AWS GuardDuty 및 보안 도구 활용법: 위협 탐지부터 자동화까지
AWS GuardDuty는 AWS 환경 내에서 지능형 위협 탐지 서비스를 제공하는 중요한 도구입니다.
이 서비스는 머신러닝, 이상 탐지, 서드파티 데이터를 활용해 잠재적인 위협을 식별하고 대응합니다.
AWS GuardDuty를 활용하면 별도의 소프트웨어 설치 없이, 클릭 몇 번으로 계정 보호를 시작할 수 있습니다.
본 글에서는 GuardDuty와 함께 사용할 수 있는 관련 보안 도구들을 소개하고, 보안 사건 대응을 자동화하는 방법까지 다루겠습니다.
AWS GuardDuty: 지능형 위협 탐지
GuardDuty는 AWS 계정에 대한 위협을 탐지하는 서비스로, 다양한 유형의 로그 데이터를 분석하여 위험을 감지합니다.
이 서비스를 통해 비정상적인 활동이나 잠재적 보안 위협을 조기에 발견할 수 있습니다.
GuardDuty가 분석하는 주요 로그 데이터
-
CloudTrail 이벤트 로그: 사용자 활동 및 API 호출을 추적하며, 비정상적인 호출이나 권한 없는 배포를 감지합니다.
-
VPC 플로우 로그: VPC 네트워크에서 발생하는 트래픽을 분석하여, 의심스러운 IP 주소나 비정상적인 인터넷 트래픽을 탐지합니다.
-
DNS 로그: EC2 인스턴스가 DNS 쿼리를 통해 의심스러운 데이터를 전송하는지 감지합니다. 이는 인스턴스가 침해되었을 가능성을 시사할 수 있습니다.
옵션 기능으로는 다양한 로그 데이터 소스를 추가로 분석할 수 있습니다.
예를 들어, EKS 감사 로그, RDS 로그인 이벤트, EBS, Lambda, S3 로그 등도 GuardDuty에서 분석할 수 있습니다.
GuardDuty는 탐지된 위협을 이벤트브릿지와 연계하여 자동화된 대응을 설정할 수 있습니다.
이벤트브릿지에서 생성된 이벤트는 SNS 알림 발송, Lambda 트리거 등을 통해 실시간으로 처리할 수 있습니다.
AWS Inspector는 EC2, ECR, Lambda 등의 리소스를 대상으로 자동 보안 평가를 수행하는 서비스입니다.
Inspector는 다음과 같은 평가 항목을 제공합니다:
-
EC2
EC2 인스턴스에서 SSM(AWS Systems Manager) 에이전트를 활용해 의도되지 않은 네트워크 접근을 분석하고, 운영 체제(OS)의 취약점을 검사합니다.
-
ECR
컨테이너 이미지의 보안 취약점을 검사합니다.
-
Lambda Functions
Lambda 함수에서 사용된 코드, 패키지, 종속성에 대한 취약점을 분석합니다.
이 모든 분석 결과는 AWS Security Hub로 보고되며, 필요시 이벤트브릿지를 통해 추가적인 자동화 작업을 수행할 수 있습니다.
AWS Macie는 데이터 시큐리티 및 프라이버시 보호 서비스를 제공합니다.
머신러닝과 패턴 매칭을 활용하여 민감한 데이터, 특히 개인 식별 정보(PII)를 식별하고 보호합니다.
예를 들어, S3 버킷에 업로드된 데이터가 PII인지 여부를 Macie가 분석하고, 만약 PII가 발견되면 해당 정보를 이벤트브릿지를 통해 알림을 보낼 수 있습니다.
위 세 가지 서비스는 각각의 역할을 통해 AWS 환경에서의 보안 강화와 위협 탐지, 자동화된 대응을 돕습니다.
AWS GuardDuty는 위협 탐지에, AWS Inspector는 리소스 취약점 평가에, AWS Macie는 민감 데이터 보호에 중점을 두고 있어, 모든 서비스가 함께 사용될 때 더욱 강력한 보안 체계를 구축할 수 있습니다.
