[AWS SUMMIT 2025] AWS 보안 서비스로 구축하는 자동화된 위협 탐지와 대응 전략

들어가며

AWS 보안 서비스로 구축하는 자동화된 위협 탐지와 대응 전략

🎙️한태경 솔루션즈 아키텍트, AWS

🎙️홍민표 테크니컬 어카운트 매니저, AWS

🗂️ 세션 토픽: 보안 및 거버넌스

평소 AWS 보안 서비스 중 GuardDuty 라는 서비스를 활용해 자동화된 위협 탐지 및 대응에 대한 구성을 고민하던 중, AWS Summit에서 해당하는 주제에 대한 세션이 있어 듣게 되었습니다. 이 세션에서는 급변하는 클라우드 환경에서 자동화된 보안의 중요성을 강조하고, AWS의 다양한 보안 서비스들을 연계하여 실제 위협 탐지부터 대응까지 자동화하는 방법을 구체적인 사례와 데모를 통해 제시했습니다.

자동화된 위협 탐지 및 대응의 필요성

• 동적인 워크로드: 클라우드 환경은 지속적으로 리소스가 생성, 변경, 삭제되는 특징을 가지며, 다중 계정, 리전, 서비스에 걸쳐 확장됩니다. 이러한 환경에서는 기존의 정적인 인프라 환경과는 달리 수동으로 모든 리소스 변경 사항을 실시간으로 추적하고 관리하는 것이 현실적으로 불가능합니다.
• 고도화된 보안 위협: 클라우드 환경은 API, 공급망, 컨테이너 등 다양한 공격 경로를 제공하며, AI 기반의 자동화된 공격 도구의 등장으로 공격의 정교성과 속도가 더욱 증가하고 있습니다. 따라서 위협 발생 시 골든타임 내에 신속하게 공격을 차단하는 것이 무엇보다 중요해졌습니다.
• 운영 효율성 및 일관성 확보: 클라우드 보안 전문 인력 부족은 심각한 문제이며, 제한된 인력으로 수많은 보안 이벤트를 수동으로 대응하다 보면 운영 효율성이 저하되고, 대응 과정에서 오류가 발생하여 보안 공백으로 이어질 가능성이 존재합니다. 예외 없는 일관적인 보안 체계를 확보하기 위해서는 자동화된 대응 방안이 필수적입니다.

2. 보안 현대화를 위한 AWS의 주요 보안 서비스

AWS 클라우드 환경에서는 자동화된 위협 탐지 및 대응 체계를 구축하기 위한 주요 보안 서비스들을 기능별로 분류하여 제시합니다. AWS는 각 단계에 최적화된 서비스를 제공함으로써 현대적인 보안 아키텍처 구축을 지원합니다.

1. 위협 탐지
   이 단계는 잠재적인 보안 위협 신호를 식별하는 데 초점을 맞춥니다. AWS에서는 다음과 같은 서비스를 제공합니다.
   • Amazon GuardDuty: 계정 및 워크로드에서 발생하는 로그 데이터(VPC Flow Logs, DNS Logs, CloudTrail 이벤트 등)를 기반으로 악의적인 활동 및 비정상적인 행위를 탐지하는 지능형 위협 탐지 서비스입니다. 머신러닝과 위협 인텔리전스를 활용하여 알려진 위협뿐만 아니라 새로운 위협까지 식별할 수 있습니다.
   • Amazon Inspector: EC2 인스턴스 및 컨테이너 이미지의 보안 취약점과 네트워크 구성을 자동으로 평가하는 서비스입니다. CVE(Common Vulnerabilities and Exposures) 데이터베이스 및 네트워크 접근 가능성 분석을 통해 잠재적인 보안 허점을 사전에 파악하고 개선할 수 있도록 지원합니다. 또한, SBOM(Software Bill of Materials) 기능을 통해 소프트웨어 구성 요소 및 종속성을 파악하여 취약점 가시성을 높이고 공급망 보안 관리를 용이하게 합니다.
2. 위협 분류
   탐지된 위협 신호들을 분석하고 맥락을 파악하여 보안 이벤트의 심각도와 유형을 분류하는 단계입니다.
   • AWS Security Hub: AWS 전반의 보안 경고 및 보안 상태를 중앙 집중식으로 관리하고 가시성을 확보할 수 있도록 지원하는 서비스입니다. GuardDuty, Inspector 및 기타 AWS 보안 서비스와 서드파티 도구에서 생성된 보안 Finding을 통합하여 일관된 형태로 제공하고, 모범 사례 기반의 보안 상태 평가를 통해 전반적인 보안 태세를 점검할 수 있습니다.
3. 위협 조사
   분류된 위협 이벤트를 심층적으로 분석하고, 공격의 근본 원인 및 영향을 파악하는 단계입니다.
   • Amazon Detective: 보안 이벤트 간의 연관 관계를 그래프 형태로 시각화하여 보안 조사를 용이하게 하는 서비스입니다. 시간 흐름에 따른 이벤트 분석, 관련 리소스 및 사용자 활동 추적 등을 통해 공격의 전체적인 흐름과 영향을 신속하게 파악할 수 있도록 지원합니다.
   • Amazon Security Lake: 다양한 AWS 및 서드파티 보안 데이터를 OCSF(Open Cybersecurity Schema Framework)라는 개방형 표준 형식으로 통합하여 중앙 집중식 데이터 레이크를 구축하는 서비스입니다. 통합된 데이터를 기반으로 보안 분석가들은 보다 효율적으로 위협을 쿼리, 분석하고 상관관계를 파악할 수 있습니다.
4. 대응 체계
   분석된 위협에 대해 실제적인 조치를 취하고, 유사한 위협의 재발을 방지하기 위한 자동화된 프로세스를 구축하는 단계입니다.
   • AWS Systems Manager: AWS 리소스를 중앙에서 관리하고 자동화된 운영 및 유지 관리 작업을 수행할 수 있도록 지원하는 서비스입니다. 특히 Systems Manager Runbook 기능을 활용하여 사전에 정의된 절차에 따라 보안 위협에 자동으로 대응하는 워크플로우를 구축할 수 있습니다. 또한 ChatOps 연동을 통해 보안 담당자들이 익숙한 메신저 환경에서 신속하게 대응 작업을 수행할 수 있도록 지원합니다.

이처럼 AWS는 위협의 탐지부터 최종적인 대응까지 각 단계에 걸쳐 특화된 서비스들을 제공하며, 이들 서비스를 유기적으로 통합하여 자동화된 보안 운영 환경을 구축할 수 있도록 지원합니다. 이는 조직이 급변하는 사이버 위협 환경에 효과적으로 대응하고 보안 운영 효율성을 극대화하는 데 핵심적인 역할을 수행합니다.

3.  AWS Well-Architected 보안 프레임워크

AWS Well-Architected 보안 프레임워크는 각 요소들을 균형 있게 고려하고 적용함으로써, 조직은 클라우드 환경을 안전하게 운영하고 비즈니스 연속성을 확보할 수 있습니다.

• 자격 증명 및 접근 관리: 누가, 어떤 리소스에, 어떤 조건으로 접근할 수 있는지를 정의하고 관리하는 것은 보안의 가장 기본적인 요소입니다. 강력한 인증 및 권한 부여 메커니즘을 통해 무단 접근을 방지하고 최소 권한 원칙을 적용해야 합니다.
• 컴퓨팅 및 네트워크 보호: 컴퓨팅 리소스와 네트워크 인프라를 보호하여 악의적인 공격으로부터 격리하고, 네트워크 트래픽을 제어하여 비정상적인 활동을 차단해야 합니다. 방화벽, 침입 탐지/방지 시스템, 네트워크 분리 등의 기술적 및 논리적 제어가 중요합니다.
• 어플리케이션 및 데이터 보호: 애플리케이션 자체의 보안 취약점을 제거하고, 저장 및 전송 중인 데이터를 보호하여 기밀성, 무결성, 가용성을 확보해야 합니다. 암호화, 데이터 분류 및 접근 제어, 안전한 개발 관행 등이 요구됩니다.
• 실시간 모니터링 및 자동화된 대응: 보안 이벤트 및 시스템 상태를 지속적으로 모니터링하고, 위협이 감지되었을 때 자동으로 대응 조치를 수행하여 신속하게 위험을 완화해야 합니다. 로깅 및 분석 시스템, 자동화된 알림 및 대응 워크플로우 구축이 중요합니다.

보안 거버넌스 및 컴플라이언스: 조직의 보안 정책 및 규정을 정의하고, 이를 준수하는지 지속적으로 감사하며, 변화하는 위협 환경 및 규제 요구 사항에 맞춰 보안 체계를 개선해야 합니다. 위험 평가, 보안 표준 준수, 보안 인식 교육 등이 포함됩니다.

4. 글로벌 규모의 위협 인텔리전스를 기반으로 한 지능형 위협 탐지

AWS의 위협 탐지 서비스는 단순한 패턴 매칭을 넘어, 글로벌 규모의 위협 인텔리전스를 핵심 동력으로 작동합니다. 이는 AWS의 광범위한 고객 기반으로부터 수집된 과거의 보안 이벤트 대응 데이터를 기반으로 합니다. 이 방대한 위협 인텔리전스는 분산 서비스 거부(DDoS) 공격, 암호화폐 채굴, 무단 데이터 유출 등 다양한 공격 유형과 특정 공격 패턴에 대한 심층적인 정보를 포함합니다. AWS는 이러한 정보를 정교한 모니터링 센서와 자동 응답 시스템에 통합하여, 실시간으로 발생하는 위협에 효과적으로 대응할 수 있도록 지원합니다. 더 나아가, AWS의 위협 탐지 서비스는 다양한 위협 유형에 따라 자동화된 워크플로우를 구성하고, 실시간 알림 및 대응 워크플로우를 구현하는 데 중요한 기반 정보를 제공합니다. 결과적으로, AWS의 위협 탐지 서비스는 전 세계에서 발생하는 실제 위협 사례를 학습하고 분석한 지능을 바탕으로, AWS 환경을 더욱 안전하게 유지하는 데 핵심적인 역할을 수행합니다. 이는 예측 기반의 선제적 위협 식별 및 신속한 자동 대응을 가능하게 하여, 보안 운영의 효율성을 높이고 잠재적인 피해를 최소화합니다.

5. 보안 모범 사례

GuardDuty가 특정 보안 위협(Security Finding)을 감지하면, AWS EventBridge의 규칙(Rule)에 따라 미리 정의된 워크플로우가 트리거될 수 있습니다. 이 워크플로우의 예시로 AWS Step Functions를 호출하는 것을 들 수 있습니다. Step Functions는 여러 AWS 서비스를 순차적으로 실행하는 서버리스 오케스트레이션 서비스로, 정의된 단계별 액션을 자동화합니다. 본 장표에서 제시된 Step Functions의 예시로는 다음과 같은 자동화된 대응 액션을 들 수 있습니다.

• S3 퍼블릭 접근 차단: GuardDuty가 S3 버킷의 과도한 퍼블릭 접근을 탐지했을 경우, 자동으로 해당 퍼블릭 접근을 차단하는 액션을 Step Functions를 통해 수행할 수 있습니다.
• 오래된 세션 무효화(Revoke Old Session): GuardDuty가 비정상적인 세션 활동을 감지했을 때, 오래된 세션을 자동으로 무효화하여 잠재적인 보안 위험을 제거할 수 있습니다.

뿐만 아니라, GuardDuty의 탐지 결과는 AWS Lambda 함수를 트리거하여 사용자 정의 액션을 수행하도록 구성할 수도 있습니다. Lambda 함수를 활용한 자동화 예시는 다음과 같습니다.

• 보안 이벤트 로깅: GuardDuty의 Finding 또는 관련 로그 데이터를 Amazon S3에 자동으로 저장하여 감사 및 분석을 위한 증거를 확보합니다.
• 보안 알림: Amazon SNS (Simple Notification Service)를 통해 보안 담당자에게 실시간으로 위협 발생 상황을 알립니다.
• 시스템 관리 자동화: AWS Systems Manager를 통해 영향을 받는 계정 또는 리소스에 대해 미리 정의된 자동 조치(예: Runbook 실행)를 수행합니다. 예를 들어, 특정 EC2 인스턴스에서 보안 그룹 설정에 문제가 발생했을 경우, 해당 인스턴스를 격리된 보안 그룹으로 자동으로 이동시켜 네트워크 통신을 차단할 수 있습니다.

이처럼 AWS GuardDuty는 EventBridge, Step Functions, Lambda, SNS, Systems Manager 등 다양한 AWS 서비스와의 연동을 통해 탐지된 위협에 대한 신속하고 자동화된 대응 체계를 구축할 수 있도록 지원합니다. 이는 보안 운영 효율성을 높이고, 인적 개입 없이 위협을 효과적으로 관리하며, 궁극적으로 클라우드 환경의 보안 수준을 강화하는 데 기여합니다.

많은 고객분들이 기존 SIEM 솔루션의 복잡성과 비용에 대한 대안으로 AWS 서비스를 활용한 SIEM 구축에 관심을 보이고 있습니다. 본 장표는 AWS Security Lake를 중심으로 AWS 네이티브 서비스를 활용하여 SIEM을 구성하는 모범 사례를 제시합니다. 

기존 온프레미스 환경의 다양한 로그와 더불어, SaaS 애플리케이션에서 발생하는 로그는 조직의 전체적인 보안 상황을 파악하는 데 필수적인 정보입니다. 이기종 환경의 로그들을 효과적으로 통합하기 위해, 고객은 먼저 이러한 로그들을 OCSF(Open Cybersecurity Schema Framework) 표준 형식으로 변환하여 Security Lake에 지정된 Amazon S3 버킷으로 전송할 수 있습니다. 더불어, AWS CloudTrail, AWS Security Hub, Amazon Route 53 등 AWS 네이티브 서비스에서 발생하는 주요 보안 관련 로그는 별도의 변환 과정 없이 자동으로 Security Lake로 통합됩니다.

 이처럼 Security Lake를 중심으로 모든 보안 관련 로그를 한곳에서 통합 관리함으로써, 중앙 집중식 SIEM 구축이 가능해집니다. 통합된 데이터는 다양한 분석 도구를 통해 심층적으로 분석하고 시각화할 수 있습니다. 결론적으로, AWS Security Lake는 다양한 환경의 보안 로그를 표준화된 형태로 통합하고, Athena 및 OpenSearch와 같은 분석 서비스를 통해 심층적인 분석 및 시각화를 가능하게 함으로써, 확장 가능하고 비용 효율적인 차세대 SIEM 구축의 기반을 제공합니다.

최근 많은 조직에서 생성형 AI를 보안 영역에 어떻게 적용할 수 있는지에 대한 관심이 높아지고 있으며, 특히 보안 로그 분석 및 대응 효율성 향상을 위한 다양한 활용 사례가 등장하고 있습니다. 본 장표는 ChatOps와 생성형 AI를 통합하여 구축할 수 있는 지능형 보안 아키텍처의 모범 사례를 제시합니다. 

데이터 처리 흐름을 살펴보면, 먼저 AWS GuardDuty에서 생성된 Security Finding은 Amazon S3에 저장됩니다. 이후 임베딩 모델을 통해 이 Finding 데이터는 벡터화되어 Amazon OpenSearch에 저장됩니다. 이는 GuardDuty의 Security Finding을 벡터 데이터베이스로 변환하여 저장하는 과정이며,  Amazon OpenSearch는 이렇게 저장된 벡터 데이터를 기반으로 보안 관련 지식 저장소 역할을 수행하게 됩니다. 보안 담당자는 이처럼 구축된 지식 저장소를 활용하여 과거 발생했던 보안 이슈에 대한 정보를 검색하고 분석할 수 있습니다. 사용자가 자연어 질의를 입력하면, 해당 질의 또한 임베딩 과정을 거쳐 벡터화되고, Amazon OpenSearch의 시맨틱 검색 기능을 통해 관련성 높은 결과를 반환합니다. 검색된 결과는 사전 정의된 프롬프트 증강 과정을 거쳐 AWS Bedrock과 같은 생성형 AI 모델에 전달됩니다. 생성형 AI 모델은 제공된 컨텍스트를 기반으로 사용자의 질의에 대한 적절한 답변을 생성하여 제공합니다. 

이러한 아키텍처를 통해 보안 담당자는 ChatOps 인터페이스를 통해 자연어로 보안 관련 질문을 하고, 생성형 AI로부터 맥락에 맞는 답변을 신속하게 얻을 수 있습니다. 이는 보안 로그 분석에 소요되는 시간을 단축시키고, 보다 효율적인 보안 운영 및 의사 결정을 지원하는 지능형 보안 ChatOps 체계를 구축하는 효과적인 방법입니다.

마무리하며

이번 세션을 통해 클라우드 환경에서의 자동화된 위협 탐지 및 대응 전략의 중요성과 AWS의 다양한 보안 서비스들을 활용한 실제 구축 방안을 상세히 살펴볼 수 있었습니다.

클라우드 환경의 특성상 자동화된 보안 체계가 필수적이며, AWS는 GuardDuty, Inspector, Security Hub, Detective, Security Lake, Systems Manager 등 각 기능별로 특화된 서비스를 제공하여 통합적인 자동화된 위협 관리 및 대응 시스템 구축을 지원한다는 점을 강조했습니다. 또한, AWS Well-Architected 프레임워크의 보안 필라를 통해 클라우드 보안의 핵심 원칙을 이해하고, 글로벌 위협 인텔리전스를 활용한 지능형 위협 탐지, GuardDuty 기반의 자동 대응 사례, Security Lake를 활용한 SIEM 구축, 그리고 생성형 AI 기반의 보안 ChatOps 등 다양한 모범 사례를 통해 실제 적용 가능성을 확인할 수 있었습니다.

글 │ 메가존클라우드, HALO Cloud Security Unit, Security Advisory Team, 권모아 Security Presales