적인 가시성을 제공하고, 잠재적 위험의 영향 범위를 전체적으로 파악할 수 있게 한다.
신은수 아키텍트는 “시큐리티 허브가 단순히 보안 이벤트를 모아주는 역할을 넘어, 위협, 취약점, 보안제어 설정, 네트워크 노출, 민감 정보 등을 자동으로 상관 분석해 실행 가능한 인사이트를 제공한다”면서 “이를 통해 보안 이슈 해결 시간을 크게 단축하고 대규모 환경에서도 효율적인 대응이 가능하다”고 밝혔다.
신원 및 접근 관리 영역에서는 IAM 액세스 애널라이저(Access Analyzer)에 ‘내부 접근 분석’ 기능을 추가했다. S3나 다이나모DB, RDS 같은 중요한 데이터베이스에 회사 내 직원 중 누가 접근할 수 있는지 한눈에 보여준다. 또한 모든 계정의 최고 관리자 권한에 대해 비밀번호 외에 추가 인증 단계를 거치도록 의무화해 보안을 강화했다.
인프라 보호 측면에서는 AWS 네트워크 파이어월(Network Firewall)이 다중 VPC 엔드포인트를 지원한다. 이를 통해 하나의 방화벽으로 여러 엔드포인트를 관리할 수 있어 운영이 단순화되고, 후속 엔드포인트는 사용 요금이 50%로 절감되는 비용 효과도 얻을 수 있다.
◇ 대규모 네트워크 보안과 실제 적용 사례
AWS는 자체 인프라를 보호하는 ‘블랙풋(Blackfoot)’과 ‘매드팟(MadPot)’ 시스템을 통해 대규모 네트워크 보안 역량을 입증했다. 블랙풋은 시간당 13조 개의 트래픽 흐름을 처리하며, 3분마다 위협 정보를 업데이트해 VPC에 도달하기 전에 악성 패킷을 차단한다. 매드팟은 허니팟 시스템으로 전 세계 1만 개 이상의 센서를 통해 위협 정보를 수집하고, 지난 6개월간 2.4조 개의 악성 스캔 요청을 차단했다.
이러한 기술들은 실제 고객사에서 성과를 거두고 있다. 국내 대표적인 암호화폐 거래소인 빗썸은 AWS의 보안 자동화 솔루션을 통해 사고 발생 및 파인딩 대응 시간을 최대 90% 단축했다. 시스템즈 매니저 런 커맨드(Run Command)와 시큐리티 허브를 활용해 자동화된 보안 관리 시스템을 구축한 결과다.
연세대 의료원은 700만 건 이상의 환자 데이터를 보호하기 위해 AWS의 권한 관리 시스템과 프라이빗 링크를 활용했다. IAM을 통한 세밀한 접근 제어와 프라이빗 링크를 통한 네트워크 보안으로 의료 데이터의 안전성을 확보했다. 소니뮤직은 300개 이상의 AWS 계정에서 시큐리티 허브를 중심으로 한 통합 보안 관리로 1300개 이상의 웹사이트를 보호하며 보안 표준화를 달성했다.
기타 주요 업데이트로는 △AWS 실드(Shield)의 네트워크 보안 디렉터 기능(네트워크 보안 시각화) △AWS WAF의 L7 안티 DDoS AMR(애플리케이션 계층 DDoS 자동 보호) △AWS 서티피케이트 매니저(Certificate Manager)의 내보내기 가능한 공개 인증서 도입 △아마존 인스펙터(Inspector) 코드 시큐리티 기능(코드 저장소 취약점 스캔) 등이 있다. 신 아키텍트는 이러한 종합적인 보안 강화를 통해 AI 시대의 새로운 보안 위협에 선제적으로 대응하고 있다고 강조했다.