보안 업계 리더는 아마존의 이번 결정에 대해 상반된 입장을 보이고 있다. 일부는 연간 매출 5,750억 달러, 직원 수 160만 명의 거대 유통 기업인 아마존은 MS에 보안 기능 개선을 요구할 수 있는 몇 안 되는 기업 중 하나라며 긍정적으로 평가했다.
반면 일각에서는 이번 조치가 기업 보안 향상을 위한 순수한 의도보다는 AWS를 위한 마케팅 전략이라고 해석했다. AWS가 보안을 중시하는 반면, 경쟁사는 그렇지 않다는 점을 부각시키려는 의도라는 것이다.
아마존이 MS 365 도입을 중단한다는 소식은 지난 12일 블룸버그 인터뷰를 통해 알려졌다. 모세스는 “자체적인 소프트웨어 분석 과정을 거친 결과, 아마존은 무단 접근 차단과 사용자 활동에 대한 상세 기록 관련 기능을 강화해달라고 MS에게 요구했으며, 여기에는 MS 365 관련 애플리케이션도 포함된다”라고 설명했다. (아마존은 파운드리 산하 IT 매체 CSO온라인에 모세스의 발언이 사실이라고 확인해줬다.)
아마존 보안 기준 통과 못한 MS 제품
모세스는 “오피스 365와 관련된 모든 보안 조치를 철저히 검토했으며, 아마존 내부 서비스팀과 동일한 엄격한 기준을 적용했다”고 강조했다.
흥미롭게도 모세스는 현재 마이크로소프트의 보안, 컴플라이언스, ID 및 관리 부문 총괄 부사장(EVP)인 찰리 벨과 이전부터 인연이 있다. 벨은 아마존에서 23년 이상 재직하며 AWS 수석 부사장(SVP)까지 지낸 인물로, 당시 모세스는 그의 부하직원이었다.
모세스가 블룸버그에 밝힌 내용에 따르면, 아마존은 앱 사용자의 적절한 인증 여부를 확인하는 도구의 수정을 요청했으며, 사용자 접속 후에는 자동화 시스템을 통해 보안 위험이 될 수 있는 활동 변화를 모니터링하고자 했다. MS의 번들 제품은 사용자 인증과 추적을 위한 다양한 프로토콜을 포함하고 있었지만, 아마존의 엄격한 보안 기준에는 미치지 못했다. 아마존은 모든 사용자 활동이 빠짐없이 기록되고 실시간으로 확인할 수 있기를 원했는데, MS의 기존 시스템으로는 이러한 요구사항을 충족하기 어려웠다.
MS는 모세스의 발언과 관련한 언론의 논평 요청에 공식 답변을 내놓지 않았다.
영리한 전략
캐나다 제너럴 은행(General Bank of Canada)의 최고 위험·보안책임자인 아담 엔널리는 모세스의 결정에 대해 “매우 영리한 발언”이라며 “아마존은 의도된 전략 하에 MS의 취약점을 낱낱이 드러낸 것으로 보인다”라고 설명했다.
엔널리는 “모세스의 발언은 아마존이 보안을 최우선으로 여긴다는 것을 전 세계에 보여주면서, AWS의 우수성을 입증했다”라며 “또한 업계 많은 기업이 IT 벤더에게 바라는 보안 요구사항을 명확히 전달하면서도, 간접적으로 MS는 평범한 수준의 보안 기능을 제공하고 있다는 점을 표현했다”라고 전했다.
엔널리는 “아마존이 MS 365 도입을 보류한 것은 오늘날 엔터프라이즈 기술의 현주소를 잘 보여준다”라며 “다른 기업의 클라우드 전환을 주도하는 아마존이, 정작 자사의 클라우드 도입은 보안을 이유로 중단했다는 점이 매우 의미심장하다”라고 설명했다.
다른 사이버 보안 전문가들은 이번 사례가 MS의 보안 공약과 실제 조치 사이의 간극을 다시 한번 드러냈다고 밝혔다.
보안 기업 ZSOC의 CEO인 리처드 블레치는 “러시아발 사이버 공격이 늘어나고 있는 요즘 같은 시점에서 아마존이 MS 365 도입을 중단하기로 한 결정은 사이버보안 커뮤니티 전반에 충격을 주고 있다. 전례 없이 정교해진 위협 시대에 시장을 선도하는 기업마저 기본적인 보안 역량을 확보하지 못했다는 사실이 드러났기 때문이다”라고 지적했다.
미흡한 로깅 시스템
블레치는 “단순한 보안 관리 실수가 아니다. 지금의 사이버 위험 수준과 업계가 이미 학습했어야 할 교훈을 감안하면, MS의 지원 수준은 명백한 책임 회피”라며 “실제로 핵심 문제는 아마존이 지적한 MS의 미흡한 로깅 기술과 모니터링 기능의 부재에 있다. 이러한 부족함은 단순한 기술적 격차를 넘어 MS에 대한 근본적인 신뢰 문제로 이어진다”라고 강조했다.
보안 기업 사이버젼스(Cyvergence)를 이끄는 CEO 매튜 웹스터는 아마존을 지지하며 “아마존의 이번 문제 제기는 자사뿐 아니라 업계 전체의 보안 수준을 높이는 계기가 될 수 있다”라고 평가했다.
웹스터는 “기업은 인프라를 보호하기 위해 정기적으로 실사를 수행하지만, 이번 사례는 업계의 두 거인이 보안을 면밀히 검토한다는 점에서 특별하다. 아마존이 두드러지는 점은 그들의 영향력이 MS 전반에 걸친 체계적인 변화를 이끌어내며, 이는 단일 조직이 아닌 더 넓은 생태계에 혜택을 준다는 것”이라고 전했다.
또한 웹스터는 “반면 중소기업들은 법적 계약으로 보안 개선을 요구하지만, 대부분 일회성에 그치고 특히 클라우드가 아닌 자체 운영하는 사내 시스템의 경우 보안 관리의 일관성이 떨어져 새로운 취약점이 발생할 수 있다”라며 “각각의 기업이 개별적으로 보안 요구사항을 제시하면 오히려 위험이 커질 수 있다. 하지만 아마존과 같은 영향력 있는 기업이 클라우드 보안 강화를 요청하면, 이는 엄격한 검증을 거쳐 시스템 전반에 적용된다”라고 설명했다.
보안 교육 업체 노비포(KnowBe4)의 보안 에반젤리스트인 로저 그라임스는 다른 전문가들의 의견에 동의하며 ‘아마존은 MS가 무시할 수 없는 소수의 기업 중 하나’라고 표현했다.
그라임스는 “아마존이 ‘이 보안 문제를 해결하지 않으면 도입하지 않겠다’라고 말하며 MS를 압박할 수 있는 영향력을 가진 것은 긍정적인 부분이다”라며 “아마존의 구체적인 요구사항은 알 수 없지만, 이러한 보안 강화 요구는 글로벌 IT 보안 환경 개선에 기여할 것”이라고 설명했다.
[email protected]