[주식회사 ADK홀딩스] 복수의 AWS계정을 AWS Control Tower로 일원 관리
‘모든 사람에게 기쁨의 체험을.’을 사회적 존재 의의로 내걸어 ‘고객을 자본으로 생각하는 고객 체험 창조 회사’를 목표로 한 커뮤니케이션 서비스를 제공하고 있는 ADK그룹 지주회사의 ADK홀딩스는 산하에 ADK마케팅/솔루션즈, ADK크리에이티브원, ADK에모션즈 3사를 가지고 있으며 그룹 일체가 된 경영을 진행하고 있습니다. 2021년 3월에는 디지털&데이터 드리븐계 솔루션을 전문으로 하는 사업 브랜드인 ‘ADK CONNECT’를 시작하여 진화형 매스 마케팅, D2C(Direct to Consumer)형 마케팅, 고객 체험 디자인의 3가지 영역에서 전략적인 솔루션의 개발 및 제공을 개시했습니다.
종합 광고 회사로서 클라이언트의 다양한 정보를 취급하는 업무의 특징상, 동사에서 IT환경 보안 강화는 중요 과제 중 하나입니다. 현재 전사에서 여러 AWS 계정을 이용하고 있으며 이들을 공통 보안정책으로 관리하는 공수가 늘고 있었습니다. 또한 최신 보안 위협에 신속하게 대응할 필요도 있었습니다. 이에 모든 AWS 계정을 집약하고 거버넌스를 강화하기 위해 AWS 멀티 계정 환경을 관리하는 AWS Control Tower를 채택하고 클래스메소드를 파트너로 선정해 도입을 진행했습니다. AWS Control Tower에서 제공되는 AWS Organizations를 통한 계정 연계 및 AWS Single Sign-On(AWS SSO)을 통해 보안 수준과 통제 강화가 실현되고 있습니다. AWS Control Tower의 도입 경위와 그 효과에 대해서 IT부 정보보안실의 Imai님과 Suzuki님에게 들어보았습니다.
다수의 AWS 계정이 존재하여 보안 정책 준수가 과제로
광고 업무부터 컨텐츠 비즈니스까지 폭넓은 사업을 전개하는 ADK그룹은 최근 사이버 공격이 증가하여 2021년 1월에 ADK홀딩스의 IT부내에 정보 보안실을 신설했습니다. 정보 보안실은 보안에 관한 일상의 운용, 사고 대응, ISMS 인증 활동 등을 주요 미션으로 하고 있습니다.
‘지금까지도 IT부내의 섹션의 일부로서 ISMS의 인증 활동 등은 계속하고 있어, 일정한 보안 대책은 실시하고 있었지만, 한층 더 사이버 공격에 대한 대응이나 보안 정책의 재 검토등에 본격적으로 임하기 위해, 전문 부서로서 정보 보안실을 설립했습니다’(Imai님)
동사는 광고회사로서 클라이언트의 미발표 신제품 정보, EC 사이트의 구매 데이터, 개인정보를 포함한 POS 데이터 등의 중요 정보를 다루고 있습니다. CF, 동영상, 포스터, 이벤트, 거리 광고 등의 아웃풋 정보도 다수 보유하고 있어, 이것들이 공개일 보다 전에 외부로 누출되는 것은 허용되지 않습니다. 새로운 사업 브랜드 ‘ADK CONNECT’를 시작해 디지털 마케팅이나 디지털 비즈니스를 가속시켜 가는데 있어서도 보안의 강화는 필수였습니다.
이러한 배경 속에서 과제가 되었던 것이 AWS 계정의 관리였습니다. 회사는 2017년경부터 시스템 클라우드 시프트를 진행해 현재는 복잡한 앱 보수가 필요한 레거시 시스템을 제외하고 3분의 2 이상의 시스템이 AWS상에서 가동되고 있습니다. 그러나 AWS 계정이 다수 존재하고 있어 공통 보안 정책으로 관리하기 위한 공수가 나날이 늘고 있었습니다. 그래서 IT부에서 모든 AWS 계정을 집약하고 거버넌스를 강화하기로 했습니다.
‘기존에 AWS 계정 로그인에는 요소 인증을 사용하도록 하고 있었지만, 최근의 보안 리스크가 높아지고 있는 상황을 고려하면 한층 더 대책의 필요성을 느끼고 있었습니다. 또, AWS 계정은 인사 시스템이나 Azure Active Directory(Azure AD)와도 연결되어 있지 않고, 유저 어카운트 관리는 수작업으로 되어 있어 공수도 들었고, 리얼타임에 액세스권을 반영할 수 없는 것 등이 과제가 되고 있었습니다. 게다가 당사의 경우는 취급하는 데이터의 특징상 AWS의 도쿄 지역 이외는 사용하지 않기 때문에, 만일 부정 액세스 되었을 경우의 마이닝 피해등을 막기 위해서라도 해외 리전 사용을 제한하고 싶다고 생각하고 있었습니다’(Suzuki님)
여러 계정을 일원 관리하는 AWS Control Tower 채택
상기 과제 해결을 목표로 한 동사는 지금까지 AWS의 청구 대행의 지원을 3년 이상에 걸쳐 담당했던 클래스메소드에 대응책을 상담한 결과, AWS Control Tower를 제안 받았습니다. AWS Control Tower는 여러 AWS 계정을 셋업 및 관리하기 위한 매니지드 서비스입니다.계정 일원 관리 서비스인 AWS Organizations나 싱글 사인온 AWS SSO와 연계해 가드레일이라고 부르는 보호 기능으로 설정한 보안 규칙을 AWS 계정에 적용할 수 있습니다.
‘멀티 계정을 관리하는 도구는 더 있지만 AWS 계정에 특화된다면 AWS 서비스를 사용하는 게 최선이라고 생각했습니다. AWS Control Tower는 큰 비용 없이 계정 제어가 가능하며 AWS Organizations나 AWS SSO를 이용할 수 있다는 점에 매력을 느껴 채용을 결정했습니다. 클래스메소드는 과거의 Amazon EC2의 구축 실적이나 현재의 청구 대행의 지원 실적, AWS Control Tower에 관한 설계 구축 지식의 풍부함, 기술 블로그(DevelopersIO)의 정보 발신량을 평가해 지원을 부탁했습니다’(Suzuki님)
2021년 9월 AWS Control Tower 채택 결정 이후 2021년 12월부터 2022년 2월까지 IT부가 관리하고 있는 AWS 계정 1개와 현장 업무 부문이 관리하고 있는 마케팅 시스템, 데이터 분석 시스템 등 AWS 계정 4개 등 총 5개 계정을 AWS Control Tower로 이행했습니다.
제어 항목을 설정하는 가드레일의 설계에서는 AWS가 제공하는 가드레일을 통해 도쿄 리전 이외의 접근 제어 등을 실시하는 것 외에 서버나 스토리지의 암호화 등에 관한 ADK의 독자적인 가드레일을 작성하여 조합하였습니다.
AWS CloudFormation을 활용함으로써 이행하는 5개의 AWS 계정에 단기간에 확실하게 전개해 나갔습니다.
AWS SSO 설정에서는 Azure AD와의 연계를 실현하고 독자적인 접근 권한도 설계했습니다. AWS SSO 접근 권한은 현행 폴리시를 그대로 했지만 클래스메소드의 제안을 받아 관리자 권한뿐만 아니라 읽기만 하는 권한도 새로 마련하여 로그를 보는 것 뿐이라면 읽기만 권한으로 로그인함으로써 부주의한 운영 오류를 없애도록 고안하였습니다.
도입 기간에는 코로나로 온라인으로 프로젝트가 진행 됐지만 프로젝트 관리 툴을 활용하면서 큰 문제 없이 원활하게 진행됐다고 합니다.
‘AWS Control Tower는 새롭고 틈새 서비스이고, 노하우가 없는 부분도 있어 재작업이 없는 것은 아니었지만 개발팀의 리커버리도 원활했습니다. 정례 미팅에서의 인풋은 물론이고, 프로젝트의 기술 포인트가 클래스메소드의 기술 블로그에 게재되어 가는 과정에서, 우리도 이해를 깊게 할 수 있었습니다’(Suzuki님)
AWS 계정 로그인을 싱글 사인온을 통해 일원화
AWS Control Tower 도입으로 이행된 AWS 계정에 대해서는 보안 수준 향상과 거버넌스 강화가 이뤄졌습니다.
‘특히 큰 효과는 뿔뿔이 흩어졌던 AWS 계정 로그인이 SSO에 의해 일원화되면서 관리가 철저해졌다는 점입니다. 보안 수준이 향상된 것은 물론 AWS SSO를 경유해 여러 번 로그인을 반복할 필요가 없어졌고 Authenticator 앱도 불필요해 사용자 편의성도 향상되었습니다. AWS 계정을 새로 추가할 때도 AWS Control Tower를 활용하면 기존보다 적은 공수로 끝났고 전달도 빨라졌습니다. 사용자 관리도 Azure AD와의 자동 동기화가 실현됨으로써 사용자의 삭제 누락에 따른 부정 액세스 리스크도 없어졌습니다. 유저를 신규로 추가할 때도 Azure AD를 갱신하는 것만으로 끝나 관리자의 부하도 경감되고 있습니다’(Suzuki님)
이번 시책은 IT부의 정보보안실로서도 보안 강화의 한 걸음으로서 어필할 수 있었던 점이 크다고 합니다.
‘AWS WAF 도입 등 그동안 클라우드 보안 강화를 위해 노력했지만 이번 프로젝트로 IT부 전체가 클라우드 보안의 중요성을 다시 한번 인식하게 됐습니다. 한층 더 통제를 받을 수 있게 된 것은 주위에서도 평가를 해 주고 있습니다’(Imai님)
현장 부문 및 그룹사에서 관리하는 AWS 계정에 수평 전개
앞으로는 특정 안건을 위해 개별 계약한 AWS 계정이나 클래스메소드와 라이센스 계약하지 않은 AWS 계정에 대해서도 AWS Control Tower에 의한 관리를 위해 수평 전개해 나갈 계획입니다. 그룹사에서 신규 AWS 계정이 필요했을 때도 IT부에서 AWS Control Tower를 적용한 상태에서 지불하는 형식으로 운용을 시작했습니다.
또한 현재 AWS Control Tower 아래에서 관리하고 있는 AWS 계정에 대해서는 위협 감지 Amazon Guard Duty와 Alert 관리의 AWS Security Hub 등을 적용하고 있는데, 보안 향상을 위해 SOC/CSIRT를 설치하고 SIEM에서 수집한 로그로부터의 전조 분석 등 보다 프로 액티브한 보안 시책을 추진해 나가는 것이 새로운 도전입니다.
‘AWS 환경에 대해서는 보안부터 인프라까지 새로운 것에 폭넓게 도전해 나가기 때문에 클래스메소드에게는 앞으로도 AWS Control Tower와 같은 새로운 기술의 제안을 기대하고 있습니다.’(Suzuki님)
종합적인 체험 디자인으로 시프트하고 있는 광고 업계에서 새로운 부가가치의 제공을 목표로 하는 ADK 그룹에게 IT에 대한 비중은 더욱 커지고 있습니다. 클래스메소드는 계속해서 다양한 영역에서 지원해 나갈 것입니다.
클래스메소드코리아에 문의사항이 있으신 분들은
info@classmethod.kr 로 연락 주시면 빠른 시일 내 담당자가 회신 드릴 수 있도록 하겠습니다 !
