[필라델피아(미국)=김미정 기자] "강력한 보안이 제품 개발 속도를 늦춘다는 오해가 있습니다. 사실 그렇지 않습니다. 튼튼한 보안 위에서 더 빠르고 우수한 제품 개발이 가능합니다. 우리는 기술 개발 속도와 규모를 유지하면서도 보안까지 강화할 것입니다. 앞으로 전 제품 설계에 보안을 최우선시하는 '시큐리티 퍼스트' 전략을 적용하겠습니다."

에이미 허조그 아마존웹서비스(AWS) 신임 부사장 겸 최고정보보안책임자(CISO)는 18일까지 미국 필라델피아에서 열린 연례 보안 컨퍼런스 'AWS 리인포스 2025'에서 기자단을 만나 개발 전략을 이같이 밝혔다.

허조그 CISO는 이달 초 AWS 부사장 겸 CISO로 임명됐다. 그는 미국 국방 기술 싱크탱크 '마이터(MITRE)'에서 자동화 기반 보안 기술 연구로 커리어를 시작했다. 이후 아마존에서 프라임 비디오를 비롯한 알렉사, 위성 인터넷 '카이퍼' 프로젝트 등 여러 사업군 보안 체계를 설계했다. 이후 보안뿐 아니라 산업·제품 개발 쪽에서도 경력을 쌓으며 전문성을 넓혔다. 이에 기술과 사업을 모두 경험한 '멀티플레이어'로 평가받고 있다.

허조그 CISO는 "보안은 기술 혁신 속도를 늦추지 않는다"며 "강력한 보안 위에서 더 빠른 제품 개발이 가능하기 때문"이라고 강조했다. 그러면서 "보통 보안 업계에 개발 속도와 강력한 보안 사이에서 하나에만 주력해야 한다는 이분법이 있다"며 "우리는 기술 개발 속도와 규모를 유지하면서도 보안 강화까지 가져갈 것"이라고 밝혔다.

그는 빅테크 CISO 역할 중 가장 큰 도전 과제로 '규모의 차이'를 꼽았다. 허조그 CISO는 "고객이 생성형 AI로 인해 개발 생산성을 기하급수적으로 높일 수 있는 시대"라며 "이에 발맞춰 우리는 보안 대응 역시 획기적으로 늘려야 한다는 부담이 있다"고 말했다.

그러면서 "배포되는 코드양이 많아질수록 대응 체계 또한 민첩하게 움직여야 한다"며 "우리처럼 대규모 시스템을 운영하는 기업뿐 아니라 일반 기업도 비슷한 수준의 보안 구축 속도와 규모에 도달하게 될 것"이라고 내다봤다. 그러면서 "보안 전략을 사전에 설계하는 데 그치지 않고 실시간 조정 가능한 구조를 갖춰야 한다"고 당부했다.

허조그 CISO는 AI 시대 기업 보안 필수 요소로 신원 및 접근관리(IAM)를 꼽았다.

그는 "IAM이 제대로 갖춰지지 않으면 아무리 뛰어난 기술을 도입해도 전체 보안이 무너진다"고 지적했다. 그러면서 "글로벌 인프라 환경에서는 누가, 언제, 어떤 자원에 접근할 수 있는지 세밀하게 관리해야 한다"고 덧붙였다.

허조그는 에이전틱 AI 시대에 가까워질수록 IAM 중요성은 더 커질 것이라고 내다봤다. 이에 3~5년 후 에이전틱 AI 환경에서도 IAM이 자연스럽게 작동하게 만드는 것이 AWS 주요 과제라고 강조했다.

그는 "과거 단일 애플리케이션에서 마이크로서비스로 가는 전환전처럼 에이전트 도입 역시 IAM 기능 확대를 불러올 것"이라고 예측했다. 그러면서 "우리가 강력한 IAM 체계 구축 준비를 지금부터 시작하는 이유"라고 덧붙였다 .

실제 AWS는 이번 행사에서 IAM 솔루션 업데이트 내용을 발표했다. 'IAM 액세스 애널라이저'에 내부 접근 분석 기능을 추가했다. 이를 통해 기업 보안팀은 조직 내 사용자와 역할이 S3, 다이나모DB, RDS 등 주요 리소스에 어떤 접근 권한을 가졌는지 한 번에 확인할 수 있게 됐다.

이번 기능은 서비스 제어 정책(SCP), 리소스 정책(RCP), 아이덴티티 기반 정책을 자동 추론 방식으로 통합 분석한다. 분석 결과는 대시보드로 시각화된다. 퍼블릭 접근·외부 접근·내부 접근으로 분류돼 보안 상황을 기존보다 쉽게 파악할 수 있다.

그는 "최근 고객이 가장 많이 요구하는 것은 '보안 솔루션을 간단하게 만들어달라'는 것"이라며 "보안 복잡성을 줄이면서도 고객에게 선택권을 더 제공한 것이 IAM 액세스 애널라이저 업데이트 핵심"이라고 강조했다.

허조그 CISO는 생성형 AI 확산에 따라 보안 프레임워크 재구성이 필요하다고 강조했다.

그는 "생성형 AI가 로그 분석 등에서 개발 생산성을 키울 수 있지만 새로운 보안 위협도 불러온다"며 "보안과 개발 간 속도·안정성 균형이 최우선 과제"라고 주장했다.

허조그 CISO는 "고객이 생성형 AI·에이전틱 솔루션을 안전하게 개발할 수 있도록 가드레일과 도구, 설정 등을 제공해야 한다"고 강조했다. 이를 위해 단순한 기능 단위가 아니라 전체 인프라 관점에서 고객이 중요한 일에 집중할 수 있는 환경을 제공해야 한다고 주장했다.

이어 "고객이 전체 인프라 전반에서 빠르고 정확히 대응할 수 있도록 모든 제품에 이런 철학을 반영했다"며 "단순히 엔드포인트나 라우터 수준이 아니라 인프라 전반을 아우르는 보안 접근 방식"이라고 설명했다.

허조그 CISO는 "보안은 보안팀만의 문제가 아니라 전 조직 목표로 인식돼야 한다"며 "우리는 고객의 명확한 신뢰 기준을 만족시킬 수 있도록 고객 중심 설계를 이어갈 것"이라고 포부를 밝혔다.