[reinvent 2024] 템플렛(카피용)_효과적이고 비용효율적인 Gen AI 어플의 7대 원칙 [SIMULCAST]
Summary
Amazon GuardDuty의 최신 기능과. GuardDuty가 AWS 환경 전반에 걸쳐 종단 간 가시성을 제공하는 완전 관리형 위협 탐지 기능을 어떻게 제공하는지 알아보세요.
리인벤트 2024 테크 블로그의 더 많은 글이 보고 싶다면?
Overview
들어가며
클라우드 환경이 확장됨에 따라 보안 위협도 점차 복잡해지고 있고 보안에 대해서는 잘 알지 못해 이번 세션을 통해 Amazon GuardDuty가 제공하는 고급 위협 탐지 기술과 실제 AWS 환경에서 이를 활용하는 방법을 알아보고 싶어 신청하게 되었습니다.
GuardDuty의 핵심 기능
Amazon GuardDuty는 AWS 환경에서 발생할 수 있는 보안 위협을 탐지하고 분석하기 위한 강력한 도구로 다양한 보안 데이터를 기반으로 동작합니다. 이 서비스는 보안 팀이 직면하는 데이터 과부하 문제를 해결하고 위협 탐지를 더 빠르고 효율적으로 수행할 수 있도록 설계되었습니다.
GuardDuty의 첫 번째 강점은 위협 탐지와 분석 능력에 있습니다. GuardDuty는 AWS의 CloudTrail, VPC Flow Logs, DNS Resolver Logs와 같은 다양한 데이터 소스를 실시간으로 수집하고 분석합니다. 이를 통해 사용자 개입 없이도 필요한 보안 로그를 확보하고 클라우드 환경에서 발생할 수 있는 위협을 조기에 탐지할 수 있습니다. 보안 담당자가 별도로 로그 설정을 고민하지 않아도 된다는 점은 특히 보안에 익숙하지 않은 사용자들에게 큰 장점으로 다가옵니다.
추가적으로 GuardDuty는 위협 인텔리전스를 활용하여 보안 탐지의 정확성을 높입니다. 예를 들어, Mithra는 매일 18만 개 이상의 악성 도메인을 탐지하고 이를 통해 공공 위협 인텔리전스보다 더 빠르게 위협 신호를 감지합니다. MadPot은 전 세계에 배치된 허니팟 네트워크를 통해 악성 행위자들의 행동 패턴과 새로운 위협 모델을 분석합니다. Sonaris는 AWS 클라우드 내부에서 발생하는 악의적 행위를 사전에 차단하여 고객의 워크로드에 영향을 주기 전에 방어를 수행합니다. 이러한 위협 인텔리전스 기능은 GuardDuty가 단순한 보안 도구가 아니라 AWS 환경 전반에서 종합적인 보안 솔루션 역할을 할 수 있도록 만듭니다.
Attack Sequence Detection
GuardDuty는 다단계 공격을 자동으로 연결하여 분석하는 멀티스테이지 공격 탐지 기능을 새롭게 발표했습니다. 이 기능은 기존의 개별 경고 기반 분석 방식을 혁신적으로 개선한 것으로 보안 팀의 업무 효율성을 크게 향상시킵니다.
기존에는 보안 팀이 여러 개의 개별 경보를 직접 확인하고 관련성을 분석하여 하나의 공격 시나리오를 구성해야 했습니다. 그러나 Attack Sequence Detection은 이러한 경고들을 자동으로 연결해 하나의 공격 시나리오로 제공합니다. 예를 들어, AWS 환경의 자격 증명이 탈취된 후 발생하는 여러 단계를 하나로 묶어 공격의 전체 흐름을 시각적으로 보여줍니다.
또한, 이 기능은 MITRE ATT&CK 프레임워크를 활용하여 탐지된 위협을 표준화된 언어로 설명합니다. 이를 통해 보안 팀은 공격의 성격과 심각성을 더 쉽게 이해하고 대응 방안을 신속히 마련할 수 있습니다. S3 데이터 유출이나 데이터 손상 시도를 탐지하는 데에도 이 기능이 유용하게 활용될 수 있습니다.
머신 러닝과 AI 활용
Amazon GuardDuty는 머신 러닝과 인공지능을 기반으로 한 고급 분석 기술을 통해 위협 탐지의 정밀도를 극대화합니다. GuardDuty의 가장 큰 장점 중 하나는 사용자, 계정, 리소스의 정상적인 행동 패턴을 학습하여 이를 기준으로 비정상적이거나 위협적인 행동을 감지하는 행동 모델 학습에 있습니다.
GuardDuty는 먼저 CloudTrail, VPC Flow Logs, DNS Resolver Logs 등에서 수집한 데이터를 바탕으로 정상적인 동작 패턴을 학습합니다. 이를 통해 특정 API 호출, 네트워크 연결 지점, 사용자의 지리적 위치와 같은 요소를 기준으로 일상적인 행동과 트랜잭션을 정의합니다. 예를 들어, 특정 사용자가 매일 호출하는 StartInstance와 StopInstance API는 정상적인 동작으로 간주됩니다.
이후, GuardDuty는 학습된 정상 패턴과 비교하여 예상치 못한 행동을 감지합니다. 예를 들어, 한 사용자가 갑작스럽게 평소에 호출하지 않던 TerminateInstance API를 호출하거나, VPN을 통해 접근을 시도하면 이를 비정상적 행동으로 간주하여 경고를 생성합니다. 이러한 탐지 방식은 위협 신호의 맥락을 정확히 이해하고 보안 팀이 보다 효과적으로 대응할 수 있도록 돕습니다.
결론
이 기능은 단순히 보안 팀의 업무를 효율화하는 데 그치지 않고 클라우드 환경에서 발생할 수 있는 다양한 위협을 신속하게 이해하고 대응할 수 있는 능력을 제공합니다. 또한 GuardDuty가 머신 러닝 및 위협 인텔리전스를 활용해 비정상적인 행동을 감지하고 분석하는 과정은 기술적으로 뛰어나며 보안 자동화의 가능성을 확장시키는 데 중요한 역할을 하고 있습니다.
이번 세션을 통해 GuardDuty가 AWS 클라우드 보안에서 차지하는 중요성과 그 혁신적 가치를 실감할 수 있었습니다. 이를 기반으로 고객사 어카운트 내 보안 전략을 강화하고 GuardDuty의 기능을 보다 적극적으로 활용할 방법을 조금 더 다양하게 사용할 수 있을 수 있을 것 같습니다.