AWS 보안 프레임워크란 무엇인가?

지난 몇 년간 클라우드 기술이 세상을 장악했습니다. 기술 기반 기업들은 이미 클라우드로 이전했거나 이전 중인 상태입니다. 이러한 빠른 확산의 가장 큰 이유로는 사용 편의성, 인프라 관리 부담 감소, 확장성 문제 해소, 비용 효율성 등이 꼽힙니다. 모든 것에는 양면이 존재하며, 클라우드 기술도 예외는 아닙니다. 클라우드 기술은 고유한 도전 과제에 직면해 있습니다. 그중 가장 큰 문제는 클라우드 보안입니다.

AWS(Amazon Web Services)는 클라우드 서비스 제공업체로, 2024년 기준 시장 점유율이 가장 높습니다. AWS는 현재 32%의 시장 점유율을 차지하고 있으며, 가장 큰 시장 점유율을 가진 이유는 클라우드 기술이 제공하는 이점 때문이 아니라 제공하는 도구와 통합 옵션의 수 때문입니다. AWS는 메시지 전송, 사용자 관리, 가상 머신 생성 등 생각할 수 있는 거의 모든 것에 대한 서비스를 제공합니다.

이 블로그 글에서는 AWS 보안 프레임워크가 무엇인지, 어떻게 작동하는지, 그리고 기업들이 이를 필요로 하는 근본적인 이유에 대해 논의할 것입니다. 또한 웹 및 서버리스 애플리케이션을 보호하는 다양한 방법과 함께, DevSecOps 프로세스 자동화를 위한 다양한 도구 및 기술을 함께 살펴보겠습니다.

AWS의 ID 및 액세스 관리

수백 명의 직원을 보유한 기업은 신원을 관리하고 다양한 리소스에 접근할 수 있는 방법을 관리하기 위한 적절한 도구가 필요합니다. 직원들은 필요한 리소스나 데이터에 따라 특정 접근 수준을 부여받아야 하며, 이를 달성하기 위해 IAM이 필요합니다. 이 섹션에서는 AWS IAM의 작동 방식을 살펴보겠습니다.

1. AWS Identity and Access Management (IAM): IAM는 기업이 보안상의 이유로 AWS 리소스 또는 AWS에 저장된 데이터에 대한 접근을 제어하기 위해 사용합니다. IAM 기능은 AWS UI 또는 API를 통해 접근할 수 있습니다. 이 도구는 관리자가 사용자, 액세스 키 및 권한을 중앙에서 관리할 수 있도록 지원하여 업무 효율을 높이고 복잡성을 줄여줍니다.
2. AWS 싱글 사인온(SSO): 클라우드 기반인 AWS 싱글 사인온(SSO) 서비스를 사용하면 AWS 계정과 애플리케이션을 단일 소스에서 관리할 수 있어 SSO AWS 계정 관리가 더 쉬워집니다.
3. 다중 계정 보안을 위한 AWS Organizations: 조직은 루트 계정 또는 메인 계정 아래에 여러 AWS 계정을 가질 수 있습니다. AWS Organizations 서비스는 이러한 모든 계정을 관리하기 위해 제공됩니다. 이는 일반적으로 기업이 소규모 회사를 인수하거나 일부 팀이 사용 사례에 따라 별도의 계정을 생성할 때 사용됩니다.

AWS 네트워크 보안 및 데이터 보호 구현

네트워크 보안은 네트워크 상의 민감한 정보(소스에서 목적지까지 이동하는 정보)를 보호하기 위해 사용되는 프로세스입니다. 네트워크 보안은 데이터를 보호하기 위한 최종 목표를 가지고 하드웨어, 소프트웨어 및 프로토콜을 사용하는 등 여러 가지 방법으로 구현될 수 있습니다. 데이터 보호를 위해 AWS가 제공하는 도구 중 일부는 다음과 같습니다.

가상 사설 클라우드(VPC)

Amazon Virtual Private Cloud(VPC)는 클라우드 내에서 나머지 클라우드와 격리된 독립적인 구역을 생성하는 데 도움이 됩니다. 이러한 격리된 네트워크는 네트워크에서 사용되는 리소스를 분리하여 공용 및 사설 서브넷을 모두 제공함으로써 민감한 리소스가 인터넷에 직접 노출되는 것을 방지합니다.

보안 그룹 및 네트워크 액세스 제어 목록

AWS는 VPC 내 트래픽을 제어하기 위한 두 가지 도구를 제공합니다. 첫 번째는 보안 그룹으로, AWS가 인스턴스 수준에서 작동하는 일종의 가상 방화벽을 제공하며, IP 범위, 포트, 프로토콜 등을 사용하여 들어오는 트래픽을 구성하고 나가는 트래픽을 제어할 수 있도록 합니다. 다른 하나는 네트워크 액세스 제어 목록 (NACL)입니다. 이 규칙들은 네트워크 수준, 즉 서브넷 수준에서 작동하며, 인바운드 및 아웃바운드 트래픽 모두를 제어합니다.

AWS 프라이빗 링크 및 VPC 엔드포인트

조직이나 고객이 공용 인터넷을 사용하지 않고 AWS 서비스에 접근하고자 할 경우, VPC 엔드포인트 중 하나인 AWS 프라이빗 링크를 사용할 수 있습니다. 프라이빗 링크는 고객이 서비스를 안전하게 접근할 수 있게 하며, AWS 서비스 및 VPC 엔드포인트 서비스에서 VPC 리소스에 접근할 수 있게 합니다.

데이터 암호화

AWS 데이터 암호화는 저장 상태(데이터 저장 시)와 전송 상태(데이터 이동 중) 모두에서 민감한 데이터를 보호하는 데 도움이 되는 가장 중요한 보안 도구 중 하나입니다. 저장 상태의 데이터를 보호하기 위해 Amazon EBS, S3, RDS와 같은 AWS 서비스를 사용할 수 있으며, 해당 서비스에 저장된 데이터를 자동으로 암호화하도록 직접 구성할 수 있습니다(복잡한 데이터 저장 사용 사례에서는 직접 암호화 활성화가 작동하지 않을 수 있음). 반면 전송 중인 데이터의 경우, 공격자가 데이터를 가로채는 것을 방지하기 위해 VPN 연결과 함께 SSL/TLS 프로토콜을 사용할 수 있습니다.

AWS 인증서 관리자(ACM)

AWS에서 암호화 기술이 원활하게 작동하도록 하기 위해 AWS 인증서 관리자(ACM)가 사용됩니다. ACM은 SSL/TLS 인증서를 프로비저닝, 관리 및 배포하고 인증서 갱신을 관리하는 데 도움을 줍니다. 이는 AWS를 사용하여 웹 애플리케이션을 배포하는 기업에서 널리 사용됩니다.

AWS 보안 프레임워크 유형

AWS가 제공하는 주요 보안 프레임워크 유형은 다음과 같습니다:

1. AWS 클라우드 도입 프레임워크(CAF)

AWS CAF는 공급자가 보안 관점을 확보하고 데이터 보안 모범 사례를 정의하는 데 도움을 줍니다. 기업이 보안과 비즈니스의 적절한 균형을 보장하는 방법, IAM 솔루션 구현해야 하는지, 그리고 기업이 정부 기관의 연방 규정 준수를 어떻게 충족할 수 있는지 보여주는 데 더 중점을 둡니다. 이 프레임워크는 기업이 보안을 비즈니스에 구현하고 통합하는 방법을 보여주는 가이드에 가깝습니다.

2. 규정 준수 프레임워크

AWS는 공식적인 보안 및 규정 준수 프로그램을 보유하고 있으며, 몇 가지 정의된 요구 사항이 있습니다. AWS는 PCI DSS(지불 카드 산업 데이터 보안 표준), HIPAA, SOC2 등 조직의 규제 요구 사항을 충족할 수 있도록 여러 인프라 서비스를 설계했습니다.

3. AWS Control Tower

AWS Control Tower는 서비스 제공업체가 안전하고 규정 준수된 다중 계정 AWS 환경을 구축하도록 지원하는 서비스입니다. 이를 통해 주요 계정 역할과 서비스 기반을 설정하여 계정 공유, 클라우드 데이터 접근 기능 추가, 계정 설정 문제 해결 관리를 수행할 수 있습니다.

4. 데이터 보호 프레임워크&

AWS는 기업의 민감한 데이터 및 개인 식별 정보(PII)를 보호하기 위한 지침과 서비스를 제공합니다. 여기에는 저장 중인 데이터와 전송 중인 데이터의 보호가 포함됩니다. 이는 암호화 키 관리, 모니터링, 접근 제어, 기기 사용 패턴을 포함한 데이터 관리를 통해 수행할 수 있습니다.

5. 사고 대응 프레임워크

사고 대응은 기업이 보안 사고를 관리하고 대응하며 복구하기 위해 사용하는 계획입니다. AWS 사용자는 API 사용 감사에 AWS CloudTrail, 위협 탐지에 Amazon GuardDuty, 대응 조치 자동화에 AWS Systems Manager를 활용하여 견고한 사고 대응 계획을 수립할 수 있습니다.

6. 공유 책임 모델

이는 프레임워크가 아닌 AWS 보안. 이 모델에 따르면 데이터 보안 책임은 클라우드 공급자뿐만 아니라 최종 사용자도 함께 져야 합니다.

보안 모니터링, 로깅 및 규정 준수를 위한 AWS 도구

AWS는 로깅, 모니터링 및 규정 준수를 위한 다양한 서비스를 제공합니다. 주요 서비스는 다음과 같습니다:

#1. AWS CloudTrail

AWS CloudTrail은 보안 모니터링 및 감사에 사용됩니다. 사용자, 역할 또는 AWS 서비스 자체에 의해 수행된 모든 AWS 서비스 관련 작업에 대한 로그 기록을 제공합니다.

#2. Amazon CloudWatch

Amazon CloudWatch는 사용자가 AWS에서 실행하는 리소스와 애플리케이션을 모니터링하는 데 도움을 줍니다. Amazon EC2 인스턴스, Amazon DynamoDB 테이블 등 다양한 AWS 리소스를 모니터링하는 데 사용됩니다.

#3. AWS Config

AWS Config는 사용자가 계정에서 사용하는 AWS 리소스의 구성을 추적하는 데 도움을 줍니다. 기본적으로 사용자 구성을 원하는 설정과 비교하여 최종 목표인 보안 및 규정 준수를 유지하는 데 기여합니다.

#4. AWS Artifact

AWS는 보안 및 규정 준수 보고서와 온라인 계약에서 규정 준수 관련 정보를 얻기 위해 AWS Artifact 서비스를 제공합니다. 이 서비스는 AWS ISO 인증, 지불 카드 산업(PCI) 보고서, 서비스 조직 통제(SOC) 보고서 등 다양한 규정 준수 문서를 사용자에게 제공합니다.

#5. AWS Control Tower

AWS Control Tower는 기업이 다중 계정 AWS 환경을 구축하는 데 사용되는 프레임워크를 제공합니다. 모든 계정과 조직 단위에 걸쳐 일관된 정책을 유지함으로써 규정 준수 및 효과적인 거버넌스가 적용된 다중 계정 정책을 보장합니다.

#6. AWS Audit Manager

AWS Audit Manager는 AWS 사용 현황을 모니터링하여 규정 및 업계 표준에 대한 위험 및 규정 준수 평가를 용이하게 하는 서비스입니다. 자동으로 증거 자료를 수집하여 감사 준비에 소요되는 수동 작업을 줄여줍니다.

AWS 환경에서의 위협 탐지 및 사고 대응

보안 위협을 신속하게 탐지하고 대응하는 능력은 매우 중요합니다. 이를 위해 AWS가 제공하는 도구 중 일부는 다음과 같습니다:

• Amazon GuardDuty

AWS는 Amazon GuardDuty라는 지능형 위협 탐지 서비스를 제공합니다. 이 도구는 AWS 계정 내 위협 활동이나 무단 행위를 지속적으로 모니터링합니다. 머신 러닝, 이상 탐지 및 통합 위협 인텔리전스를 활용하여 AWS 데이터 소스의 무제한 기록을 분석할 수 있습니다.

• AWS Security Hub

AWS 환경에서는 다양한 보안 문제가 발생할 수 있습니다. 가장 중요한 문제를 파악하기 위해 관리자는 보안 상태에 대한 전반적인 관점을 제공하고 중요한 위협에 대한 경보를 구성하고 우선순위를 지정하는 AWS Security Hub를 활용할 수 있습니다.

• Amazon Detective

보안 조사 속도를 크게 높이기 위해 조직은 머신 러닝과 그래프 이론을 활용해 AWS 리소스 간 연결된 데이터 세트를 구축하는 Amazon Detective를 사용할 수 있습니다.

• Amazon Macie

데이터 보호는 모든 조직에 절대적으로 필수적입니다. 아마존은 머신 러닝과 패턴 매칭을 활용하여 AWS 내 민감한 데이터를 보호하는 Amazon Macie를 제공합니다. 또한 데이터가 포함되어 있을 수 있으며 암호화되지 않았거나 공개적으로 접근 가능한(즉, 잘못 구성된) Amazon S3 버킷 목록을 제공할 수도 있습니다.

• AWS IoT Device Defender

IoT 기기를 사용할 때 조직은 여러 기기에서 공유되는 신원 인증서나 비정상적으로 높은 아웃바운드 트래픽을 보이는 기기 등 문제에 주의해야 합니다. 이는 해당 기기가 DDoS 공격에 가담하고 있을 수 있습니다. 이러한 문제들은 AWS IoT Device Defender가 자동으로 처리하므로 하드웨어 인프라를 안전하게 보호합니다.

AWS에서 웹 및 서버리스 애플리케이션 보안 강화 방법

웹 서비스는 개발자가 웹 서버를 사용하여 애플리케이션을 배포하는 일반적인 방식이지만, 서버리스는 새로운 개념입니다. 서버리스 환경에서는 개발자가 인프라를 관리하거나 유지할 필요가 없으며, 모든 작업은 클라우드 공급자가 수행합니다. 웹 및 서버리스 애플리케이션을 보호하는 데 활용할 수 있는 주요 서비스와 그 역할을 살펴보겠습니다:

1. AWS WAF (웹 애플리케이션 방화벽)

일반적인 웹 공격은 애플리케이션 가용성에 영향을 미치거나 보안을 침해할 수 있으며, 과도한 리소스 소모를 유발할 수도 있습니다. AWS WAF는 이러한 모든 위협으로부터 애플리케이션을 보호합니다. 사용자는 보안 규칙을 생성하여 봇 트래픽을 제어하고 다음과 같은 일반적인 공격 패턴을 차단할 수 있습니다: SQL 인젝션 또는 크로스 사이트 스크립팅(XSS).

2. Amazon Inspector

AWS의 규정 준수 지원 서비스 중 하나인 Amazon Inspector는 애플리케이션의 노출 위험, 취약점 및 모범 사례를 분석합니다. Amazon Inspector는 이러한 모든 사항과 심각도 수준에 대한 상세한 보고서를 제공합니다. 이 보고서에는 문제 해결 방법에 대한 제안도 포함되어 있습니다.

3. AWS Shield

AWS Shield는 애플리케이션 다운타임과 지연 시간을 최소화하기 위한 분산 서비스 거부(DDoS) 보호 서비스입니다. AWS에서 실행되는 애플리케이션을 모든 유형의 DDoS 공격으로부터 보호합니다.

4. AWS Firewall Manager

AWS Firewall Manager를 사용하면 AWS WAF, AWS Shield Advanced 및 Amazon VPC 보안 그룹을 계정 및 애플리케이션 전반에 걸쳐 중앙에서 구성하고 관리할 수 있도록 합니다. AWS Firewall Manager를 사용하면 여러 보안 규칙을 더 간단하게 관리하고 워크로드를 지속적으로 보호할 수 있습니다.

5. AWS Network Firewall

AWS Network Firewall을 사용하면 모든 Amazon Virtual Private Cloud(VPC)에 대한 네트워크 보호 기능을 쉽게 배포할 수 있습니다. AWS Network Firewall을 사용하면 VPC 간 네트워크 트래픽을 세밀하게 제어하는 방화벽 규칙으로 보안 정책을 구축할 수 있습니다.

보안 자동화 및 DevSecOps 구현을 위한 다양한 도구

강력한 보안 태세를 구축하려면 보안 자동화를 DevOps 프로세스에 통합하는 것이 중요합니다. 이를 지원하는 AWS 도구로는 다음과 같은 것들이 있습니다:

• AWS Systems Manager

AWS Systems Manager는 소프트웨어 인벤토리 자동 수집, 운영 체제 패치 적용, 시스템 이미지 생성, Windows 및 Linux 운영 체제 구성을 지원하는 관리 서비스입니다.

• AWS CloudFormation

AWS CloudFormation은 클라우드 환경에서 AWS 및 타사 애플리케이션 리소스를 정의하고 프로비저닝하기 위한 공통 언어를 제공합니다. 보안 측면에서 CloudFormation은 인프라 템플릿의 일부로 보안 제어 사항을 정의하고 추가 작업 없이 이를 적용할 수 있도록 합니다.

• CI/CD 파이프라인과의 통합

기업들은 애플리케이션을 빌드, 테스트 및 배포하기 위해 CI/CD 파이프라인을 사용합니다. 다음 AWS 서비스 및 기능은 기존 CI/CD 파이프라인과 통합되어 빌드 사이클의 전반적인 보안을 강화하는 데 도움이 될 수 있습니다.

1. AWS CodePipeline은 릴리스 프로세스 관리를 지원하며 다양한 단계에서 보안 검사를 통합합니다.
2. Amazon CodeGuru Reviewer는 자동화된 코드 검토를 수행하여 보안 취약점을 식별하고 이에 따른 수정 사항을 제안할 수 있습니다.
3. AWS CodeBuild는 빌드 프로세스의 일부로 보안 스캔 및 테스트를 실행하도록 구성할 수 있습니다.
4. Amazon ECR의 푸시 시 스캔 기능은 컨테이너 이미지가 사서함 또는 컨테이너 레지스트리에 푸시될 때 취약점을 자동으로 스캔할 수 있습니다.

• AWS Security Hub 자동 대응 및 수정

AWS Security Hub의 자동 대응 및 수정 기능을 사용하면 보안 발견 사항에 대해 자동으로 조치를 취하여 대응할 수 있습니다. 이 기능은 일반적인 보안 문제를 해결하기 위해 AWS Systems Manager 자동화 문서를 기반으로 합니다. 예를 들어, Security Hub가 지나치게 허용적인 보안 그룹 규칙을 감지하면 자동으로 규칙을 수정하여 접근을 제한할 수 있습니다.

AWS 보안 모범 사례

AWS는 널리 사용되기 때문에 공격자들의 주요 표적이 됩니다. AWS 보안을 사용하면서 구현해야 할 몇 가지 모범 사례에 대해 논의해 보겠습니다.

#1. 최소 권한 접근 구현

최소 권한 원칙은 사용자와 서비스가 업무를 수행하는 데 절대적으로 필요한 최소한의 권한만 제공해야 한다고 규정합니다. AWS는 특정 조건에 기반하여 접근을 제한하는 정책 생성을 위해 AWS Identity and Access Management(IAM)를 제공합니다. 그러나 이러한 정책은 최신 표준에 부합하고 적절한지 확인하기 위해 수시로 검토 및 감사되어야 합니다.

#2. 네트워크 인프라 보안

가상 사설 클라우드(VPC)는 사용자 인프라의 보안을 유지하기 위해 적절히 점검 및 구성되어야 합니다. AWS 관리자는 보안 그룹과 네트워크 액세스 제어 목록(NACL)을 사용하여 유입 및 유출 트래픽을 제어할 수 있습니다. 민감한 리소스를 보호하기 위해 공용 및 사설 서브넷을 활용하고 리소스의 중요도와 비즈니스 사용 사례에 따라 사설 서브넷에 리소스를 배치함으로써 네트워크 분할을 구현해야 합니다.

#3. 데이터 보호 및 암호화 전략

데이터는 저장 중(at rest)과 전송 중(in transit) 두 단계 모두에서 암호화되어야 합니다. 기업은 AWS 키 관리 서비스(KMS)를 사용하여 암호화 키를 생성하고 관리할 수 있습니다. 기본 암호화 을 활성화하여 Amazon S3 버킷 및 EBS에 저장된 데이터가 암호화되도록 해야 합니다. 또한 개발자는 SSL/TLS 프로토콜을 사용하여 전송 중인 데이터를 암호화할 수 있습니다. S3 데이터에 대한 접근 권한을 제어하기 위해 AWS는 버킷 정책 및 접근 제어 목록(ACL)을 제공합니다.

#4. 모니터링 및 사고 대응

조직은 AWS CloudTrail, Amazon CloudWatch 및 AWS Config를 통해 상세한 로깅 및 모니터링을 활성화할 수 있습니다. 또한 의심스러운 활동이 자동으로 탐지될 때 조직에 경고가 발령되어야 하며, 지능형 위협 탐지를 위해 Amazon GuardDuty를 사용해야 합니다.

#5. 지속적인 보안 평가 및 규정 준수

AWS는 조직 내에서 정기적인 보안 평가를 계획할 것을 권장합니다. 기업은 취약점 평가를 위한 보안 평가 서비스인 Amazon Inspector를 사용할 수 있습니다.. 또한 AWS 사용량을 지속적으로 감사하기 위해 AWS 및 타사 도구(AWS Audit Manager 포함)를 활용하여 조직의 보안 정책 및 표준을 준수할 수 있습니다.

AWS 보안을 위해 SentinelOne을 선택해야 하는 이유

SentinelOne은 전 세계 기업들이 AWS 인프라를 보호하기 위해 사용하는 선도적인 솔루션입니다. 이 솔루션은 다양한 AWS 서비스 전반에 걸쳐 자동화된 대응 기능과 함께 고급 위협 탐지 도구를 활용하여 기업의 보안 취약점을 보완하는 데 도움을 줍니다. 여기에는 EC2 인스턴스, 컨테이너 또는 컨테이너화된 애플리케이션, AWS Lambda를 사용하는 서버리스 함수가 포함됩니다.

SentinelOne은 정교한 기계 학습 모델과 행동 분석을 사용하여 정교한 보안 공격이나 데이터 침해를 식별하고 차단합니다. 이 도구는 AWS CloudTrail 및 AWS GuardDuty와 같은 AWS 서비스와 쉽게 통합될 수 있습니다. 통합이 용이한 덕분에 기업들이 이 도구를 더 쉽게 도입할 수 있습니다.

SentinelOne은 클라우드 인프라에서 제로데이 공격 과 파일리스 악성코드(시스템에 실행 파일이 필요 없는 악성코드)를 클라우드 인프라에서 탐지하여 기존 보안 제어에 추가 방어 계층을 제공합니다. 이 도구는 클라우드 네이티브 아키텍처를 사용하므로 AWS 성능에 거의 영향을 미치지 않습니다.

결론

AWS Security는 엔지니어들이 사용하는 화려한 용어가 아닙니다. AWS가 제공하는 보안 솔루션으로, AWS에 저장되거나 호스팅되는 데이터와 애플리케이션이 위협 행위자로부터 안전하도록 보장합니다. AWS 보안 프레임워크는 기업이 AWS 인프라에서 보안 문제를 발견하고 해결할 수 있도록 지원하는 다단계 프로세스입니다. 이는 몇 가지 도구뿐만 아니라 다양한 도구와 여러 지침을 통해 민감한 데이터가 잘못된 손에 들어가지 않도록 보장합니다.

AWS 보안 프레임워크는 조직의 자동화 및 확장성 요구 사항도 처리합니다. AWS Config, CloudFormation, Systems Manager와 같은 서비스를 제공하여 조직이 보안을 인프라스트럭처 코드(IaaS) 서비스로 통합할 수 있도록 지원합니다. 또한 동일 조직 내 여러 AWS 계정 간 보안 정책의 일관성 관리에도 도움을 줍니다.