AWS 보안 프레임워크란?

클라우드 기술은 지난 몇 년간 전 세계적으로 확산되었습니다. 기술을 활용하는 기업들은 이미 클라우드로 마이그레이션을 완료했거나, 현재 마이그레이션을 진행 중입니다. 이러한 빠른 전환의 가장 큰 이유는 사용의 용이성, 인프라 관리 부담 감소, 확장성 문제 해소, 그리고 비용 효율성입니다. 모든 기술에는 양면성이 존재하며, 클라우드 기술도 예외는 아닙니다. 클라우드 기술은 고유의 과제를 안고 있으며, 그 중 가장 큰 과제는 클라우드 보안입니다.

AWS, 즉 Amazon Web Services는 클라우드 서비스 제공업체로 2024년 기준 시장 점유율 1위를 차지하고 있습니다. AWS는 현재 32%의 시장 점유율을 보유하고 있으며, 이러한 점유율의 원인은 클라우드 기술의 이점뿐만 아니라 제공하는 다양한 도구와 통합 옵션에 있습니다. AWS는 메시지 전송, 사용자 관리, 가상 머신 생성 등 거의 모든 요구에 대응하는 서비스를 제공합니다.

이 블로그 포스트에서는 AWS 보안 프레임워크가 무엇인지, 어떻게 작동하는지, 그리고 기업이 왜 이를 필요로 하는지에 대해 다룹니다. 또한 웹 및 서버리스 애플리케이션을 보호하는 다양한 방법과 AWS가 제공하는 DevSecOps 프로세스 자동화 도구 및 기술에 대해서도 설명합니다.

AWS의 ID 및 액세스 관리

수백 명의 직원을 보유한 기업은 각 직원의 신원과 리소스 접근 방식을 관리할 수 있는 적절한 도구가 필요합니다. 직원들은 필요로 하는 리소스나 데이터에 따라 특정 접근 권한이 필요하며, 이를 위해 IAM이 필요합니다. 이 섹션에서는 AWS IAM의 작동 방식을 설명합니다.

1. AWS Identity and Access Management (IAM): IAM은 기업이 보안상의 이유로 AWS 리소스 또는 AWS에 저장된 데이터에 대한 접근을 제어하는 데 사용됩니다. IAM 기능은 AWS UI 또는 API를 통해 접근할 수 있습니다. 이 도구는 관리자가 사용자, 액세스 키, 권한을 중앙에서 관리할 수 있도록 하여 효율성을 높이고 복잡성을 줄여줍니다.
2. AWS Single Sign-On (SSO): AWS 계정과 애플리케이션은 클라우드 기반 AWS Single Sign-On(SSO) 서비스를 통해 단일 소스에서 관리할 수 있으며, 이를 통해 SSO AWS 계정 관리가 용이해집니다.
3. AWS Organizations for Multi-Account Security: 하나의 조직은 루트 또는 메인 계정 아래에 여러 AWS 계정을 가질 수 있습니다. AWS Organization 서비스는 이러한 모든 계정을 관리하기 위해 제공됩니다. 이는 일반적으로 기업이 소규모 회사를 인수하거나, 일부 팀이 사용 사례에 따라 별도의 계정을 생성할 때 사용됩니다.

AWS 네트워크 보안 및 데이터 보호 구현

네트워크 보안은 네트워크 상의 민감한 정보를 보호하기 위한 프로세스입니다(출발지에서 목적지로 이동하는 데이터). 네트워크 보안은 하드웨어, 소프트웨어, 프로토콜 등 다양한 방식으로 구현할 수 있으며, 궁극적인 목표는 데이터를 보호하는 것입니다. AWS가 제공하는 데이터 보호 도구는 다음과 같습니다:

Virtual Private Cloud

Amazon Virtual Private Cloud(VPC)는 클라우드 내에서 격리된 영역을 생성할 수 있도록 도와줍니다. 이러한 격리된 네트워크는 네트워크 내에서 사용되는 리소스를 분리하며, 퍼블릭 및 프라이빗 서브넷을 제공하여 민감한 리소스를 인터넷으로부터 직접 접근하지 못하도록 보호합니다.

Security Groups 및 네트워크 액세스 제어 목록

AWS는 VPC 내 트래픽을 제어하기 위한 두 가지 도구를 제공합니다. 첫 번째는 Security Groups로, 인스턴스 수준에서 동작하는 가상 방화벽 역할을 하며, IP 범위, 포트, 프로토콜 등을 이용해 인바운드 및 아웃바운드 트래픽을 제어할 수 있습니다. 두 번째는 Network Access Control Lists(NACLs)로, 네트워크(서브넷) 수준에서 동작하며, 인바운드 및 아웃바운드 트래픽을 모두 제어합니다.

AWS Private Link 및 VPC Endpoints

조직이나 고객이 퍼블릭 인터넷을 사용하지 않고 AWS 서비스를 이용하고자 할 때, VPC Endpoints 중 하나인 AWS PrivateLink를 사용할 수 있습니다. PrivateLink는 고객이 서비스를 안전하게 접근할 수 있도록 하며, AWS 서비스 및 VPC Endpoint Services에서 VPC 리소스에 접근할 수 있도록 지원합니다.

데이터 암호화

AWS 데이터 암호화는 민감한 데이터를 저장(정지 상태) 및 전송(이동 중) 단계 모두에서 보호하는 데 중요한 보안 도구입니다. 데이터가 저장될 때는 Amazon EBS, S3, RDS 등 AWS 서비스를 사용하여 데이터를 자동으로 암호화할 수 있습니다(복잡한 데이터 저장소의 경우 직접 암호화 활성화가 어려울 수 있음). 데이터가 이동 중일 때는 SSL/TLS 프로토콜과 VPN 연결을 사용하여 공격자가 데이터를 가로채는 것을 방지할 수 있습니다.

AWS Certificate Manager

AWS에서 암호화 기술이 원활하게 작동하도록 AWS Certificate Manager(ACM)가 사용됩니다. ACM은 SSL/TLS 인증서를 프로비저닝, 관리, 배포하며 인증서 갱신도 관리합니다. 이는 AWS를 통해 웹 애플리케이션을 배포하는 기업에서 널리 사용됩니다.

AWS 보안 프레임워크의 유형

AWS가 제공하는 주요 보안 프레임워크는 다음과 같습니다:

1. AWS Cloud Adoption Framework (CAF)

AWS CAF는 제공자에게 보안 관점을 제공하고 데이터 보안에 대한 모범 사례를 정의하는 데 도움을 줍니다. 기업이 보안과 비즈니스의 적절한 조합을 어떻게 보장할 수 있는지, IAM 솔루션을 어떻게 구현해야 하는지, 그리고 정부 기관의 규정 준수를 어떻게 충족할 수 있는지에 중점을 둡니다. 이 프레임워크는 보안과 비즈니스를 통합하는 방법을 안내하는 가이드 역할을 합니다.

2. 컴플라이언스 프레임워크

AWS는 공식적인 보안 및 컴플라이언스 프로그램을 운영하며, 일부 정의된 요구사항을 가지고 있습니다. AWS는 PCI DSS(결제 카드 산업 데이터 보안 표준), HIPAA, SOC2 등과 같은 규제 요구사항을 충족할 수 있도록 다양한 인프라 서비스를 설계하였습니다.

3. AWS Control Tower

AWS Control Tower는 서비스 제공자가 보안 및 컴플라이언스가 적용된 다중 계정 AWS 환경을 구축할 수 있도록 지원하는 서비스입니다. 이를 통해 주요 계정 역할 및 서비스 기반을 설정하고, 계정 공유, 클라우드 데이터 접근, 계정 설정 문제 해결을 위한 기능을 추가할 수 있습니다.

4. 데이터 보호 프레임워크

AWS는 기업의 민감 정보 및 PII 데이터 보호를 위한 가이드와 서비스를 제공합니다. 여기에는 데이터 저장 및 전송 중 보호가 포함되며, 암호화 키 관리, 모니터링, 접근 제어, 디바이스 사용 패턴 관리 등 데이터 관리 전반을 포함합니다.

5. 인시던트 대응 프레임워크

인시던트 대응은 기업이 보안 사고를 관리, 대응, 복구하기 위해 사용하는 계획입니다. AWS 사용자는 AWS CloudTrail을 통한 API 사용 감사, Amazon GuardDuty를 통한 위협 탐지, AWS Systems Manager를 통한 대응 자동화로 견고한 인시던트 대응 계획을 구축할 수 있습니다.

6. 공유 책임 모델

이는 프레임워크가 아니라 AWS 보안 측면에서 반드시 이해해야 할 중요한 개념입니다. 이 모델에 따르면 데이터 보안 책임은 클라우드 제공업체뿐만 아니라 최종 사용자에게도 있습니다.

AWS 보안 모니터링, 로깅 및 컴플라이언스 도구

AWS는 로깅, 모니터링, 컴플라이언스를 위한 다양한 서비스를 제공합니다. 주요 서비스는 다음과 같습니다:

#1. AWS CloudTrail

AWS CloudTrail은 보안 모니터링 및 감사를 위해 사용됩니다. 사용자가 수행한 모든 AWS 서비스에 대한 작업 로그를 제공합니다.

#2. Amazon CloudWatch

Amazon CloudWatch는 사용자가 AWS에서 실행하는 리소스와 애플리케이션을 모니터링하는 데 도움을 줍니다. Amazon EC2 인스턴스, Amazon Dynamo DB 테이블 등 다양한 AWS 리소스를 모니터링할 수 있습니다.

#3. AWS Config

AWS Config는 사용자가 계정 내에서 사용하는 AWS 리소스의 구성을 추적하는 데 도움을 줍니다. 사용자의 구성과 원하는 설정을 비교하여 보안 및 컴플라이언스 유지에 기여합니다.

#4. AWS Artifact

AWS의 보안 및 컴플라이언스 보고서, 온라인 계약 등 컴플라이언스 관련 정보를 얻기 위해 AWS Artifact 서비스를 제공합니다. 이 서비스는 AWS ISO 인증, 결제 카드 산업(PCI) 보고서, 서비스 조직 제어(SOC) 보고서 등 다양한 컴플라이언스 문서를 제공합니다.

#5. AWS Control Tower

AWS Control Tower는 기업이 다중 계정 AWS 환경을 구축할 때 사용하는 프레임워크를 제공합니다. 모든 계정과 조직 단위에 일관된 정책을 유지하여 컴플라이언스와 거버넌스를 보장합니다.

#6. AWS Audit Manager

AWS Audit Manager는 AWS 사용 내역을 모니터링하여 규정 및 업계 표준에 대한 위험 및 컴플라이언스 평가를 용이하게 합니다. 증적을 자동으로 수집하여 감사 준비에 필요한 수작업을 줄여줍니다.

AWS 환경에서의 위협 탐지 및 인시던트 대응

보안 위협을 신속하게 탐지하고 대응하는 능력은 매우 중요합니다. AWS가 이를 위해 제공하는 주요 도구는 다음과 같습니다:

• Amazon GuardDuty

AWS는 Amazon GuardDuty라는 지능형 위협 탐지 서비스를 제공합니다. 이 도구는 AWS 계정 내에서 위협 활동이나 비정상 행위를 지속적으로 모니터링합니다. 머신러닝, 이상 탐지, 통합 위협 인텔리전스를 활용하여 AWS 데이터 소스의 다양한 기록을 분석할 수 있습니다.

• AWS Security Hub

AWS 환경에서는 다양한 보안 이슈가 발생할 수 있습니다. 가장 중요한 이슈를 파악하기 위해 관리자는 AWS Security Hub를 활용할 수 있으며, 이는 보안 상태를 종합적으로 보여주고, 중요한 위협에 대한 경고를 정리 및 우선순위화합니다.

• Amazon Detective

보다 신속한 보안 조사를 위해 조직은 Amazon Detective를 사용할 수 있습니다. 이 서비스는 머신러닝과 그래프 이론을 활용하여 AWS 리소스의 데이터를 연관된 집합으로 구축합니다.

• Amazon Macie

데이터 보호는 모든 조직에 필수적입니다. Amazon은 Amazon Macie를 제공하며, 머신러닝과 패턴 매칭을 통해 AWS 내 민감한 데이터를 보호합니다. 또한 암호화되지 않았거나 공개적으로 접근 가능한(즉, 잘못 구성된) Amazon S3 버킷 목록도 제공합니다.

• AWS IoT Device Defender

IoT 디바이스를 사용할 때, 여러 디바이스에서 동일한 인증서를 공유하거나 비정상적으로 높은 아웃바운드 트래픽이 발생하는 등 DDoS 공격에 참여할 수 있는 문제에 주의해야 합니다. 이러한 문제는 AWS IoT Device Defender가 자동으로 관리하여 하드웨어 인프라를 보호합니다.

AWS에서 웹 및 서버리스 애플리케이션 보호 방법

웹 서비스는 현재 일반적으로 사용되며, 개발자는 웹 서버를 통해 애플리케이션을 배포합니다. 반면 서버리스는 새로운 개념으로, 개발자가 인프라를 직접 관리하거나 유지할 필요 없이 클라우드 제공업체가 모든 것을 처리합니다. 웹 및 서버리스 애플리케이션을 보호하는 데 사용할 수 있는 주요 서비스와 역할을 살펴보겠습니다:

1. AWS WAF(Web Application Firewall)

일반적인 웹 취약점은 애플리케이션 가용성에 영향을 주거나 보안을 위협하거나 과도한 리소스 소비를 유발할 수 있습니다. AWS WAF는 이러한 모든 위협으로부터 애플리케이션을 보호합니다. 사용자는 보안 규칙을 생성하여 봇 트래픽을 제어하고, SQL 인젝션이나 크로스사이트 스크립팅과 같은 일반적인 공격 패턴을 차단할 수 있습니다.

2. Amazon Inspector

AWS의 서비스 중 하나인 Amazon Inspector는 애플리케이션의 노출, 취약점, 모범 사례 준수 여부를 분석하여 컴플라이언스를 보장하는 데 도움을 줍니다. Amazon Inspector는 이러한 항목과 심각도 수준에 대한 상세 보고서를 제공합니다. 보고서에는 문제 해결을 위한 제안도 포함되어 있습니다.

3. AWS Shield

AWS Shield는 분산 서비스 거부(DDoS) 보호 서비스로, 애플리케이션의 다운타임과 지연을 최소화하는 것을 목표로 합니다. AWS에서 실행되는 애플리케이션을 모든 유형의 DDoS 공격으로부터 보호합니다.

4. AWS Firewall Manager

AWS Firewall Manager는 AWS WAF, AWS Shield Advanced, Amazon VPC 보안 그룹을 계정 및 애플리케이션 전반에 걸쳐 중앙에서 구성 및 관리할 수 있도록 지원합니다. 여러 보안 규칙을 쉽게 관리하고 워크로드를 지속적으로 보호할 수 있습니다.

5. AWS Network Firewall

AWS Network Firewall은 모든 Amazon Virtual Private Cloud에 대한 네트워크 보호를 손쉽게 배포할 수 있도록 합니다. AWS Network Firewall을 사용하면 방화벽 규칙을 통해 VPC 간 네트워크 트래픽을 세밀하게 제어하는 보안 정책을 구축할 수 있습니다.

보안 자동화 및 DevSecOps 구현을 위한 다양한 도구

보다 강력한 보안 태세를 위해 DevOps 프로세스에 보안 자동화를 통합하는 것이 중요합니다. 이를 지원하는 AWS 도구는 다음과 같습니다:

• AWS Systems Manager

AWS Systems Manager는 소프트웨어 인벤토리 자동 수집, 운영 체제 패치 적용, 시스템 이미지 생성, Windows 및 Linux 운영 체제 구성 등을 지원하는 관리 서비스입니다.

• AWS CloudFormation

AWS CloudFormation은 클라우드 환경에서 AWS 및 서드파티 애플리케이션 리소스를 정의하고 프로비저닝할 수 있는 공통 언어를 제공합니다. 보안 측면에서 CloudFormation은 인프라 템플릿의 일부로 보안 제어를 정의하고 추가 작업 없이 이를 적용할 수 있도록 지원합니다.

• CI/CD 파이프라인과의 통합

기업은 CI/CD 파이프라인을 사용하여 애플리케이션을 빌드, 테스트, 배포합니다. 다음 AWS 서비스 및 기능은 기존 CI/CD 파이프라인과 통합하여 빌드 사이클의 전반적인 보안을 강화할 수 있습니다.

1. AWS CodePipeline은 릴리스 프로세스를 관리하고 다양한 단계에서 보안 검사를 통합할 수 있습니다.
2. Amazon CodeGuru Reviewer는 자동화된 코드 리뷰를 수행하여 보안 취약점을 식별하고 수정 방안을 제안할 수 있습니다.
3. AWS CodeBuild는 빌드 프로세스의 일부로 보안 스캔 및 테스트를 실행하도록 구성할 수 있습니다.
4. Amazon ECR의 push 시 스캔 기능은 컨테이너 이미지를 레지스트리에 푸시할 때 자동으로 취약점 스캔을 수행할 수 있습니다.

• AWS Security Hub 자동 대응 및 수정

AWS Security Hub의 자동 대응 및 수정 기능을 통해 보안 탐지 결과에 대해 자동으로 조치를 취할 수 있습니다. 이는 AWS Systems Manager Automation 문서를 기반으로 일반적인 보안 문제를 해결합니다. 예를 들어, Security Hub에서 과도하게 허용된 보안 그룹 규칙을 감지하면, 해당 규칙을 자동으로 수정하여 접근을 제한할 수 있습니다.

AWS 보안 모범 사례

AWS는 널리 사용되는 만큼 공격자들의 주요 표적이 됩니다. AWS 보안을 사용할 때 반드시 구현해야 할 모범 사례를 살펴보겠습니다.

#1. 최소 권한 접근 원칙 구현

최소 권한 원칙은 사용자와 서비스가 업무를 수행하는 데 반드시 필요한 최소한의 권한만 부여해야 한다는 원칙입니다. AWS는 AWS Identity and Access Management(IAM)를 통해 특정 조건에 따라 접근을 제한하는 정책을 생성할 수 있도록 지원합니다. 이러한 정책은 최신 표준에 맞게 적절한지 주기적으로 검토 및 감사해야 합니다.

#2. 네트워크 인프라 보안 강화

Virtual Private Cloud(VPC)는 사용자 인프라의 보안을 유지하기 위해 적절히 점검 및 구성되어야 합니다. AWS 관리자는 Security Groups와 네트워크 액세스 제어 목록(NACLs)을 사용하여 인바운드 및 아웃바운드 트래픽을 제어할 수 있습니다. 민감한 리소스를 보호하기 위해 퍼블릭 및 프라이빗 서브넷을 활용한 네트워크 분할을 구현하고, 리소스의 중요도와 비즈니스 사용 사례에 따라 프라이빗 서브넷에 배치해야 합니다.

#3. 데이터 보호 및 암호화 전략

데이터는 저장 및 전송 단계 모두에서 암호화되어야 합니다. 기업은 AWS Key Management 서비스를 사용하여 암호화 키를 생성 및 관리할 수 있습니다. 기본 암호화를 활성화하여 Amazon S3 버킷과 EBS에 저장된 데이터가 자동으로 암호화되도록 해야 합니다. 또한 개발자는 SSL/TLS 프로토콜을 사용하여 전송 중인 데이터를 암호화할 수 있습니다. S3 데이터 접근 제어를 위해 AWS는 버킷 정책과 액세스 제어 목록을 제공합니다.

#4. 모니터링 및 인시던트 대응

조직은 AWS CloudTrail, Amazon CloudWatch, AWS Config를 통해 상세한 로깅 및 모니터링을 활성화할 수 있습니다. 또한, 의심스러운 활동이 자동으로 탐지될 때 경고를 받을 수 있도록 하고, 지능형 위협 탐지를 위해 Amazon GuardDuty를 사용해야 합니다.

#5. 지속적인 보안 평가 및 컴플라이언스

AWS는 조직 내에서 정기적인 보안 평가를 권장합니다. 기업은 취약점 평가를 위한 보안 평가 서비스인 Amazon Inspector를 사용할 수 있습니다. 또한, AWS 및 서드파티 도구를 활용하여 AWS 사용 내역을 지속적으로 감사하고, AWS Audit Manager를 통해 조직의 보안 정책 및 표준 준수를 확인할 수 있습니다.

왜 SentinelOne이 AWS 보안에 적합한가?

SentinelOne은 전 세계 기업들이 AWS 인프라를 보호하기 위해 사용하는 선도적인 솔루션입니다. 이 솔루션은 다양한 AWS 서비스 전반에 걸쳐 고급 위협 탐지 도구와 자동화된 대응 기능을 제공하여 보안 격차를 해소할 수 있도록 지원합니다. 여기에는 EC2 인스턴스, 컨테이너 또는 컨테이너화된 애플리케이션, AWS Lambda를 사용하는 서버리스 함수가 포함됩니다.

SentinelOne은 고급 머신러닝 모델과 행위 분석을 활용하여 정교한 보안 공격이나 데이터 유출을 식별 및 차단합니다. 이 도구는 AWS CloudTrail, AWS GuardDuty 등 AWS 서비스와 쉽게 통합할 수 있습니다. 손쉬운 통합은 기업이 도구를 도입하는 데 있어 장점을 제공합니다.

SentinelOne은 제로데이 취약점과 파일리스 악성코드(시스템에 실행 파일이 필요 없는 악성코드)도 클라우드 인프라에서 탐지할 수 있어 기존 보안 통제에 추가적인 방어 계층을 제공합니다. 클라우드 네이티브 아키텍처를 사용하므로 AWS의 성능에 거의 영향을 주지 않습니다.

둘러보기

서버, VM, 컨테이너를 위한 AI 기반 클라우드 워크로드 보호(CWPP)로, 런타임 위협을 실시간으로 탐지하고 차단합니다.

결론

AWS 보안은 엔지니어들이 사용하는 화려한 용어가 아니라, AWS에 저장/호스팅된 데이터와 애플리케이션이 위협 행위자로부터 안전하도록 보장하는 AWS의 보안 솔루션입니다. AWS 보안 프레임워크는 기업이 AWS 인프라 내 보안 문제를 식별하고 해결할 수 있도록 지원하는 다단계 프로세스입니다. 이는 몇 가지 도구만으로 이루어지는 것이 아니라, 다양한 도구와 여러 가이드라인을 통해 민감한 데이터가 잘못된 손에 넘어가지 않도록 보장합니다.

AWS 보안 프레임워크는 조직의 자동화 및 확장성 요구도 충족합니다. AWS Config, CloudFormation, Systems Manager와 같은 서비스를 통해 조직이 보안을 코드형 인프라 서비스로 통합할 수 있도록 지원합니다. 또한 동일 조직 내 여러 AWS 계정에 걸쳐 보안 정책의 일관성을 관리하는 데에도 도움이 됩니다.