책임공유모델(SRM, Shared Responsibility Model)

개요

책임공유모델(Shared Responsibility Model, SRM)은 클라우드 컴퓨팅 환경에서 클라우드 제공자(Cloud Provider)와 클라우드 사용자(고객) 간의 보안 및 규정 준수 책임이 어떻게 나뉘는지를 정의한 개념입니다. 이 모델은 ‘모든 보안 책임은 클라우드 제공자가 진다’는 오해를 바로잡고, 클라우드 보안 사고를 예방하기 위한 핵심 전략으로 활용됩니다. AWS, Azure, GCP 등 모든 주요 CSP는 SRM을 공식적으로 적용하고 있습니다.

---

1. 개념 및 정의

항목	설명
정의	클라우드 환경에서 보안과 운영 책임을 클라우드 제공자와 사용자 간에 명확히 분리한 보안 책임 모델
목적	역할·책임의 불분명으로 인한 보안 사고 방지, 규정 준수 명확화
적용 대상	IaaS, PaaS, SaaS 전 범위의 클라우드 서비스 제공/이용 관계

---

2. SRM의 기본 원칙

주체	책임 영역
클라우드 제공자 (CSP)	인프라 보안, 물리적 서버, 스토리지, 네트워크, 하이퍼바이저 등
클라우드 사용자	OS, 애플리케이션, 데이터, 계정 접근 권한, 네트워크 설정 등

※ 단, 서비스 유형(IaaS, PaaS, SaaS)에 따라 책임 범위는 달라짐

---

3. 서비스 유형별 책임 구분

구분	CSP 책임	고객 책임
IaaS	물리 인프라, 하이퍼바이저, 기본 네트워크	OS 패치, 애플리케이션, 데이터, IAM 설정
PaaS	IaaS + 런타임, 미들웨어, 플랫폼 보안	앱 코드, 설정, 데이터, 계정 권한
SaaS	전체 스택 운영 및 보안	사용자 접근 제어, 데이터 분류, 클라이언트 보안

---

4. SRM이 중요한 이유

항목	설명
사고 예방	책임 경계 모호로 인한 설정 오류, 접근 권한 오남용 방지
규정 준수	GDPR, ISO27001, KISA 가이드라인 등의 책임 요구 충족
보안 감사 대응	감사 시 명확한 책임 분리 구조로 효과적 대응 가능
사용자 인식 개선	클라우드 사용자는 여전히 중요한 보안 책임 주체임을 명확화

---

5. 실제 클라우드 제공자 SRM 예시

제공자	문서 명칭	특징
AWS	Shared Responsibility Model	AWS 보안 문서 중 핵심, IaaS 중심 가이드 명확함
Microsoft Azure	Shared Responsibility in the Cloud	SaaS/PaaS까지 다양한 서비스 유형에 대해 세부 가이드 제공
Google Cloud	Shared Responsibility Matrix	역할별 상세 책임 구분표 제공

---

6. 보안 적용 사례 및 위험 사례

사례	내용
보안 그룹 설정 미비	사용자 책임 영역인 네트워크 접근 제어가 미흡하여 외부 노출 발생
S3 퍼블릭 설정 오류	CSP가 아닌 사용자가 데이터 퍼블릭 설정을 잘못한 사고 (ex. Capital One 사례)
IAM 권한 과다 부여	최소 권한 원칙 미준수로 내부 계정 탈취 및 악용 가능성 증가

---

7. SRM 기반 보안 전략

전략	설명
최소 권한 원칙 적용	IAM 정책을 통해 사용자 역할 최소화
암호화 적용	저장/전송 중 데이터에 대해 사용자 주도 암호화 적용
로깅 및 모니터링	클라우드 보안 로그 활성화 및 정기 분석 수행 (ex. AWS CloudTrail, GCP Cloud Audit Logs)
자동화된 보안 규칙 감지	CSP의 보안 진단 도구 활용 (ex. Azure Security Center, AWS Config Rules)

---

결론

책임공유모델(SRM)은 단순한 보안 지침이 아니라 클라우드 보안 전략의 출발점입니다. 사용자와 제공자 간 책임을 명확히 이해하고 관리할 때, 클라우드는 더욱 안전한 서비스 환경이 될 수 있습니다. 보안의 사각지대를 줄이기 위한 SRM 기반 보안 인식이 필수입니다.