암호화는 클라우드 보안에서 가장 자주 입에 오르는 단어지만, 실제로 시스템이 무너지는 지점은 거의 항상 "암호화 자체"가 아니라 "키를 누가, 어떻게, 어디서 다루느냐"다. AES-256 자체는 양자 컴퓨터가 등장해도 향후 수십 년간 깨지지 않을 것으로 보이는 반면, AWS의 보안 사고 사례를 보면 90% 이상이 "키와 자격 증명이 잘못 노출"되어 발생한다. 2017년 Verizon Wireless의 S3 버킷 노출, 2019년 Capital One의 SSRF + IAM Role 탈취, 2022년 Uber의 MFA bombing 모두 핵심은 "암호화 알고리즘이 깨졌다"가 아니라 "키 관리 체계가 무너졌다"였다.
이런 배경에서 AWS는 2014년 11월 re:Invent에서 KMS(Key Management Service) 를 출시했다. 그 이전에는 각 서비스가 자체 암호화를 했고 키는 사용자가 직접 관리해야 했는데, 운영 부담이 커서 실제로는 많은 회사가 암호화를 "안 하거나" "켜둔 척하고 키를 평문으로 보관"하는 경우가 많았다. KMS는 이 문제를 "관리형 키 + 호출당 과금 + 표준 SDK 통합"으로 풀었고, 이후 거의 모든 AWS 서비스(S3, EBS, RDS, DynamoDB, Lambda, Secrets Manager 등)가 KMS와 통합되면서 사실상 AWS 보안의 뿌리가 됐다