기업 보안 전략의 방향이 전환점을 맞고 있다. 아마존웹서비스(AWS)가 도입한 ‘위험 기반 사이버보안 접근법’이 그 대표적 사례다. 전통적인 보안 정책이 모든 위협을 평등하게 취급하던 데 반해, 이 방식은 위험의 가능성과 파급력을 기준으로 대응 우선순위를 조정한다. 이를 통해 기업은 단순 보호를 넘어서, 비즈니스 민첩성과 회복력 강화라는 목표까지 동시에 추구할 수 있게 된다.
클라크 로저스(Clarke Rodgers) AWS 보안 부서 최고정보보안책임자(CISO) 오피스 소속은 최근 'Fal.Con 2025' 컨퍼런스에 참석해 AWS의 보안 전략에 대해 설명했다. 그는 “우리가 속한 산업, 비즈니스 유형, 그리고 그에 특화된 위협 모델을 이해한 뒤, ‘합리적인 판단’으로 공동의 대응 방안을 마련하는 것이 핵심”이라고 말했다. 즉, 일방적 통제보다 협업식 대응 모델이 개방성과 효율성을 강화한다는 설명이다.
이러한 접근은 AWS 내부 시스템뿐 아니라 고객사 보안 기능 전반에도 적용된다. AWS는 클라우드 인프라 자체를 보호함과 동시에, 고객이 자체 보안 요건에 맞는 수준의 방어체계를 구현할 수 있도록 다양한 도구를 제공한다. 대표 예로는 Amazon GuardDuty, Security Hub 및 Inspector 등이 있다. 하지만 AWS의 기술만으로는 모든 환경을 커버하기 어렵기 때문에, 크라우드스트라이크(CrowdStrike)(CRWD)처럼 신뢰할 수 있는 파트너와의 협업이 중요하다고 로저스는 강조했다.
특히 기업 보안 자동화를 가속화하기 위한 인공지능(AI)과 자동화 기술의 융합이 주목된다. 로저스는 “보안팀이 개발자들에게 자동화된 점검 기능, 강화된 이미지, AI 기능들을 제공하면, 보안은 물론 제품 출시에 드는 시간도 단축된다”고 말했다. 최근 출시된 ‘Bedrock 가드레일’은 대표적 사례로, 생성형 AI를 보다 안전하게 개발하고, 컴플라이언스 측면을 자동화할 수 있도록 돕는다. 로저스는 이를 “보안과 기능을 겸비한 도구”라고 소개하며, 기업의 빠른 의사결정과 성장에 직접적으로 기여한다고 설명했다.
결국 AWS의 위험 기반 접근 방식은 단순한 위협 대응을 넘어 기업의 회복 탄력성과 디지털 전환 속도를 동시에 높이는 전략으로 작동하고 있다. 사이버 위협의 진화 속도가 갈수록 빨라지는 가운데, 이러한 보안 전략은 클라우드 및 엔터프라이즈 환경 전반으로 확산될 가능성이 높다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>