반드시 알아야 할 상위 10가지 AWS 보안 이슈

Amazon Web Services (AWS)는 2024년 기준으로 시장 점유율의 50%를 차지하고 있습니다. AWS는 대기업이든 소기업이든 모든 산업 분야의 조직에서 사용되고 있습니다. AWS는 다양한 도구, 모범 사례, 정책을 제공하여 고객이 데이터, 애플리케이션, 인프라를 보호할 수 있도록 조직의 인프라 요구 사항을 지원합니다.

이 시점에서 조직은 자산을 위한 클라우드 보안의 중요성을 이해해야 합니다. Cybersecurity Ventures는 더 나아가 2025년까지 전 세계적으로 연간 10.5조 달러의 손실이 사이버 범죄로 인해 발생할 것으로 추정합니다. AWS의 경우, 보안은 공유 책임 모델에 기반하며, AWS는 클라우드 자체의 보안을 관리하고, 고객은 클라우드 내의 보안을 유지합니다. 이 구분은 매우 중요합니다.

이 블로그에서는 AWS 보안의 필수 개념을 살펴보고, 주요 보안 이슈와 그 해결 방안을 다루며, SentinelOne과 같은 고급 보안 솔루션이 이러한 AWS 보안 문제를 어떻게 해결할 수 있는지 알아봅니다. 마지막으로 AWS 환경을 보호하기 위한 AWS 보안의 최적 구현 방법을 살펴보겠습니다.

AWS 보안이란?

AWS 보안은 제어, 서비스, 기능의 조합입니다. 이는 클라우드에 존재하는 기업의 데이터, 애플리케이션, 인프라를 보호하는 데 도움이 됩니다. AWS 보안 프레임워크는 AWS 플랫폼의 기밀성, 무결성, 가용성을 보장하는 도구와 모범 사례의 조합입니다. 이 다계층 보안 프레임워크는 조직이 네트워크 보안, 접근 관리, 데이터 암호화, 모니터링, 컴플라이언스를 보호할 수 있도록 지원합니다.

AWS 보안은 공유 책임 모델에 기반합니다. 이를 통해 AWS와 고객의 책임을 명확하게 정의할 수 있습니다. AWS는 “클라우드의 보안”에 대한 책임이 있으며, 이는 AWS 클라우드에서 모든 서비스를 실행하는 인프라를 보호하는 것을 의미합니다. 이러한 인프라 측면에는 AWS 클라우드 서비스를 지원하고 운영하는 데 사용되는 모든 하드웨어, 소프트웨어, 네트워킹, 시설이 포함됩니다. 한편, 고객은 “클라우드 내 보안”을 담당하며, 이는 다양한 AWS 보안 이슈를 해결하고 AWS 서비스에 대한 보안 제어의 구성 및 구현을 의미합니다.

AWS 보안의 필요성

조직이 AWS 보안을 필요로 하는 이유는 여러 가지가 있습니다. 그 중 일부는 아래와 같습니다:

1. 진화하는 위협 환경: 기술이 발전할수록 사이버 위협도 증가합니다. 시간이 지남에 따라 이러한 위협은 더욱 정교해지고 빈번해져 기존 방법으로는 탐지하기 어려워집니다. AWS 보안은 조직이 이러한 진화하는 위협에 대응하고 새로운 AWS 보안 이슈를 해결할 수 있도록 지원합니다.
2. 데이터 보호: 많은 조직과 개인 사용자가 데이터를 저장하기 위해 클라우드를 사용합니다. 따라서 클라우드에 저장되는 데이터가 기하급수적으로 증가하고 있습니다. 이에 따라 민감한 정보를 보호하는 것이 우선순위가 됩니다.
3. 컴플라이언스 요구사항: 산업별로 준수해야 하는 컴플라이언스 기준이 다릅니다. 컴플라이언스 규정은 위치에 따라 달라질 수 있습니다. AWS 보안은 이러한 요구사항을 지원하며, 조직이 규제 기관의 요구를 준수할 수 있도록 도구와 기능을 제공합니다.
4. 비즈니스 연속성: DDoS 공격이나 기타 보안 사고가 발생하면 서비스가 중단되고 애플리케이션의 다운타임이 발생할 수 있습니다. 이는 비즈니스 기능에도 영향을 줄 수 있습니다. 그러나 AWS를 사용하면 위협을 자동 및 실시간으로 예방, 탐지, 대응할 수 있어 이러한 사고를 방지할 수 있습니다.
5. 확장성과 유연성: 비즈니스가 성장함에 따라 AWS는 요구에 맞게 확장 가능하고 유연한 솔루션을 제공합니다.

주요 10가지 AWS 보안 이슈

AWS 보안은 다양한 위협과 AWS 보안 이슈를 해결하는 데 도움이 됩니다. 이 섹션에서는 그 중 일부를 살펴보겠습니다.

#1. 잘못 구성된 S3 버킷

데이터 유출로 이어질 수 있는 가장 일반적인 문제는 잘못 구성된 Amazon S3(Simple Storage Service) 버킷입니다. 주로 버킷 정책이나 접근 제어 목록(ACL)의 잘못된 구성으로 인해 버킷에 대한 읽기 또는 쓰기와 같은 과도한 권한(예: 공개 접근)이 부여될 때 발생합니다. 2017년에는 공개 S3 버킷의 잘못된 구성으로 인해 약 1억 9800만 명의 미국 유권자 데이터가 노출되는 사고가 발생했습니다.

#2. 불충분한 ID 및 접근 관리(IAM)

최소 권한 원칙이 지켜지지 않으면 공격자가 리소스에 무단 접근할 수 있습니다. 또한 IAM 정책이 제대로 구성되지 않으면 위협 행위자나 내부 직원에게 불필요하게 많은 권한이 부여될 수 있습니다. 또 다른 주요 문제는 루트 계정이 일상적인 작업(예: VM 생성)에 사용되고, 다중 인증(MFA)이 적용되지 않아 최선의 보안 관행이 지켜지지 않는 경우입니다.

#3. 보안이 취약한 API 및 약한 API 게이트웨이 구성

API(Application Programming Interface)는 AWS 내 다양한 서비스 간 통신에 사용됩니다. 인증 미흡, 데이터 전송 시 암호화 누락, API 접근 시 비효율적인 속도 제한 등은 공격에 취약하게 만드는 일반적인 문제입니다.

#4. 불충분한 로깅 및 모니터링

조직이 AWS 환경에서 가장 중요한 모니터링 요소 중 하나인 적절한 로깅 구현을 간과하는 경우가 있습니다. AWS CloudTrail을 활성화하지 않아 모든 API 호출과 AWS 보안 내에서 발생하는 활동을 기록하지 못할 수 있습니다. 적절한 경보 메커니즘이 설정되지 않거나 로그 감사를 정기적으로 수행하지 않으면 보안 사고가 무시되어 결국 데이터 유출로 이어질 수 있습니다.

#5. 암호화되지 않은 데이터 저장 및 전송

AWS 환경에서 가장 치명적인 문제 중 하나는 암호화되지 않은 데이터입니다. 데이터는 저장 시(정지 데이터)와 전송 중(네트워크를 통한 데이터 전송) 두 단계에서 모두 암호화되어야 합니다. 적절한 암호화 기술이 적용되지 않으면 공격자가 무단으로 데이터에 접근할 수 있으며, 이는 데이터 유출 및 데이터 보호 규정 위반으로 이어져 심각한 재정적, 평판적 피해를 초래할 수 있습니다.

#6. 취약한 EC2 인스턴스

구식 소프트웨어, 패치되지 않은 시스템, 잘못된 구성(예: 인바운드 트래픽에 대한 광범위한 IP 범위 허용) 등은 EC2 인스턴스를 취약하게 만들어 악성코드 등 다양한 공격에 노출시킬 수 있습니다. 또한 오픈 포트, SSH 구성 오류, 정기적인 취약점 평가 미실시 등도 악용될 수 있습니다.

#7. 불충분한 네트워크 보안

네트워크 인프라는 적절한 Virtual Private Cloud(VPC) 및 네트워크 접근 제어 목록(NACL) 구성이 이루어지지 않으면 인터넷을 통해 직접 접근이 가능해져 클라우드에서 가장 취약한 구성 요소가 됩니다.

네트워크 기반 공격에는 인바운드 및 아웃바운드 트래픽에 대한 무제한 접근이 포함될 수 있습니다. 네트워크 분리가 제대로 이루어지지 않으면 인프라의 다양한 부분이 서로 또는 공용 인터넷에 노출될 수 있습니다.

이러한 안전하지 않은 연결은 전송 중 민감한 데이터가 가로채이거나 조작될 위험을 높여 전체적인 위험을 증가시킵니다.

#8. 불충분한 비밀 정보 관리

API 키, 액세스 토큰, 비밀번호와 같은 민감한 정보가 조직에서 적절히 관리되지 않으면 공격자가 민감한 비밀 정보에 접근할 수 있습니다. 개발자가 이러한 자격 증명을 코드 저장소, 구성 파일, 환경 변수에 평문으로 저장하는 경우가 많으며, 공격자가 평문 비밀 정보에 접근할 경우 심각한 보안 침해로 이어질 수 있습니다.

KMS 솔루션에 안전하게 저장하는 것 외에도, 이러한 자격 증명을 정기적으로 교체하여 침해 발생 시 장기 노출 위험을 방지하는 것이 중요합니다.

#9. 서버리스 및 Lambda 함수 취약점

AWS Lambda와 같은 서버리스 컴퓨팅은 고유의 보안 과제를 동반합니다. 함수 권한이 잘못 구성되면 공격자가 무단 접근할 수 있습니다. 함수가 API 키나 비밀 정보를 사용하면서 이를 적절히 관리하지 않으면 공격자가 서버리스 함수를 악용할 수 있습니다.

#10. 컨테이너 및 Kubernetes 보안 이슈

조직이 ECS 또는 EKS와 같은 서비스를 통해 AWS에서 컨테이너화 및 Kubernetes를 도입함에 따라 컨테이너 탈출 취약점, 불충분한 네트워크 분리, 자원 격리 미흡 등 새로운 보안 문제가 대두되고 있습니다. 여기에는 안전하지 않은 컨테이너 이미지, 과도하게 허용적인 파드 보안 정책, Kubernetes RBAC(역할 기반 접근 제어) 구성 오류 등이 포함됩니다. 컨테이너 환경의 동적 특성으로 인해 가시성 유지와 일관된 보안 정책 적용이 어려워져 취약점이 탐지되지 않고 공격자에게 악용될 수 있습니다.

AWS 보안 모범 사례

조직이 AWS 보안의 효과를 보장하고 위에서 언급한 AWS 보안 이슈로부터 스스로를 보호하려면 모범 사례를 따라야 합니다. 이러한 AWS 보안 이슈를 해결하기 위한 주요 모범 사례는 다음과 같습니다:

#1. 강력한 ID 및 접근 관리(IAM) 구현

AWS 환경을 안전하게 설정하는 유일한 올바른 방법은 강력한 ID 및 접근 관리 정책을 구현하는 것입니다. 조직은 항상 최소 권한 원칙을 따라야 합니다. 즉, 실제 작업을 수행해야 하는 사용자와 서비스에만 권한을 부여해야 합니다. MFA 활성화는 특히 일반 사용자보다 더 많은 권한을 가진 사용자(특히 루트 사용자)에게 유용합니다.

액세스 키와 비활성 계정은 정기적으로 감사해야 하며, 더 이상 필요하지 않은 권한은 제거해야 합니다. 또한 AWS Organizations를 사용하면 단일 루트 계정에서 여러 계정을 관리할 때 다양한 제어 옵션을 활용할 수 있습니다.

#2. 데이터 저장 및 전송 시 암호화

전송 중 데이터와 저장 데이터의 암호화는 또 다른 중요한 조치입니다. AWS Key Management Service(AWS KMS)를 사용하면 개발자가 암호화 키를 생성 및 관리할 수 있으며, 이를 다양한 AWS 서비스의 데이터 암호화에 사용할 수 있습니다. 단, KMS를 사용한다고 해서 S3, EBS, RDS의 데이터가 자동으로 암호화되는 것은 아니며, 각 서비스에서 KMS로 관리되는 키를 사용하도록 수동으로 암호화 설정을 해야 합니다. 모든 데이터 전송(API 호출 및 서비스 간 전송 포함)에는 SSL/TLS 사용이 권장됩니다.

또한 조직은 암호화 키를 정기적으로 교체하는 정책을 도입하여 키가 지속적으로 갱신되도록 해야 합니다.

AWS Certificate Manager는 SSL/TLS 인증서 관리를 지원하지만, 저장 데이터에 사용되는 암호화 키를 직접 관리하지는 않습니다. 키 교체의 경우 KMS의 자동 키 교체 기능을 사용하거나 맞춤형 교체 전략을 구현해야 합니다.

#3. 네트워크 보안 강화

또 다른 필수 조치는 네트워크 보안 강화입니다. 기업은 적절히 구성된 Virtual Private Cloud를 사용하여 리소스의 최대 격리를 실현해야 합니다. 보안 그룹과 네트워크 ACL을 활용해 인바운드 및 아웃바운드 트래픽을 제어하고 1차 방어선 역할을 하도록 해야 합니다.

조직은 AWS WAF를 추가 보안 계층으로 사용하여 SQL 인젝션, XSS 등 일반적인 취약점으로부터 웹 애플리케이션을 보호할 수 있습니다. 온프레미스 네트워크와 AWS 리소스 간의 안전한 통신을 위해 VPN 또는 AWS Direct Connect를 사용할 수 있습니다. 이 두 기술은 암호화된 전용 연결을 제공하여 하이브리드 클라우드 아키텍처의 보안을 강화합니다. 또한 네트워크 및 네트워크 구성을 정기적으로 검토하여 새로운 위협과 취약점을 식별하고 제거해야 합니다.

#4. 포괄적인 로깅 및 모니터링 구현

포괄적인 로깅 및 모니터링 구현은 AWS 환경에 대한 가시성을 유지하고 잠재적 위협을 식별하는 데 필수적입니다. 우선, AWS CloudTrail을 활성화하여 인프라 전반의 모든 API 호출을 기록해야 합니다. 이 기능은 기본적으로 제공되므로 사용하지 않을 이유가 없습니다. 이를 통해 AWS 계정 내에서 발생한 작업에 대한 상세한 감사 추적을 생성할 수 있습니다. 위협이나 정책 위반에 즉각적으로 대응하기 위해 Amazon CloudWatch를 사용하여 환경에 대한 경보를 설정해야 합니다.

동시에 AWS Config는 AWS 리소스의 구성 평가, 감사, 평가 및 조직 정책 준수 여부 확인에 유용한 도구가 될 수 있습니다. 모든 로그는 정기적으로 검토되어야 하며, 이상 징후가 발견되면 자동 경보가 발생하도록 해야 합니다. 또한 Amazon GuardDuty의 모든 기능을 활용하여 지능형 위협 탐지 및 지속적인 모니터링을 통해 환경을 더욱 안전하게 보호해야 합니다.

#5. 정기적인 보안 평가 수행

마지막으로, 정기적인 보안 평가와 업데이트는 AWS 환경을 안전하게 유지하는 데 필수적입니다. 따라서 AWS 환경에 대한 취약점 평가 및 침투 테스트를 수행하여 인프라의 약점을 파악해야 합니다. 동시에 모든 시스템과 애플리케이션을 최신 패치로 유지하여 알려진 취약점으로부터 환경을 보호해야 합니다.

AWS Trusted Advisor를 사용하면 환경을 항상 안전하고 최적의 성능 및 비용 상태로 유지하기 위한 실시간 가이드를 받을 수 있습니다. 또한 사고 대응 계획을 정기적으로 업데이트하여 환경에 대한 특정 위협에 대응할 수 있는 전략이 모두 포함되도록 해야 합니다.

더불어, 조직이 HIPAA, PCI DSS 등 특정 규정을 준수해야 하는 경우에는 정기적인 보안 감사 및 컴플라이언스 점검을 수행해야 합니다.

AWS 보안 이슈를 위한 SentinelOne

SentinelOne은 오늘날 가장 강력한 보안 솔루션 중 하나로 부상한 지능형 도구입니다. AWS 환경과의 원활한 통합을 제공하여 조직이 위협으로부터 스스로를 보호하고 사고에 대응할 수 있도록 지원합니다. 이 플랫폼은 다양한 AWS 보안 이슈를 해결하도록 특별히 설계되었습니다. 지능형이라고 부르는 이유는 인공지능과 머신러닝을 활용하여 조직의 탐지, 예방, 대응 역량을 한 차원 높여주기 때문입니다.

심층 AWS 통합

SentinelOne의 주요 강점 중 하나는 AWS 서비스와의 심층 통합입니다. Amazon Security Lake, AppFabric, GuardDuty 등 20개 이상의 통합을 통해 가시성을 높이고 위협 탐지 프로세스를 간소화합니다. 이러한 긴밀한 통합은 보안에 대한 보다 전체적인 접근을 가능하게 하여 취약점이 간과되지 않도록 보장합니다.

SentinelOne은 최근 AWS Security Hub와의 새로운 통합을 발표했습니다. 이는 SentinelOne Singularity Marketplace를 통해 제공됩니다. 이 새로운 통합은 Amazon Web Services(AWS)에서 실행되는 SentinelOne 에이전트의 고신뢰 위협 정보를 AWS Security Hub로 필터링합니다. 이 통합은 SentinelOne 콘솔에서 메타데이터를 포함한 탐지 결과를 가져와 AWS Security Hub로 전송하여, AWS Security Hub에서 직접 사고 조사가 가능하도록 합니다. SentinelOne 사고는 AWS Security Finding Format(ASFF)으로 표준화되어 보안 데이터를 변환하거나 파싱할 필요가 없습니다.

완전한 가시성

SentinelOne은 조직의 AWS 환경에 대한 완전한 가시성을 제공합니다. 이 가시성에는 네트워크 트래픽, 파일 시스템 활동, 프로세스 동작에 대한 정보가 포함됩니다. 보안팀은 이러한 정보를 활용하여 잠재적 위협을 신속하게 식별하고 조사할 수 있습니다.

자동화된 대응

SentinelOne이 보안팀에 매력적인 이유는 보안 모니터링 지원뿐만 아니라 자동화된 대응 등 다양한 기능을 제공하기 때문입니다. 이 프로세스에는 영향을 받은 리소스 격리, 악성 리소스 종료, 시스템을 안전한 상태로 롤백하는 작업이 포함됩니다. 자동화는 보안 사고에 대한 평균 대응 시간(MTTR)을 단축하여 데이터 유출로 인한 피해를 줄이는 데 도움이 됩니다.

컴플라이언스 지원

컴플라이언스 요구사항은 엄격한 기준으로 인해 조직에 부담이 될 수 있습니다. 이 플랫폼은 컴플라이언스 지원을 제공하여 조직의 부담을 줄여줍니다. GDPR, HIPAA, PCI DSS 등 표준 준수를 지원합니다. 감사 목적으로 상세 보고서를 생성하며, 플랫폼은 확장성이 뛰어나 소규모 및 대규모 조직 모두에 적합합니다.

결론

이 블로그 전반에서 살펴본 바와 같이, AWS 보안은 다계층 아키텍처로 구성되어 있으며 클라우드 컴퓨팅에서 비즈니스를 운영하는 기업에 매우 중요합니다.

AWS 보안은 공유 책임 모델에 기반하며, AWS와 조직이 각각 맡아야 할 역할과 책임을 강조합니다. 이 블로그에서는 다양한 AWS 보안 이슈를 살펴보았습니다. 조직이 직면할 수 있는 가장 중요한 AWS 보안 이슈로는 잘못 구성된 S3 버킷, 부적절한 IAM 정책, 보안이 취약한 API, 암호화되지 않은 데이터, 취약한 EC2 인스턴스, 네트워크 보안 약점, 불충분한 비밀 정보 관리, 서버리스 취약점, 컨테이너 보안 문제 등이 있습니다.

조직은 강력한 ID 및 접근 관리, 데이터의 모든 단계에서의 암호화 등 모범 사례를 구현하여 위에서 언급한 보안 이슈로부터 스스로를 보호할 수 있습니다. 이러한 모범 사례는 조직을 보호할 뿐만 아니라 AWS 보안 기능을 최대한 활용하는 데도 도움이 됩니다.

SentinelOne 플랫폼은 진화하는 위협으로부터 조직을 보호하는 데 유용한 추가 보안 계층 역할을 합니다. 이 도구는 인공지능과 머신러닝을 활용하여 거의 실시간으로 위협을 탐지하고 해결합니다. SentinelOne은 AWS 보안 기능과 통합하여 조직의 탄탄한 방어 체계를 구축할 수 있습니다.