편집 : 2019.11.22 금 14:44
금융IT
[단독]“AWS, MTCS 서울리전 인증서는 어디에?”공식 웹사이트에 ‘싱가포르 MTCS 인증서’만
김동기 기자  |  kdk@bikorea.net
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
승인 2019.08.26  00:27:22
트위터 페이스북 미투데이 요즘 네이버 구글 msn

AWS “서울 리전, 싱가포르 인증 확장” 해명

지난 4월부터 아마존웹서비스(이하 AWS)가 ‘서울 리전’에 대해 인증을 받았다고 주장하는 MTCS(Multi-Tier Cloud Security)인증 관련, 때아닌 ‘인증서 진위’ 의혹이 불거져 논란이 확산중이다. 

AWS코리아는 싱가포르 인증의 ‘서울 리전’ 확장이라고 주장하는 가운데, AWS코리아가 한국내 일부 금융회사에 전달한 ‘인증서’는 싱가포르 인증서와 같은 ‘표기 양식’을 보이고 있다.  

이 논란은 현재 “국내외 클라우드 보안인증을 취득·유지하고 있는 클라우드 서비스 제공자의 해당 서비스에 대해 ‘기본 보호조치’ 항목 생략이 가능하다”는 금융분야 클라우드 컴퓨팅 서비스 이용 가이드와 연계돼 있다는 점에서 ‘진위확인’이 중요한 대목이다. 

◆논란의 주요 내용은 = ‘AWS 인증서 논란’은 다수의 제보로부터 시작했다. 

제보의 내용은 “지난 4월부터 AWS가 MTCS 인증을 받았다고 주장하고 있는데, 인증서를 확인할 수 없다”, “서울 리전 인증서라고 A금융회사에 제출한 인증서가 이상하다” 등 내용이었다. 

‘MTCS 인증’이란, 싱가포르의 현행 보안 관리 표준(SPRING SS 584:2013)으로 싱가포르 ‘정보통신미디어개발청(IMDA)’ 주관으로 인증을 부여한다. 

현재 AWS코리아는  자사의 웹사이트(https://aws.amazon.com/ko/compliance/aws-multitiered

-cloud-security-standard-certification/)에 MTCS 인증을 안내하고 있다. <그림1 ‘AWS 한국 인터넷 사이트에서 소개하는 인증서 안내 화면’ 참조>

   
▲ 그림1 ‘AWS 한국 인터넷 사이트에서 소개하는 인증서 안내 화면’(출처 : AWS 인증서 안내화면 갈무리)

이 사이트에서 AWS는 “Amazon Web Services(AWS)는 싱가포르 멀티 티어 클라우드 보안 표준(MTCS SS 584) 레벨 3(CSP) 인증을 획득한 첫 번째 글로벌 클라우드 서비스 공급업체입니다”라고 소개하고 있다. 

AWS 사이트 내 ‘MTCS 인증’(그림1 화면 붉은색 박스)을 클릭하면, AWS에서 밝힌 대로 ‘MTCS 티어 3[싱가포르] 멀티 티어 클라우드 보안 표준’ 관련 PDF 파일을 다운로드 받아 관련 내용을 확인할 수 있다. <그림2 ‘AWS 한국 사이트 내에서 안내하는 싱가포르 인증서 내용’ 참조>

   
▲ 그림2 ‘AWS 한국 사이트 내에서 안내하는 싱가포르 인증서 일부 내용’(출처 : AWS 인증서 안내화면 갈무리)

이어 ‘AWS 규정 준수 프로그램’ 사이트(https://aws.amazon.com/ko/compliance/programs/)에서는 ▲FISC[일본] 금융 산업 정보 시스템 ▲IRAP[호주] 호주 보안 표준 ▲K-ISMS[한국] 한국 정보 보안 ▲MTCS 티어 3[싱가포르] 멀티 티어 클라우드 보안 표준 등을 안내하고 있다. <그림3 ‘AWS 한국 사이트 내 MTCS 인증 안내 화면(2019년 8월 25일 현재)’ 참조>

   
▲ 그림3 ‘AWS 한국 사이트 내 MTCS 인증 안내 화면.(출처 : AWS 인증서 안내화면 갈무리)

지난 21, 23일 이틀에 걸쳐 AWS코리아는 공식 입장을 통해 “이 인증서에 쓰여 있는 [싱가포르]는 인증을 주는 기관이 싱가포르에 있다는 의미”라고 밝혔다.  

덧붙여 AWS코리아는 서울 리전에 대한 ‘MTCS 인증서’가 셀프서비스 ‘AWS 아티팩트(Artifact) https://docs.aws.amazon.com/ko_kr/artifact/latest/ug/getting-started.html’를 통해 확인할 수 있다고 안내했다. <그림4 ‘AWS가 MTCS 서울 리전 인증이라고 해명한 화면’ 참조>

   
▲ 그림4 ‘AWS가 MTCS 서울 리전 인증이라고 해명한 화면’.(출처 : AWS 코리아 제공)

취재과정에서 확인한 ‘AWS 아티팩트’는, AWS와 계약에 관련돼 있거나, 구독회원에게 서비스하는 사이트라는 게 업계 설명이다. 

‘AWS 아티팩트’ 해석을 맡긴 업계 한 전문가는 “AWS가 밝힌 아티팩트 사이트는 IAM 인증 등을 거쳐야 하는 복잡한 구조로 보인다. 일반인이 손쉽게 들어가서 확인하기는 어렵다”며 “특히, AWS가 아티팩트에서 밝힌 ‘MTCS 인증 서울 리전’ 내용은 ‘인증서’라기 보다는, 아티팩트에 로그인한 사용자들에게 MTCS 서울 리전 인증에 대해 설명을 하는 정도로 해석된다”고 밝혔다.  

이 부분에서 ‘AWS 서울리전에 대한 MTCS 인증 진위여부’ 의혹이 일고 있다. 

AWS코리아가 밝힌 대로, 인증서 내용을 ‘AWS 아티팩트’에서 확인할 수 있다고 해도, <그림2> 내용의 싱가포르 리전 인증과 같은 손쉬운 검색은 아니라는 점이다. 

“a) Compute Services at
5 Locations in South-West Singapore
3 Locations in South-East Singapore

b) Storage Services at
5 Locations in South-West Singapore
3 Locations in South-East Singapore”

여타 클라우드 서비스 사업자들의 경우, ‘인증서’는 웹사이트에서 손쉽게 볼 수 있도록 공개하고 있다. <그림5 ‘구글, IBM, 마이크로소프트 인증서 확인 가능 사이트’ 참조>

구글
http://services.google.com/fh/files/misc/gcp_mtcs_certificate_spr2018

_revised_wodisclosure_form.pdf?hl=ko

IBM
https://www.ibm.com/downloads/cas/KPEWPWRP

마이크로소프트 
https://servicetrust.microsoft.com/ViewPage/MSComplianceGuideV3?command=Download&downloadType=Document&downloadId

=d7de7266-36ca-4c11-a1c9-cfe721ff2bd9&tab=7027ead0-3d6b-11e9-b9e1-290b1eb4cdeb&docTab=7027ead0-3d6b-11e9-b9e1-290b1eb4cdeb_GRC_Assessment_Reports

▲그림5 ‘구글, IBM, 마이크로소프트 인증서 확인 가능 사이트’(출처 : 각사 조사)

물론 AWS도 여타 인증에 대해 자사 웹사이트에서 손쉽게 볼수 있도록 서비스하고 있지만, 유독 ‘MTCS 인증 서울 리전’에 대한 인증서 내용에 대해서는 아티팩트를 통한 ‘회원가입, 로그인 등’ 불편하게 돼 있다. 

AWS코리아 주장도 있는데다, 글로벌 ‘인증서’가 한국에 도착하는 시간적인 차이(?)도 있을 수 있다는 등 일부의 여론이 있어 단순 누락일 수 있다는 선에서 취재가 마무리 되는 듯 했다, 

◆AWS코리아, A금융회사에 “8 Location in South Korea” 인증서 제출, 이건 뭐? = 반전은 여기서 시작됐다. 

AWS가 자사 사이트에 공개하고 있는 ‘MTCS 티어 3[싱가포르] 멀티 티어 클라우드 보안 표준’과 같은 인증서를 A금융회사에 제출한 것. 

BI코리아가 입수한 자료에 따르면, AWS코리아는 싱가포르 인증과 같은 형식의 인증서가 제출된 것으로 확인됐다. <그림6 ‘AWS가 A금융회사에 제출한 것으로 추정되는 MTCS 인증서 내용 및 화면’ 참조>

   
▲ 그림6-1 ‘AWS가 A금융회사에 제출한 것으로 추정되는 MTCS 인증서 내용 및 화면’.(출처 : AWS코리아가 A금융회사에 제출한 것으로 추정되는 자료 일부 발췌)
   
▲ 그림6-2 ‘AWS가 A금융회사에 제출한 것으로 추정되는 MTCS 인증서 내용 및 화면’.(출처 : AWS코리아가 A금융회사에 제출한 것으로 추정되는 자료 일부 발췌)

<그림6>의 주요 내용을 확인해 보면, 

<그림6-1>
a) Compute Services at
8 Locations in South Korea
 
b) Storage Services at
8 Locations in South Korea

<그림6-2>
Registration Number : MTCS/R65/0308
Registration Date : 08 Apr 2019
Expiry Date : 20 Sep 2020
Amendment Date : 

라고 표기돼 있다. 

그런데, AWS코리아가 A금융회사에 제출한 이 ‘MTCS 인증 서울리전’ 내용에 이상한점이 발견된다. 

우선, 싱가포르 인증서와 같은 ‘Registration Number:MTCS/R65/0308’과 같은 번호를 쓰고 있다는 점 그리고 ‘만료 날짜(Expiry Date)’ 표기가 일반적이지 않다는 점이다. 

‘레지스트레이션 넘버(Registration Number)’는 일종의 등록번호다. <그림2>싱가포르 인증서에서 볼수 있듯이, 일종의 고유 번호인 셈이다. 

‘MTCS 서울 리전’이 같은 번호를 사용할 수 있는지에 대해 의구심이 드는 대목이다. 

AWS코리아는 해명 자료를 통해 “서울 리전의 인증번호와 싱가포르 리전의 인증번호는 동일합니다. 그 이유는 서울 리전에 대한 MTCS 인증은 기존 싱가포르 리전에 대한 MTCS 인증 범위를 서울 리전으로 확장하면서 받았기 때문입니다”라고 밝혔다. 

이 해명에 따르면, 2가지 해석이 가능하다는 게 전문가들의 설명이다. 

AWS코리아 해명대로라면, <그림3>과 같이 싱가포르 인증 내용에 ‘8 Locations in South Korea’가 추가, 적용될 수 있다는 것이다. 

예를 들어(아래 파란색 글씨)
“a) Compute Services at
5 Locations in South-West Singapore
3 Locations in South-East Singapore
8 Locations in South Korea

b) Storage Services at
5 Locations in South-West Singapore
3 Locations in South-East Singapore”
8 Locations in South Korea

같이 인증서를 재교부 받거나, ‘수정 날짜(Amendment Date)’ 기간에 갱신할 수 있었다는 해석이 가능하다. 

실제로, AWS의 ‘MTCS 싱가포르 인증서’의 현재 ‘Amendment Date’는 2019년 8월 9일로 돼 있다. 

AWS 코리아가 국내 주요 언론에 ‘서울 리전에 대해 MTCS 인증을 획득했다’고 공식화한 시기가 4월경이다. 

<그림2>에 따르면, ‘싱가포르 리전 인증’이 지난 8월 9일 인증서의 일부 내용이 갱신됐다는 설명이 가능한데, 현재 AWS 한국 사이트에 제공중인 싱가포르 인증서에는 갱신 후에도 ‘MTCS 인증 서울 리전’ 내용이 보이지 않는다. 

논란은 구글, IBM, 마이크로소프트 등 클라우드 서비스 사업자들의 인증을 아무리 살펴봐도 ‘Locations’이 4840.56km(약 3007.79마일) 차이가 나는 ‘싱가포르 리전’에 ‘서울 리전’을 확장하는 경우는 없다는 점이다. 

구글의 MTCS  인증(http://services.google.com/fh/files/misc/gcp_mtcs_certificate_spr2018

_revised_wodisclosure_form.pdf?hl=ko)을 살펴보면, AWS와 같은 싱가포르, 일본 도쿄 등 인증을 모두 공개하고 있다. 

다음은 ‘만료 날짜(Expiry Date)’ 논란.

<그림6>과 같이 AWS코리아가 A금융회사에 제출한 것으로 추정되는 ‘MTCS 인증 서울 리전’ 인증서의 ‘만료 날짜(Expiry Date)’는 2020년 9월로 표기돼 있다. 

그런데, <그림6>의 ‘만료 날짜(Expiry Date)’ 위쪽 ‘등록 날짜(Registration Date)’는 2019년 4월로 나타나 있다.

보안업계 한 전문가는 “MTCS 인증은 통상 1년, 2년, 3년을 인증 유효기간으로 한다. AWS가 밝힌 MTCS 싱가포르 인증을 보면 3년이 기간이다. 그런데 그림6를 보면, 약 1년 6개월 가량이 인증 유효 기간으로 보여지고 있다. ‘6개월 단위’가 표기되는 경우는 흔하지 않은 사례”라고 조언했다. 

덧붙여 싱가포르 ISC에서 AWS에 제공한 인증서가 같은 등록번호에 서로 다른 ‘Location’이 제공된 2개의 인증의 ‘Expiry Date’가 같게 표기돼 있다. 

정리하면, MTCS 싱가포르 인증 등록일시(Registration Date : 21 Sep 2017)와 서울 리전 등록일시(Registration Date : 08 Apr 2019)는 다른데, 만료일시(Expiry Date : 20 Sep 2020)는 같게 표기돼 있다는 것이다. 

AWS 주장대로, 싱가포르 리전을 서울로 확장한 것으로 설명해 ‘만료일시’를 해석할 수 있지만, ▲등록 날짜가 다른 인증에 ▲만료날짜는 같은데 ▲왜 ‘수정 날짜(Amendment Date)’를 활용하지 않았는지에 대해서는 논란이 되고 있다.  

AWS코리아는 A금융회사에 전달한 것으로 추정되는 이같은 인증서가 존재하는지 묻는 질의에 “사실이다”고 밝혀 왔다. 

◆“MTCS 서울 리전 인증이 중요한 이유는” = 이 논란의 핵심은, 지난 4월부터 AWS가 서울리전에 대한 MTCS 인증을 받았다고 공식화한데 있다. 

2019년 1월 1일 제정한 ‘금융분야 클라우드 컴퓨팅서비스 이용 가이드’에 따르면, “국내외 클라우드 보안인증을 취득·유지하고 있는 클라우드 서비스 제공자의 해당 서비스에 대해 ‘기본 보호조치’ 항목 평가 생략이 가능하다”고 규정하고 있다. 

즉, ‘MTCS 서울 리전’ 인증 여부는, ‘109개에 달하는 기본 보호조치 평가’ 생략이 가능한 기준이 되느냐 하는 중요한 의미를 갖는다. 

금융회사가 클라우드 서비스 사업자를 선정하는 과정에서 통과의례로 치러지는 ‘안정성 평가’에서 ‘기본보호조치’를 생략할 수 있다는 점은, 인적·물적인 부분에서 경쟁사 대비 상당히 우위에 있을 수 있다. 

클라우드 서비스 사업자·금융회사·금융보안원 등 ▲적지 않은 인력이 투입되고 ▲막대한 서류가 오가며 ▲경우에 따라 컴퓨팅 시스템에 대한 직접적인 검증작업도 거치기 때문이다. 

AWS가 주장하는대로, 서울 리전에 대해 인증을 받았다고 한다면 공식 사이트에 관련 인증서 등을 공개하면 된다. 

또 AWS 주장대로, 싱가포르 인증이 서울 리전으로 확장됐다고 할 경우 ‘MTCS 티어 3[싱가포르] 멀티 티어 클라우드 보안 표준’ 화면에 그 설명도 공개하면 논란을 잠재울 수 있다. 

덧붙여 A금융회사에 제출한 것처럼, 서울 리전에 대한 MTCS의 인증서가 있다면 ‘싱가포르’ 인증서와 같이 누구나 볼 수 있도록 인터넷에 게재하면 그만이다. 

의혹을 해소할 수 있고 금융회사-AWS-금융보안원 등 한국내 금융권의 혼란을 예방할 수 있는 당사자는 AWS코리아다. 

<김동기 기자>kdk@bikorea.net

< 저작권자 © BI KOREA 무단전재 및 재배포금지 >
김동기 기자의 다른기사 보기  
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
트위터 페이스북 미투데이 요즘 네이버 구글 msn 뒤로가기 위로가기
이 기사에 대한 댓글 이야기 (0)
자동등록방지용 코드를 입력하세요!   
확인
- 200자까지 쓰실 수 있습니다. (현재 0 byte / 최대 400byte)
- 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
이 기사에 대한 댓글 이야기 (0)
1
OK저축은행 차세대 IT개발, 백지화 수순 가나
2
<초점>은행권 창구 업무 혁신 가속화되나
3
티맥스오에스-틸론, ‘PC 없는 업무 환경’ 협력
4
LG히다찌, KEB하나은행 ‘AML’ 개선 구축
5
KT-코어라인소프트, MOU
6
LG유플러스, 고효율 ‘LTE-R’ 기술 검증
7
LG U+, “5년간 2조 6000억 투자” 발표
8
‘U+MVNO 파트너스’, 2200여개 판매대 설치
9
KT-금호고속, ‘VR 서비스’ 협력
10
삼성엔지니어링, AWS 클라우드 도입
회사소개기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부
서울시 영등포구 여의대방로65길 13, 904(여의도동 유창빌딩)| Tel: 02-785-5108 | Fax 02-785-5109
이메일주소무단수집거부 | (주)비아이코리아닷넷 | 대표이사 : 김동기 | 사업자 등록번호:107-87-99085 | 개인정보관리책임자 : 박시현
등록번호 : 서울 아01269 | 등록일자 : 신고일자 2008.10.22 | 발행인:김동기 | 발행일자:2010.06.01 | 편집인 : 박시현 | 청소년보호책임자 : 박시현
Copyright © 2012 BI KOREA. All rights reserved. mail to webmaster@bikorea.net