클라우드를 처음 쓰는 사람이 가장 흔히 하는 오해가 있다. "AWS를 쓰면 보안도 AWS가 다 알아서 해주는 거 아니야?" 절반만 맞는 말이다. AWS와 고객은 보안과 운영의 책임을 명확히 나눠 진다. 오늘 배울 **공동 책임 모델(Shared Responsibility Model)**은 "어디까지가 AWS 몫이고 어디부터가 내 몫인가"를 정의하며, 시험에서 거의 반드시 나오는 핵심 개념이다.
공동 책임 모델은 이 한 문장으로 요약된다.
AWS는 "클라우드 자체(OF the cloud)"의 보안을, 고객은 "클라우드 안(IN the cloud)"의 보안을 책임진다.
쉽게 비유하면 임대 아파트와 같다. **건물주(AWS)**는 건물 골조, 전기 배선, 공동 현관 잠금 장치, 화재 경보기를 책임진다. **세입자(고객)**는 자기 집 문을 잘 잠그고, 누구에게 열쇠를 줄지 정하고, 집 안의 물건을 관리한다. 건물이 튼튼해도 세입자가 문을 열어 두면 도둑이 든다 — 그건 건물주 잘못이 아니다.
AWS는 서비스를 돌리는 기반 인프라를 책임진다. 고객이 손댈 수 없고, 손댈 필요도 없는 영역이다.
| AWS가 책임지는 것 | 설명 |
|---|---|
| 물리적 시설(데이터센터) | 건물 출입 통제, 경비, 화재·전력·냉방 |
| 하드웨어 | 서버, 스토리지, 네트워크 장비 |
| 가상화(하이퍼바이저) | 가상 서버를 돌리는 기반 소프트웨어 |
| 글로벌 네트워크 인프라 | 리전·AZ를 잇는 네트워크 |
한마디로 콘크리트 바닥부터 가상화 계층까지가 AWS의 영역이다.
고객은 AWS가 제공한 기반 위에 자기가 올려 놓고 설정하는 모든 것을 책임진다.
| 고객이 책임지는 것 | 설명 |
|---|---|
| 데이터 | 어떤 데이터를 둘지, 어떻게 분류·암호화할지 |
| IAM(사용자·권한) | 누구에게 무슨 권한을 줄지 |
| 게스트 OS 패치(EC2) | 가상 서버의 운영체제 보안 업데이트 |
| 네트워크/방화벽 설정 | 보안 그룹 등 접근 규칙 |
| 애플리케이션 보안 | 직접 만든 앱 코드의 취약점 |
💡 관련 이론: "데이터, 그리고 누가 접근할 수 있는지(IAM)"는 어떤 서비스를 쓰든 항상 고객 책임이다. AWS가 인프라를 아무리 안전하게 만들어도, 고객이 비밀번호를 약하게 설정하거나 데이터를 아무에게나 공개하면 사고가 난다. 이 두 가지는 절대 AWS가 대신해 주지 않는다.
여기가 핵심이다. 공동 책임 모델의 경계선은 고정된 게 아니라, 어떤 서비스를 쓰느냐에 따라 위아래로 움직인다. 더 "관리형(managed)"인 서비스를 쓸수록 고객 책임은 줄어든다.
고객 책임 많음 ↑ AWS 책임 많음 ↑
┌──────────────────────────────────────┐
│ EC2 (가상 서버, IaaS) │ OS 패치·앱·설정 모두 고객
│ RDS (관리형 데이터베이스) │ DB 엔진 패치는 AWS, 데이터·권한은 고객
│ S3 / Lambda (완전 관리형) │ 데이터 분류·권한만 고객, 나머지 AWS
└──────────────────────────────────────┘
고객 책임 적음 ↓ AWS 책임 적음 ↓
선택지를 클릭하면 정답·해설이 펼쳐집니다.
문제 1
공동 책임 모델에서 AWS가 책임지는 영역을 가장 잘 설명한 것은?
문제 2
EC2 가상 서버를 운영할 때 고객의 책임에 해당하는 것은?
문제 3
어떤 AWS 서비스를 쓰든 항상 고객의 책임으로 남는 것은?
문제 4
같은 작업을 EC2에서 Lambda 같은 완전 관리형 서비스로 옮기면 책임 경계는 어떻게 변하는가?
문제 5
다음 중 AWS가 아니라 고객이 책임지는 항목은?
💡 관련 이론: "서비스의 추상화 수준이 올라갈수록 고객 책임은 위로 좁아진다"는 원칙으로 기억하면 모든 문제가 풀린다. 같은 일을 EC2 → RDS → Lambda로 옮길수록 고객이 신경 쓸 부분이 줄어든다. 단, 데이터와 권한(IAM)만큼은 어느 단계에서도 고객 몫으로 남는다.
시험에서 헷갈리게 만드는 보기들을 미리 정리해 두자.
| 항목 | 누구 책임? | 이유 |
|---|---|---|
| 데이터센터 출입 통제 | AWS | 물리적 시설 보안 |
| 하이퍼바이저(가상화) 보안 | AWS | 기반 인프라 |
| EC2 게스트 OS 패치 | 고객 | 고객이 올린 OS |
| 보안 그룹(방화벽) 설정 | 고객 | 고객이 설정하는 네트워크 규칙 |
| 데이터 암호화 정책 | 고객 | 항상 고객 책임 |
| IAM 사용자·권한 부여 | 고객 | 항상 고객 책임 |
오늘의 그림은 단순하지만 강력하다. AWS는 "클라우드 자체(OF)"를, 고객은 "클라우드 안(IN)"을 책임진다. 콘크리트 바닥부터 가상화까지는 AWS, 그 위의 데이터·권한·OS·앱은 고객이다. 그리고 그 경계선은 EC2 → RDS → Lambda처럼 더 관리형 서비스로 갈수록 위로 올라가지만, 데이터와 IAM 권한만큼은 언제나 고객 몫이다. 다음 글에서는 AWS가 "좋은 클라우드 설계란 무엇인가"를 정리한 Well-Architected Framework의 6대 기둥을 본다.