클라우드 보안 구멍 제로, ISO 인증으로 완성한 영상 보안의 정수 | 한화비전 플랫폼사업개발팀 나청송 책임, 백준호 연구원

클라우드 보안 사고가 잇따라 터지고 있습니다.

“나 대신 세계 여행하는 내 개인 정보”라는 말, 들어보셨나요? 농담이지만 클라우드 보안 사고가 잦은 요즘에는 가볍게 넘기기 어렵습니다. 클라우드는 인터넷을 통해 데이터를 저장하고 관리하기 때문에 보안에 취약할 수 있어요. CCTV 환경에 대입해보면 차량 번호나 얼굴, 출입 기록 등 민감한 개인정보가 외부로 유출되어 입주민 피해는 물론 법적 분쟁으로 이어질 수 있어요. 게다가 국내 CCTV 시장은 장비 납품 이후 소프트웨어 업데이트, 인증서 갱신, 접근 권한 점검 같은 필수 보안 요소가 공백 상태로 남겨지는 경우가 많습니다. 그 결과 계정 정보가 노출되는 사고가 반복적으로 발생해왔습니다.

한화비전은 이러한 문제를 인식하고 클라우드 보안을 한층 강화하고 있어요. 그 일환으로 국내 CCTV 업계 최초로 클라우드에 국제 보안 인증 ISO 27017을 취득했습니다. 그래서 오늘은 한화비전 플랫폼사업개발팀 나청송 책임님, 백준호 연구원님과 함께, 클라우드 시대의 보안 위협과 ‘진짜 안전한’ CCTV란 무엇인지 이야기 나눴습니다.

클라우드 vs 온프레미스? 진짜 보안은 “데이터 운영”에 있다

안녕하세요, 자기소개 부탁드립니다.

안녕하세요, 한화비전 플랫폼사업개발팀에서 DevOps 업무를 담당하는 나청송 책임, 백준호 연구원입니다. DevOps는 소프트웨어 개발(Development)과 운영(Operation)을 통합을 의미하는 말로, 개발 단계부터 운영 환경까지 전체 흐름을 관리하고 있어요. 이번 ISO 27017 보안 인증에서는 개발부터 운영까지 이어지는 전 과정 -접근 통제, 계정 관리, 로그 감사, 서비스 배포까지-에서 보안을 어떻게 설계하고 관리할지 고민했습니다.

클라우드 보안 사고에 대한 소식이 자주 들리고 있어요. 클라우드로의 변화가 어떤 보안 이슈를 불러왔나요?

보안의 경계가 사라졌습니다. 과거 온프레미스 환경에서는 물리적으로 폐쇄된 공간에 서버가 있어 내부망 중심의 접근 제어만으로도 보안 통제가 어느 정도 가능했습니다. 하지만 클라우드는 인터넷을 통해 언제 어디서든 접근할 수 있는 구조예요. 그만큼 외부 공격에 노출될 가능성이 커졌습니다. 예를 들어 멀티 계정 기반으로 AWS 클라우드를 사용하는 회사를 예로 들어보겠습니다. 그렇다면 EKS(쿠버네티스 서비스), S3(저장소), RDS(데이터베이스), CloudFront(콘텐츠 전송), Lambda(서버리스 함수) 등 다양한 서비스들이 서로 연결되어 있을 거예요. 한 곳의 권한 설정이 잘못되거나 저장소 접근 제어가 잘못되면 전체 시스템이 위험에 노출될 수 있어요.

그렇다면 클라우드는 보안에 취약한 시스템이 아닐까요?

클라우드 보안이 더 취약하다고 단정하기는 어려워요. 클라우드가 네트워크 기반이라는 사실은 모두가 인지하고 있기 때문에 접근 권한, 로그, 정책을 체계적으로 관리하여 데이터 흐름을 가시화하려는 노력이 있어요.

그래서 클라우드 보안 문제의 초점은 기술이 아니라 운영의 복잡성에 두어야 해요. 클라우드를 도입하면 여러 서비스와 시스템이 연동되고, API와 SaaS, 외부 파트너를 통해 데이터가 더 넓은 경로로 이동하게 됩니다. 이 과정에서 접근 지점이 늘어나고 단 한 번의 IAM 정책 실수나 S3 버킷 공개 설정 같은 오류가 대규모 유출로 이어질 수 있어요. 따라서 클라우드 보안은 데이터 흐름의 통제가 핵심이예요. 정보가 어디서 생성되고, 누구를 거쳐, 어디로 이동하는지를 실시간으로 모니터링하고 불필요한 접근을 차단해야 합니다. 이런 관점에서 클라우드는 보안을 체계적으로 설계할 수 있어요.

한화비전은 어떻게 데이터의 흐름을 통제하고 있나요?

크게 세 가지로 말씀드릴 수 있어요. 먼저 데이터 운영 단이예요. 데이터가 어디에 저장되고 어떻게 이동하는지를 구분하는 데이터 분류 체계, 개인정보를 안전하게 처리하기 위한 마스킹(비식별화), 접근 권한을 세분화하는 Access Control(접근 제어), 이상 행위를 추적할 수 있는 로그 추적성 확보 등을 병행하고 있어요.

또한 AWS 클라우드 인프라 위에서 서비스를 운영하고 있어요. AWS는 ISO 27001, SOC, PCI DSS 등 다양한 국제 보안 인증을 충족했고, 자동화된 보안 도구를 통해 위협 탐지, 접근 제어, 암호화 정책을 실시간으로 관리합니다. 서비스 규모나 트래픽 변화에 따라 보안 리소스가 자동으로 확장되기 때문에 운영 효율성과 안정성을 동시에 확보할 수 있어요.

하지만 클라우드 환경에서는 보안 책임이 공급자와 사용자가 분담되는 공동 책임 모델(Shared Responsibility Model) 구조이기 때문에, AWS의 보안 기능에 의존해서는 충분하지 않습니다. 클라우드 전환의 핵심 보안 이슈는 기술적 취약점보다 책임 경계의 모호함과 운영 거버넌스 부재에 있으니까요. 그래서 한화비전의 모플 플랫폼에서는 계정 생명주기 관리, IAM Role 최소권한 원칙 적용, CloudTrail 기반 로그 추적 체계 강화 등을 통해 위험을 지속적으로 관리하고 있습니다.

한화비전은 "클라우드 보안 구멍 제로"에 총력을 다하고 있다. / 이미지 출처 @한화비전

한화비전, 국내 CCTV 최초 클라우드 보안 ISO 인증을 받다

한화비전은 국내 CCTV 최초로 ISO인증을 받았어요. 이 인증은 무엇인가요?

네, 정확히 말하면 ISO/IEC 27017 인증을 받았습니다. ISO 27017은 클라우드 서비스 보안 관리에 특화된 국제 표준 인증입니다. ISO 인증은 어떤 보안 기술을 가지고 있는지, 그리고 그 기술이 실제 운영 체계 안에서 일관되게 관리되는지를 검증합니다. 이번 인증 과정에서는 계정 권한 관리, 로그 추적성 확보, 외부 위탁 관리 절차 등 실제 운영 전반을 점검했고, 이를 기반으로 내부 프로세스도 한층 강화했어요.

한화비전은 클라우드 보안에 진심이다. 국내 CCTV는 업계 최초로 ISO 인증을 받으며 납품 이후 공백이 생긴 한국 CCTV 시장의 보안 고질병을 뿌리 뽑고 있다. / 이미지 출처 @한화비전

국내 CCTV 시장에서 ISO 27017 인증을 받은 것은 어떤 의미가 있을까요?

국내 시장을 넘어 글로벌 고객과 파트너사에게도 통용되는 신뢰의 기준을 확보했다는 의미입니다. 국내 CCTV 시장에서는 ISMS 같은 국내 인증이 일반적인데, 한화비전은 한 단계 더 높은 국제 표준인 ISO 27017을 선택했습니다. ISMS가 국내 법규와 정보보호 체계를 다룬다면, ISO 27017은 클라우드 환경에 특화된 글로벌 보안 기준을 검증하는 인증이에요.

국내에서 ISO 27017을 취득한 기업은 손에 꼽을 정도로 적습니다. CCTV 업계에서는 한화비전이 최초입니다. 클라우드 운영 전반에 표준화된 보안 거버넌스를 구축했다는 것을 공식적으로 인증 받은것이죠. 이는 앞으로 한화비전이 추진하는 다양한 클라우드 서비스에서도 신뢰성과 경쟁력을 확보하는 중요한 기반이 될 거예요.

ISO 인증을 받은 기술부터 알아볼게요. 한화비전은 어떤 기술과 정책으로 외부 공격을 방어고 있나요?

한화비전의 클라우드 서비스는 침입 시도 자체를 조기에 탐지하고 피해 확산을 차단하는 구조로 설계되어 있습니다. 쉽게 말해 사고가 일어나기 전에 이상 징후를 찾아내는 운영형 보안 체계예요. 우선 접근 통제 단계에서는 모든 운영 계정에 다중 인증(MFA)을 적용해 비밀번호 유출만으로는 로그인이 불가능하도록 했습니다. 서비스 관리 콘솔은 등록된 IP에서만 접속할 수 있게 제한하고 계정 권한은 코드로 관리되어 변경 이력과 사용 현황이 자동으로 기록돼요. 사용하지 않는 계정이나 과도한 권한은 정기 점검 시 자동으로 회수됩니다.

외부 공격 방어는 AWS의 WAF(웹 방화벽)을 통해 이루어집니다. 예를 들어 해커가 악성 코드를 심거나 봇을 이용해 접속을 시도하면 WAF가 실시간으로 탐지해 차단합니다. 이후 수집된 로그는 CloudWatch와 GuardDuty로 보내져 공격 패턴을 분석하고 방어 정책을 자동으로 업데이트하죠. 덕분에 지속적으로 학습하는 지능형 방어 체계를 운영할 수 있습니다.

마지막으로 데이터 보호 단계에서는 AWS KMS를 이용해 모든 데이터를 AES-256 수준으로 암호화했습니다. AES-256은 금융권에서도 사용하는 최고 수준의 암호화 방식으로 설령 데이터가 외부로 유출되더라도 암호키 없이는 해독이 불가능합니다. 또한 서비스 간 통신 구간에는 TLS 1.2 이상을 적용해 서버와 서버가 데이터를 주고받을 때 도청이나 변조가 불가능하도록 보호하고 있어요. 이중 암호화 구조를 통해 저장된 데이터와 전송 중인 데이터 모두 외부 노출 가능성을 최소화했습니다

ISO 인증이 서비스 운영에는 어떻게 녹아 있나요?

한화비전은 권한 부여 → 사용 → 로그 추적 → 회수까지 전 과정을 하나의 체계로 통합했어요. 보안을 일상 속 프로세스로 완전히 내재화한 것이죠. 예를 들어 새로운 계정이 필요할 때는 중앙 시스템을 통해 발급, 승인, 기록이 모두 이뤄집니다. 모든 접근 권한은 ‘최소 권한 원칙’에 따라 업무에 꼭 필요한 범위로만 부여되고, 사용 기간이 끝나면 자동으로 회수됩니다. 이렇게 발급된 권한과 사용 이력은 코드로 관리되어 변경 내용이 모두 기록돼요. 또 CloudTrail, Grafana 같은 로깅 도구를 활용해 누가 언제 어떤 데이터를 열람하거나 수정했는지 실시간으로 추적하고 있어요.

ISO 27017 인증 과정, 듣기만해도 까다로웠을 것 같은데요.

클라우드 보안 책임이 여러 팀에 걸쳐 있어서 어려웠어요. 서비스 개발팀, 플랫폼기획팀, 보안팀, 법무팀이 각자 다른 역할을 맡고 있다 보니 인증 기준에 맞는 책임 구분과 절차를 세분화하는 데 많은 조율이 필요했습니다. 계정 생명주기, 접근 권한 검토 주기, 로그 리포트 등 운영 프로세스를 표준화하면서 해결했어요.

또 클라우드 보안은 기준이 고정되지 않는다는 점도 어려웠어요. AWS의 기능과 정책이 수시로 업데이트되기 때문에 인증 요건에 맞추되 실제 서비스 운영의 유연성을 잃지 않도록 설계했습니다. 이렇게 보안 체계가 표준화되면 장애나 보안 이슈가 생겨도 대응 속도가 빨라지고 서비스 품질을 안정적으로 유지할 수 있습니다. 고객 입장에서는 데이터를 더 안전하고 일관된 환경에서 사용할 수 있어요.

ISO 인증 클라우드가 만드는 “신경 쓸” 필요 없는 보안

ISO 27017 인증을 받은 제품을 선택하면 담당자 입장에서는 어떤 효과를 체감할 수 있을까요?

가장 큰 리스크 감소 효과는 데이터 유출 사고 예방입니다. 그런데 ISO 인증을 받은 제품을 구매하면 자연스레 데이터 저장, 전송, 조회 전 과정에서 암호화와 접근 통제가 체계적으로 관리됩니다. 입주민 민원이나 개인정보 보호 법규 위반 리스크를 줄일 수 있어요.

또한 책임 소재가 명확해집니다. 사고 발생 시 누가 어떤 권한으로 접근했는지, 어떤 절차로 관리되었는지 모두 로그로 추적 가능하기 때문에 객관적인 근거 자료를 확보할 수 있습니다.

담당자가 일일이 챙겨야 하는 운영 업무가 대폭 감소해요. ISO 27017 인증 서비스는 소프트웨어 업데이트, 인증서 갱신, 보안 패치 등이 체계적으로 관리됩니다. 각 현장마다 클라우드 보안 상태를 확인하러 다닐 필요가 없습니다.

민원 혹은 보안 감사 대응에서도 ISO 인증이 도움이 된다고 들었습니다.

ISO 27017 인증의 의미는 평소 운영 자체가 곧 감사 준비 상태라는 의미예요. 권한 관리, 로그 추적, 데이터 암호화 등 핵심 보안 항목들이 이미 국제 표준에 맞춰 운영되고 있다는 증명이니까요. 모든 과정이 일상적으로 기록되고 관리되어 감사나 민원이 발생했을 때 급하게 자료를 준비할 필요가 없어요.

입주민이나 조직 내부 민원 대응에서도 마찬가지입니다. "데이터 유출될 수 있지 않나요?"라는 질문에 대해 기술적 설명만으로는 불안을 해소하기 어렵지만, "클라우드 보안 국제 인증 ISO 27017을 취득한 시스템을 사용하고 있습니다"라고 답한다면 훨씬 설득력이 있죠.

클라우드 기반 제품을 고를 때 반드시 체크해야 할 보안 기준은 무엇이라고 생각하시나요?

스펙보다 중요한 건 운영 체계입니다. 아무리 좋은 암호화 기술이나 방화벽을 갖추고 있어도 실제 운영 현장에서 누가, 언제, 어떻게 관리되는지가 명확하지 않으면 보안은 유지될 수 없어요. ISO 27017 같은 국제 표준 인증 여부가 중요한 이유도 기술이 일상적인 운영 프로세스 안에서 작동하고 있다는 검증이기 때문입니다. 한화비전은 이번 ISO 27017 인증을 통해 서비스 전 구간에 걸친 보안 운영 프로세스와 관리 절차를 국제 표준 수준으로 체계화했습니다. 담당자는 이미 검증된 운영 프로세스 위에서 플랫폼을 도입 및 운영할 수 있는 것이죠.

특히 CCTV는 납품 이후 관리 체계가 있는지 반드시 확인해야 합니다. 소프트웨어 업데이트, 보안 패치, 인증서 갱신 등은 한 번 설치하고 끝나는 게 아니라 지속적으로 관리되어야 합니다. 설치만 하고 끝이 아니라 “운영까지 책임진다”는 명확한 계약 조건과 서비스 체계가 있는지 확인하세요.

클라우드 보안 안심의 대명사 한화비전

글로벌 CCTV 1위 회사, 국내 CCTV 업계 최초 ISO 27017 인증 - 숫자만 보면 주목받기 위한 타이틀로 들릴 수 있어요. 하지만 이 문장 뒤에는 보안을 기업의 철학으로 삼고, 기술과 운영 전 과정에 그 철학을 녹여온 한화비전의 진정성이 있습니다. ISO 27017 인증은 그 노력이 만들어낸 하나의 국제 통용 언어이자 신뢰를 기술로 증명한 결과였어요.

글로벌 기준 아래 안전하게 관리되는 클라우드, 그리고 안전한 클라우드 위에서 운영되는 CCTV와 플랫폼을 통해 한화비전은 보안을 기본 인프라로 만들고 있어요. 한화비전은 앞으로도 기술을 통해 안전한 사회를 만드는 기업으로 우리의 곁을 지킬 예정입니다. 한화비전 영상 보안 기술의 집약체 CCTV가 궁금하시다면 1:1 상담을 통해 문의해주세요.