클라우드 보안 도전 과제
- 배경: 급증하는 사이버 위협과 복잡한 클라우드 구성(다중 계정, 리전, 서비스) 때문에 수동 대응이 사실상 불가능함
- 해결 방안: 보안 인력 부족과 한계를 극복하기 위해 자동화된 위협 탐지 및 대응 체계 구축이 필수적임
AWS 핵심 보안 서비스
-
GuardDuty
- VPC Flow Logs, DNS Logs, CloudTrail 이벤트 기반의 지능형 위협 탐지 서비스
- 머신러닝 + 위협 인텔리전스(TI)를 활용해 알려진/새로운 위협까지 식별
-
Inspector
- EC2 및 컨테이너 이미지의 보안 취약점 및 네트워크 구성 평가 서비스
- CVE 기반 분석 + SBOM(Software Bill of Materials)을 통해 공급망 보안 관리 가능
- 예: Apache 버전 취약점 자동 탐지
-
Detective
- 보안 이벤트 간의 연관 관계를 그래프화 → 공격 흐름 및 영향 신속 파악
-
Security Lake
- AWS 및 서드파티 보안 데이터를 OCSF(Open Cybersecurity Schema Framework) 형식으로 통합
- 보안 데이터 레이크를 구축해 쿼리/분석/자동화를 쉽게 함
-
Systems Manager
- AWS 리소스의 중앙 관리 및 자동화된 운영/보안 대응 워크플로우 구축
- Runbook을 통한 자동화 대응 + ChatOps 연동 지원
OCSF (Open Cybersecurity Schema Framework)
- AWS, Palo Alto, Splunk, IBM 등 30여 개 보안 기업이 참여한 표준화된 보안 이벤트 데이터 모델
- 필요성: SIEM, XDR 제품마다 다른 로그 형식을 표준 포맷으로 통일 → 분석, 대응, 자동화 용이
- SOAR(보안 운영 자동화 플랫폼)와도 연계되어 효율성을 강화
기타 보안 서비스 및 개념
-
Trusted Advisor
- S3 버킷 권한, EBS/RDS 퍼블릭 스냅샷, EC2 디스크 등 주요 보안 설정 점검
-
MFA (Multi-Factor Authentication)
- 루트 계정 및 IAM 사용자 보호의 기본 수단
- Google Authenticator, Authy 등 앱 기반 2FA 활용
-
ChatOps
- Slack, Teams, Discord 같은 채팅 플랫폼에서 보안 이벤트 탐지 → 대응 자동화
- 개발·운영·보안 팀이 같은 인터페이스에서 실시간 협업 가능
VPC (Virtual Private Cloud)
- 정의: AWS 클라우드 내에서 논리적으로 격리된 네트워크를 구성하는 단위
- 구성 요소:
- 서브넷: Public(인터넷 노출 가능), Private(내부 전용)
- 게이트웨이: 인터넷 또는 다른 VPC와 연결
- 라우팅 테이블: 네트워크 트래픽 경로 지정
- 보안 그룹, NACL: 네트워크 접근 제어
- 사용 이유: 서비스/팀별 망 분리, 규제/정책 준수, 보안 강화
