#1 “Shared Responsibility Model” 완전 정복

 

 

Shared Responsibility

클라우드 ‘편리함’ 뒤에 숨어 있던 책임의 회색지대를 털어낸다!

가끔 이런 질문, 들어본 적 있으실 거예요.

“AWS · Azure · GCP 같은 hyperscaler가 보안을 다 해주는데 굳이 우리가 뭘 더 챙겨야 하나요?” 정말 그럴까요? 🤔 2025년 현재 보고서들은 “클라우드 보안 실패의 90% 이상이 고객 영역에서 발생한다”고 경고합니다.

 

이번 글에서는

Shared Responsibility Model(공동 책임 모델)을 뼛속까지 파헤쳐 봅니다.

읽고 나면 “우리가 챙겨야 할 체크리스트”를 바로 뽑아낼 수 있을 거예요.

목차 바로가기 1. 모델의 탄생 배경과 핵심 구조 2. CSP vs 고객 – 세분화된 책임 구획 3. 실제 사고 사례 3選: 어느 구간이 터졌을까? 4. 대응 체계: 프레임워크·프로세스·기술 스택 5. 10분 점검 체크리스트 & 액션 플랜

1. 모델의 탄생 배경과 핵심 구조

1-1. 왜 ‘공동’인가?

클라우드는 ‘서비스로서의 모든 것(Everything-as-a-Service)’을 가능케 했지만

동시에 경계(Perimeter) 개념을 흐릿하게 만들었습니다.

그래서 CSP들은 일제히 Shared Responsibility Model이라는 명확한 표지판을 내걸었죠.

1-2. 최소공약수는 ‘데이터 보호’

모델은 단순합니다. CSP는 “of the cloud”를, 고객은 “in the cloud”를 지킨다.

• CSP 영역 – 인프라 하드웨어·가상화·물리 네트워크·기본 보안 툴 제공
• 고객 영역 – OS 패치·애플리케이션 보안·데이터 암호화·IAM·로깅·규제 준수

 

 

 

 

2. CSP vs 고객 – 세분화된 책임 구획

2-1. IaaS · PaaS · SaaS별 Matrix

보안 항목	IaaS	PaaS	SaaS
데이터 암호화	고객	공동	공동
OS 패치	고객	CSP	CSP
네트워크 방화벽	고객	고객	CSP
물리 서버 보안	CSP	CSP	CSP
규제·컴플라이언스	공동	공동	공동

2-2. 멀티·하이브리드 상황의 ‘책임 분열’

프로덕션은 GCP + 온프레, 백업은 AWS, Dev/Test는 Azure… 이렇게 퍼져 있다면?

책임 Matrix × N이 겹치며 ‘규제 준수 증빙’ 난이도가 기하급수로 상승합니다.

 

 

 

 

 

3. 실제 사고 사례 3選: 어느 구간이 터졌을까?

3-1. Capital One (2019) – WAF Misconfig & SSRF

AWS WAF 권한 오·설정 + 메타데이터 SSRF → 1억 건 개인정보 유출. WAF ACL과 IAM Role 관리는 고객 책임이었다는 사실이 판결로 확인됐습니다.

3-2. Football Australia (2024) – Public S3 & Plaintext Key

테스트 버킷 public-read + DB 크리덴셜 노출 → 팬·선수 개인정보 210만 건 유출.

Misconfiguration 100% 고객 책임.

3-3. Commvault Metallic (2025) – Zero-day CVE-2025-3928

백업 SaaS의 Zero-day로 공격자가 Microsoft 365 백업 데이터 접근.

공급사 결함 + 고객의 불필요한 Global Admin 토큰 유지가 피해 확산 요인.

 

 

 

 

 

4. 대응 체계: 프레임워크·프로세스·기술 스택

4-1. 거버넌스 프레임워크 3단계

1. Define – 책임 Matrix 문서화 (NIST 800-53·ISO 27017 매핑)
2. Enforce – CSPM 정책 템플릿 + Terraform Guardrail + 분기별 감사
3. Automate – Serverless Ops(Lambda/Functions)로 Misconfig 실시간 Fix

4-2. 핵심 기술 5종 스택

• CSPM – Prisma Cloud, Wiz, Microsoft Defender for Cloud
• CASB – Netskope, McAfee MVISION Cloud
• IAM Zero Trust – Okta CIEM, AWS IAM Access Analyzer
• CWPP – Aqua Security, Trend Micro Deep Security
• CNAPP – Lacework, Palo Alto CN-Series

4-3. DevSecOps에 녹이기

PR 단계에서 tfsec·kics 스캔 → 정책 위반 시 Build Fail → Slack 알림 → 개발자 Fix. 릴리즈 후에는 Runtime CWPP Sensor가 행위 기반 탐지를 담당합니다.

 

 

 

 

 

5. 10분 점검 체크리스트 & 액션 플랜

1. 서비스별 IaaS/PaaS/SaaS 비중 문서화 ✔
2. 책임 Matrix 최근 업데이트 날짜 확인 ✔
3. Root·Global Admin 계정 MFA·휴면화 ✔
4. Public-read 스토리지 실시간 차단 ✔
5. Secrets 전용 Vault 운영 ✔
6. 중앙 SIEM 로그 집계 ✔
7. CSPM High Severity 24h 내 조치 ✔
8. 데이터 Residency 옵션 확인 ✔
9. CI/CD 보안 테스트 내재화 ✔
10. Table-Top Exercise 반기 1회 ✔

✅ “내 책임 범위 점검 PDF” 무료 다운로드

 

---

본 글은 4부작 『클라우드 보안, 책임의 기술』 중 1편입니다.
다음 편 예고 | TOP 5 위협 시나리오—침해 사고는 이렇게 벌어진다!