[TECH UP] CSP별 보안 서비스

Y·2025년 10월 1일

TECH UP

목록 보기

14/39

정의: 클라우드 서비스를 제공하는 사업자를 의미함
대표적인 CSP:
- 해외: AWS (Amazon Web Services), Microsoft Azure, Google Cloud Platform (GCP)
- 국내: 네이버 클라우드, NHN 클라우드, 카카오 엔터프라이즈, KT 클라우드, 삼성 SDS
특징:
- 기본적으로 보안 서비스 종류와 기능은 유사하지만, 제공 방식과 이름은 CSP별로 상이함
- 기업은 법적·사회적 특수성에 따라 해외 CSP 또는 국내 CSP, 혹은 내부 프라이빗 클라우드를 적절히 선택해야 함
- MSP(Managed Service Provider, 클라우드 운영·컨설팅 업체)를 통해 CSP 활용 전략을 지원받을 수 있음

정의: 암호나 액세스 키를 공유하지 않고도 AWS 계정의 리소스를 안전하게 관리하고 사용할 수 있는 권한을 다른 사용자나 서비스에 부여하는 서비스임
IAM Identity Center:
- IAM 개별 사용자 단위 관리에서 확장된 서비스
- 조직 단위의 접근 관리를 지원
- 싱글 사인온(SSO) 기능 제공 → 한 번 로그인으로 여러 AWS 계정 및 애플리케이션 접근 가능
사용 이유:
- 루트(root) 계정은 보안상 매우 위험 → 최소한으로만 사용
- IAM 사용자/역할(Role)을 만들어 권한을 위임
- MFA(멀티 팩터 인증)으로 보안 강화
- 최소 권한 원칙(Principle of Least Privilege) 적용 가능

사용자(User) 생성:
- 사용자 이름: 최대 64자 지정 가능
- 초기 로그인 암호: 이메일 발송 or 임시 비밀번호 생성 가능
그룹(Group) 관리:
- 공통 권한을 묶어 여러 사용자에게 일괄 적용 가능
역할(Role) 활용:
- 장기 자격 증명을 쓰지 않고, EC2·Lambda 등 AWS 서비스나 다른 계정에 권한을 위임 가능
권한 부여:
- 권한 세트(Permission Set): IAM Identity Center의 사용자·그룹이 갖는 액세스 수준 정의
- 프로비저닝(Provisioning): 사용자가 자원을 활용할 수 있도록 준비하는 절차
- 권한 경계(Permission Boundary): IAM 사용자/역할이 가질 수 있는 최대 권한 범위를 제한
프로그래밍 방식 액세스:
- 액세스 키 ID, 비밀 액세스 키, 세션 토큰을 활용
- AWS CLI, SDK, 코드에서 리소스 접근 가능

무료 서비스 (Free):
- IAM: 사용자/역할 관리
- IAM Access Analyzer: 권한이 과도하게 부여된 리소스 탐지
- ACM (AWS Certificate Manager): SSL/TLS 인증서 관리
- Security Hub: 보안 상태 종합 점검 (30일 체험 무료)
- GuardDuty: 위협 탐지 (30일 체험 무료)
유료 서비스 (Paid):
- AWS WAF: 웹 방화벽 (SQL Injection, XSS 등 차단)
- KMS (Key Management Service):
  - 데이터 암호화 키 생성 및 관리
  - 감사 추적 기능 제공
  - 암호 해독 권한 없는 접근 시도 기록 가능
추가 보안 관련 서비스:
- CloudTrail: API 호출 이력 추적 → 보안 감사에 활용
- Config: 리소스 변경 이력 기록 및 규정 준수 확인
- Security Hub: 여러 보안 서비스 결과를 통합해 대시보드 제공

루트 계정 오남용:
- 2FA 없이 루트 계정 사용 → 해커가 대량의 ECS 인스턴스 생성
- 1주일도 안 되어 약 1,000만 원 요금 폭탄
- 코인 채굴 및 좀비PC 활용 사례
대량 리소스 생성 공격:
- 전 리전에 30~50개씩 인스턴스를 수천 개 생성
- 수동 삭제 시 40시간 이상 소요 → Python Selenium으로 자동화 처리
권한 관리 오류:
- Billing 권한 부여 후에도 접근 거부됨 → 별도 활성화 필요
액세스 키 유출:
- GitHub 등에 AWS 키 노출 → 외부인이 S3, EC2 무단 사용
- 막대한 과금 피해 발생