2025 AWS 써밋 2일차 방문기

2025 AWS 써밋에 다녀왔다. 그리고 물론 내가 경험이 많이 부족하긴 하다만, 이런 컨퍼런스는 살면서 처음 봤다.

 

 

이렇게 자본의 맛이 달콤한 컨퍼런스는 살면서 처음 봤다. 컨퍼런스의 처음부터 끝까지 어느 하나 강력한 자본이 들어가지 않은 곳이 없었다. 2만명에 가까운 인원이 방문을 했다는데 충분히 올만한 가치가 있는 컨퍼런스였다. 우선, 강력한 자본도 자본이지만, 준비성이 너무 좋아서 퀄리티 자체가 너무 높았다. 나야 보안 트랙에 있는 세션만 줄곧 들었는데, 방문자들의 말을 들어 보니, 여러 트랙의 수준이 전체적으로 다 높았던 것으로 보인다. 나도 세션을 들으며 상당히 만족스러웠다.

 

 

그리고 이 컨퍼런스가 더 신기하게 느껴졌던 점은 아침부터 디제잉을 볼 수 있었기 때문이다. 여러 방문객들이 디제잉에 맞춰 아침부터 들썩이는 걸 볼 수 있었다. 내가 클럽에 가본 적은 없으나, 클럽이 이런 느낌이려나.. 싶다.

 

사실 나도 여러 경품을 겟하고 싶었으나, 회사에서 참석한 격이었기 때문에 보안 트랙을 성실히 듣고 해당 내용을 정리할 필요가 있었다.

 

앞서 말한 것처럼, 나는 TRACK 07에만 주구장창 있었고, 5개의 세션을 모두 들었다. 기조연설의 일부 부분을 더해 내가 이번 교육에서 정리한 내용은 다음과 같다.

 

기조연설 요약

클라우드 기술 트렌드 3가지

1. Frugal Architecture
2. Platform Engineering
3. Generative AI

Simplexity: 복잡성을 관리하는 원칙

시스템은 점점 복잡해지고 있다. 요구사항이 늘어나면 시스템 규모가 커지고, 보안 이슈도 함께 증가한다. 복잡성은 피할 수 없으며, 시스템에는 줄일 수 없는 고유한 복잡성이 존재한다.

1. 진화 가능하도록 요구사항을 설정하라.
   시스템은 계속 진화해야 한다는 이해를 바탕으로 아키텍처를 설계해야 한다.
2. 복잡성을 작은 조각으로 나눠라.
   시스템을 더 작고 관리 가능한 구성 요소로 분해해야 한다. 흔히 ‘마이크로서비스 아키텍처’라고 부르는 방식이 여기에 해당한다.
3. 사내 조직을 아키텍처에 맞춰라.
   콘웨이의 법칙에 따르면, 우리가 만드는 아키텍처는 조직 구조를 반영한다. 특정 아키텍처를 원한다면 조직 구조를 그에 맞게 조정해야 한다.
4. 셀 단위로 구성하라.
   하나의 셀 문제가 다른 셀에 영향을 미치지 않아 시스템을 탄력적으로 만든다. 셀 기반 구성은 서비스를 하나로 묶어 분산 서비스를 구현하기 위함이다.
5. 예측 가능한 시스템을 만들라.
   단순하고 예측 가능한 시스템이 더 낫다. 일관되고 예측 가능한 동작을 제공하는 구성 변경을 달성하는 것이 효율적이다.
6. 복잡성을 자동화하라.
   무엇을 자동화해야 하는지가 아니라, 무엇을 자동화하지 말아야 하는지에 초점을 맞춰야 한다. 자동화는 특히 보안 및 운영 분야에서 중요하다.

목표는 복잡성을 제거하는 것이 아니라, 관리 가능하고 지속 가능한 상태로 만드는 것이다.

 

세션 1. AWS 보안 스케일링: 개발부터 운영까지

(1) 클라우드 보안 개요
클라우드 보안과 운영에서 직면하는 주요 어려움은 혁신에 대한 장애물, 전문가와 자원의 부족, 확장성과 복잡성, 진화하는 위협 현황, 데이터 보호와 개인정보 관련 요구사항이다. 혁신 가속화를 위해서는 가장 안전한 인프라스트럭처, 속도와 민첩성을 가능하게 하는 보안 자동화, End-to-End 보안과 가이드라인이 필요하다. AWS는 설계 단계부터 보안을 적용하며, 143개의 보안 및 컴플라이언스 인증을 보유하고 있다. 전 세계 모든 글로벌 리전에서 확장 가능한 보안 환경을 운영하며, 24시간 365일 지속적인 모니터링과 자동화된 보안 통제를 실시한다.

특히 실리콘 레벨에서부터 보안을 적용하는데, 그래비톤4 칩셋은 뛰어난 가성비를 제공하는 동시에 메모리 영역에서 암호화를 자동으로 수행한다. CPU와 메모리 사이의 모든 인터페이스가 자동 암호화되며, 이 과정에서 성능 저하 없이 보안을 강화한다. 포인터 인증으로 코드 인젝션 공격을 방어하고, Branch Target Identification과 동시 멀티스레딩 미지원으로 보안성을 높인다.

NITRO 플랫폼은 EC2 인스턴스 간 통신 시 사용자가 별도의 암호화 설정 없이도 자동 암호화를 제공하며, 물리적 접근이 차단된 API 기반 자동화 환경에서 운영되어 운영 인력이 물리적으로 시스템에 접근할 수 없다.

AWS는 독립적으로 위협 인텔리전스를 수집하는데, 하루 1조 개 이상의 DNS 요청을 처리하며 124,000개 이상의 악성 도메인을 탐지한다. 레드 팟을 이용해 지속적으로 위협 인텔리전스를 수집하고 Amazon GuardDuty와 통합하여 의심스러운 행동을 몇 분 내에 탐지하고 제한한다. 네트워크 텔레메트리 분석기와 Amazon S3, VPC, AWS Shield, AWS WAF가 연계되어 자동 보호를 수행한다.

(2) 데이터 보호
데이터 보호 요구사항은 저장 시 데이터 보호, 전송 중 데이터 보호, 애플리케이션 자격증명 관리, 데이터 생명주기 관리로 나뉜다. AWS KMS를 통해 데이터가 전송되기 전에 암호화 상태가 되도록 하고, ACM에서 인증서를 제공하며 저장 시에는 서버 측 암호화를 적용한다. KMS와 CloudHSM은 FIPS 140 인증을 받은 HSM을 사용하며 엔터프라이즈 기업의 데이터 보호를 위해 활용된다. 클라우드 내 데이터 공유 시에는 IAM을 통한 교차 계정 접근 제어가 이뤄지고, IAM과 Secret Manager로 인증 및 인가를 관리한다. 보안 태세 증명을 위해서는 Config, Security Hub 등을 활용해 감사 리포트를 생성할 수 있다.

(3) 네트워크 및 인프라 보호
네트워크 및 인프라 보안의 어려움은 중앙 집중식 가시성 확보, 네트워크 가용성 및 애플리케이션 보호, 법무 및 규정 준수, 확장성 확보, 높은 비용, 제한된 자원과 전문가 부족, 원격 근무 환경에 대한 안전한 접근 경로 확보 등이다. 클라우드가 멀티 계정, 멀티 VPC로 구성될 경우 솔루션이 분산될 수밖에 없고, 재택근무 및 원격근무 활성화로 네트워크 보안이 더욱 어려워진다.

AWS는 AWS Firewall Manager를 중심으로 AWS WAF, AWS Shield Advanced, Amazon VPC Security Group, AWS Network Firewall, Amazon Route 53 Resolver DNS Firewall, AWS Verified Access 등을 제공해 각 요구사항에 맞는 보안 서비스를 선택적으로 구독할 수 있게 한다.

(4) 위협 탐지 및 대응
보안 이벤트에 대한 통찰력 있는 데이터 부족, 파편화된 보안 정보로 인한 가시성 저하, 노이즈에서 중요한 정보를 찾아내고 실행 가능한 단계로 전환하는 어려움 등이 문제로 작용한다. 많은 로그 중 의미 있는 데이터를 찾아 대응하는 것이 어렵지만, AWS는 Amazon GuardDuty로 위협과 비정상 행위를 탐지하고, Amazon Macie로 민감정보를 식별하며, Amazon Inspector로 취약점을 진단한다. 이 세 가지 서비스가 AWS Security Hub에서 보안 점검 자동화와 보안 로그 중앙화를 수행하고, Amazon Detective와 Amazon Security Lake를 통해 이벤트와 탐지 내역을 분석하며 보안 로그의 일반화와 중앙 집중화된 분석을 지원한다. 이를 통해 AWS 환경 전반의 보안 운영을 간소화한다.

(5) 생성형 AI 보안
생성형 AI 보안은 크게 두 가지 사용 사례로 나뉜다. 첫째는 생성형 AI 보안 자체이고, 둘째는 보안을 위한 생성형 AI다. 생성형 AI 기반 애플리케이션을 안전하게 보호하기 위해서는 심층 방어 구조의 계층화된 보안이 필요하다. 먼저 데이터 보호(익명화, 가명화 등)를 실시하고, 애플리케이션 보호에서는 과도한 API 호출 같은 DDoS 공격을 방어해야 한다. 인프라 보호, 위협 탐지 및 사고 대응, 계정 및 권한 관리, 네트워크 및 에지 보호, 그리고 정책 인식도 중요하다.

생성형 AI에 심층 보안을 적용하기 위한 시작점으로는 사고 대응을 위한 Security Hub, 데이터 보호를 위한 AWS KMS, 위협 탐지를 위한 GuardDuty, 네트워크 및 인프라 보호를 위한 Shield Advanced가 있다.

보안을 위한 생성형 AI는 반복 작업 자동화, 상위 보안 전문가 지원, 선제적 대응 또는 반응적 대응 등 다양한 방식으로 보안팀을 도울 수 있다. AWS는 AI/ML을 활용한 보안 개선을 위해 GuardDuty, Detective, Inspector, Macie 등을 제공하며, Q Developer를 통해 코드 리뷰로 보안 수준을 높일 수 있다.

 

 

세션 2. 거버넌스 마스터플랜: 클라우드 카오스를 질서로 바꾸는 방법

클라우드 거버넌스는 통제와 혁신, 규제 준수와 민첩성, 비용 최적화와 운영 효율성 모두를 동시에 달성해야 해서 어려운 개념이다. 이에 클라우드 거버넌스 구축을 위한 마스터 플랜은 다음 7가지로 요약된다.

(1) 규모 확장의 핵심 요소 - 구조화
AWS 계정 하나에 여러 워크로드를 올리면 규제 준수와 보안 관리가 어려워지므로 다중 계정 구조로 확장해야 한다. 목적에 맞게 OU(조직 단위)를 설계하되 작게 시작해서 점진적으로 확장하고, 가드레일과 정책을 OU에 할당한다. 전환 전략은 관리 계정에 워크로드를 올리지 않고 새 계정을 멤버 계정으로 초대하며, 새 워크로드는 새 계정에서 시작한다. 관리 계정의 사용자 접근을 제한하고, RAM(Resource Access Manager) 등의 리소스 공유 기능으로 중복을 줄여 비용 효율을 높인다. 단일 프로덕션 조직 사용이 권장된다. 핵심 요소는 계정, OU, 보안 시스템이다.

(2) 조직을 위한 보안 시스템
보안 시스템은 접근 관리, 가시화 및 모니터링, 제어로 나뉜다.

접근 관리는 사용자와 리소스 연결, 애플리케이션·머신 연결, 최소 권한 유지 감사를 포함하며 AWS IAM Identity Center와 IAM Access Analyzer를 활용한다.

가시화·모니터링은 AWS CloudTrail로 중앙 로깅 및 모니터링을 하고, Security Hub와 GuardDuty가 위협 감지 및 보고를 수행한다. Root 접근은 별도로 관리된다.

제어는 조직 내 승인된 작업 규칙을 정의하며, AWS Organization 정책(권한 부여 정책, 관리 정책)과 SCP(Service Control Policy), AWS Config 규칙으로 관리된다. Control Tower를 활용하면 정책 관리를 중앙 집중화할 수 있다.

(3) 조직 차원의 규정 준수 모니터링
Control Tower 감사 계정에서 SNS 주제를 통해 모든 계정의 규정 준수 이벤트를 통합 수집한다. AllConfigNotifications 주제를 구독하고 필터를 설정해 조직 전체 변경 이벤트를 감지한다. SNS-SQS-Lambda-SNS 구조의 파이프라인으로 중앙화된 알림 체계를 구축한다.

(4) 규모에 맞는 자산 관리
Amazon Resource Explorer로 계정·지역별 리소스를 태그·키워드 검색하고, AWS Config로 리소스 구성 변경 기록과 평가를 한다. Athena와 Quicksight를 활용해 맞춤형 분석 대시보드를 구성한다.

(5) 비용 관리 및 최적화
비용 관리는 가시성 확보, 권장사항에 따른 최적화, 높은 비용 발생 예방 메커니즘 구축이라는 3가지 원칙을 따른다.

(6) 감사 및 가시성
CloudTrail로 운영·위험·거버넌스 감사를 수행해 누가 어디서 무엇을 했는지 파악한다. 비정상 활동 감지와 대응으로 지속 가능한 거버넌스가 가능하다.

요약하자면 다중 계정 구조 전환, Root 접근 중앙 관리, Control Tower 활용, 규정 준수 모니터링 및 알림 체계 구축, 자산 현황 대시보드 구성, 비용 최적화 도구 적용, CloudTrail 기반 감사와 가시성 확보가 핵심이다.

 

거버넌스 마스터 플랜을 요약하면, 다중 계정 구조로의 전환, Root 엑세스 중앙 관리 기능 적용, AWS Control Tower 커스터마이징, 규정준수 모니터링 및 알림 체계 확보, 자산 현황 대시보드 구성, 비옹 최적화 도구 활용, CloudTrail과 CloudTrail Lake로 감사 및 가시성을 확보하는 것이다.

 

 

세션 3. 생성형 AI 보안 강화 전략의 첫번째, 심층 방어 아키텍처 설계

(1) 생성형 AI 애플리케이션 개발 패턴
생성형 AI 개발에는 여러 접근 방식이 있다. 프롬프트 엔지니어링, 검색 증강 생성, 미세 조정된 생성형 AI 모델, 에이전트 기반 오케스트레이션 등이 있다. 생성형 AI 애플리케이션은 사용자가 입력하면 데이터 조회를 통해 컨텍스트를 받고, 프롬프트와 컨텍스트가 더해져 LLM에 전달되면 답변을 받아 API 호출을 하고, 최종응답을 받게 된다. Amazon Bedrock은 생성형 AI의 안전한 확장을 위한 것으로, 인프라를 직접 관리할 필요 없이 API를 통해 기초 파운데이션 모델을 사용하여 생성형 AI 애플리케이션 개발을 가속화한다. 사용 사례에 맞는 최적의 파운데이션 모델 선택이 가능하며, 조직의 데이터를 사용하여 파운데이션 모델을 비공개로 커스터마이징 가능하다. 또한, AWS의 포괄적인 보안 기능을 통한 데이터 보호가 가능하고, 지원되는 모델 공급자들이 제공하는 책임감 있는 AI를 구현할 수 있다. AI의 모범 사례 달성을 위한 지원을 하는 것이다.

(2) 생성형 AI 애플리케이션 보안 고려사항
생성형 AI는 혁신적인 새로운 가능성을 제시하는 동시에 새로운 위험과 도전과제를 가져온다. 기존의 전통적 보안과 생성형 AI의 보안에는 차이가 존재한다. 생성형 AI에는 비결정적 특성이 있어, 동일한 입력이 있어도 매번 다른 출력이 있다는 점이 큰 특징이다. 또한, 생성형 AI의 모델 내부에는 코드가 존재하지 않는다. 그렇기에 전통적인 코드 취약점 분석은 통하지 않는 것이다. 따라서 생성형 AI에는 보안을 위한 새로운 접근이 필요하다. 책임감 있는 AI 구성요소로는 첫째 안전성과 둘째 보안이 있다. 첫째 안전성 측면으로는, 사용자를 보호하기 위한 관점으로, 유해한 출력을 방지하고, 정확성과 공정성을 확보해야 한다. AI 리스크 관리를 위한 도구가 꼭 필요하다. 또한 완벽한 통제가 불가하고 확률적 통제만 가능하다는 점을 인정해야 한다. 이에 따라 위험 수용 수준을 설정할 필요가 있다. 둘째, 보안 관점은 시스템을 보호하기 위한 관점이다. 민감정보 보호가 최우선이 되어야 하며, 권한이 없는 자에게 기밀정보가 유출되지 않도록 설계해야 하며, 전통적인 보안 설계를 적극적으로 활용해야 한다. 유저 아이덴티티 기반 통제로 모델 입력 전 차단이 필요하고, 결정론적이고 감사 가능한 보안 체계를 구축해야 한다. 생성형 AI 애플리케이션은 계층별 통제를 통한 보안성을 강화해야 하는데, 가장 기본은 규제 준수 계층이다. 개인정보보호법, GDPR 같은 법률과 규제를 준수해야 한다. 둘째로 윤리 및 행동 강령 계층에서는 책임감 있는 AI를 준수해야 한다. 셋째로 업계 표준 계층에서는 ISO, 산업별 표준을 따르고, 넷째 보안 및 위험 관리 계층에서는 NIST, OWASP를 따른다. 마지막 위협 탐지 완화 가이드 계층에서는 OWASP, MITRE, 벤더 별 모범사례를 준용한다. NIST 프레임워크 기반 심층 방어 아키텍처 구축은 식별>보호>탐지>대응>복구의 절차를 따른다. 식별은 보호가 필요한 핵심 자산과 프로세스가 무엇인지 아는 것이고, 보호는 어떤 보안 대책을 구현할 수 있는지 확인하며, 탐지에서는 보안 위협을 어떻게 발견할지 정하고, 대응에서는 보안 사고 발생 시 어떻게 대처할 것인지 정한다. 마지막 복구에서는 시스템 기능을 어떻게 정상화할지 정한다.

(3) 생성형 AI 애플리케이션과 LLM 간 설계
고객에서 관리하는 계정을 통해 아마존 베드락 엔드포인트에 통신하도록 구성한다면, 복잡한 보안 설정 없이 보안적으로 안전한 설정이 이뤄지게 된다. 애플리케이션 계층에서 비즈니스 로직과 LLM 사이의 논리적 보호를 위해서는 Amazon Bedrock Guardrails를 활용할 수 있다. 에이전트, 지식 베이스, 기본, 자체 관리 및 서드파티 FM에 대한 프롬프트의 응답을 평가하고, 유해 콘텐츠, 우회, 프롬프트 인젝션 공격을 필터링하기 위한 임계값을 설정한다. 간단한 자연어 설명으로 거부된 주제 정의 및 차단이 가능하며, 개인식별정보와 민감 정보를 제거하며, 컨텍스트 기반의 응답 적절성과 관련성을 감지할 수 있다.

(4) 생성형 AI 애플리케이션과 외부 환경과의 심층 방어 아키텍처 설계
안전 조치를 위해 생각할 수 있는 부분은 네트워크 보호와 데이터 경계 보안이 있다.
- (ㄱ) 네트워크 보호를 위해 Amazon VPC 및 AWS PrivateLink를 통해 안전한 네트워크를 구축할 수 있다. 인터넷 게이트웨이가 연결되어 있지 않고, 내부망만 사용하는 회사는 Bedrock 접근을 위한 프라이빗 서브넷을 사용할 수 있다. 사무실의 네트워크의 경우, Site-to-Site로 암호화된 터널링을 이용하거나 Direct Connect로 지연시간이 낮고 안전한 연결을 수행할 수 있다. 그리고 네트워크 보호를 위해 AWS WAF 및 AWS Shield Advanced를 SQL 인젝션, XSS, DDoS 등 공격으로부터 웹 애플리케이션을 보호할 수 있다. AWS WAF는 사용자 접점이 있는 모든 위치에서 생성형 AI 워크로드의 웹 애플리케이션 부분을 보호한다. 마지막으로, 네트워크 보호를 위해 AWS Network Firewall과 Route 53 Resolver DNS Firewall를 이용한 네트워크 간의 데이터 이동을 엄격하게 제한하는 정책을 설정할 수 있다. Network Firewall를 통한 트래픽 검사를 하여 VPC와 네트워크 간의 데이터 이동을 엄격하게 제한하는 정책을 설정하고, 네트워크 경계에서의 데이터 흐름을 통제할 수 있게 된다. 그렇게 네트워크 방어를 위해선 다층 방어를 구성해야 한다. 퍼블릭 서브넷과 프라이빗 서브넷으로 분리하고, 애플리케이션과 실행되는 서버는 프라이빗 서브넷에 배포하고, 외부 인터넷과 접점이 되는 곳은 AWS 서비스로 ALB나 NAT Gateway를 통해 보호할 수 있다. 프라이빗 서브넷에서는 Security Group으로 인바운드와 아웃바운드 통신을 통제할 수 있는 기본이 정해지면, 인터페이스 엔드포인트를 생성하고 아마존 베드락 인터페이스를 호출한다. 다음으로는 방화벽 서브넷을 추가한다. 방화벽 엔드포인트를 통해 ingress/egress를 제어할 수 있게 된다. 최종적으로 AWS WAF를 통해 각 단계에서 다층적 방어를 할 수 있다.
- (ㄴ) 데이터 경계 보안을 위해 데이터, 모델 및 출력에 대한 액세스를 제한해야 한다. 첫째로, AWS IAM Identity Center 및 IAM Access Analyzer를 사용하여 교육 훈련 데이터, 모델 및 애플리케이션에 최소 권한 정책 적용을 할 수 있고, 둘째로, AWS Verified Access 및 Amazon Verified Permissions로 세분화된 액세스 제어를 추가하는 추가 제로 트러스트 기능을 활용할 수 있다. 이 AWS Verified Access를 사용하면, VPN과 관련된 비용, 복잡성 및 성능 문제도 해결 할 수 있게 된다.

(5) 사고대응 전략
사고 대응 전략은 크게 3가지 관점이 있다.

사람: 사고 대응 및 보안 운영 임직원에 대한 생성형 AI 교육 제공

프로세스: 새로운 대응 방안 확보

기술: 프롬프트 및 호출 로그 관리. 또한, 생성형 AI 워크로드에 대한 사고 대응

방법론은 접근, 인프라 변경, AI 변경, 데이터 저장소 변경, 모델 호출, 비공개 데이터, agent의 요소에 따라 각 내용을 확인할 필요가 있다.

 

세션 4. AWS 보안 서비스를 구축하는 자동화된 위협 탐지와 대응 전략

(1) 자동화된 위협 탐지와 대응이 필요한 이유
사이버 위협이 급증하는 상황에서 수동 대응은 한계가 명확하므로, 자동화가 필수적이다. 클라우드 보안 구성 시 직면하는 도전과제는 크게 세 가지로 구분된다. 첫째, 동적 워크로드 구성 문제로, 클라우드 내 자원이 지속적으로 변경되어 수동으로 이를 실시간 추적하는 것은 사실상 불가능하다. 둘째, 보안 위협이 점차 복잡해지고 공격 경로와 공격 도구가 다양해지면서 골든 타임 내에 공격을 차단하는 것이 매우 중요해졌다. 셋째, 운영 효율성과 일관성 확보 문제로, 전문 보안 인력이 부족하고 수동 대응 시 장애 가능성이 커져 자동화된 대응 체계가 필요하다. 따라서 클라우드 환경에서 자동화된 위협 탐지 및 대응을 구현하기 위해서는 네 단계가 필수적이다. 우선 위협 탐지 단계에서는 잠재적 보안 위협을 식별하고 서버와 코드의 취약점을 점검한다. 두 번째 위협 분류 단계에서는 모범 사례 구성 평가와 보안 이벤트 통합 관리를 수행한다. 세 번째 위협 조사 단계에서는 그래프 기반 상관관계 분석과 보안 데이터 통합 관리를 통해 위협의 전반적인 상황을 분석한다. 마지막으로 대응 체계 단계에서는 자동 조치 구성을 하고 ChatOps 기반 신속한 대응을 수행함으로써 실제 사고에 신속히 대처할 수 있도록 한다.

(2) AWS 클라우드 보안의 현대적 접근
AWS는 Well-Architected 프레임워크를 제공하여 클라우드 환경의 각 단계별 보안 요소를 관리한다. 이는 컴퓨팅과 네트워크 보호, 애플리케이션 및 데이터 보호, 그리고 실시간 모니터링과 자동화된 대응 체계를 포함한다. 워크로드 보안 강화를 위해 지능형 위협 탐지 및 대응의 자동화가 필수적이며, 이를 위해 안전한 멀티 계정 환경을 구성하는 랜딩존 구축을 권장한다. 랜딩존은 안전한 다중 계정 구조 설계, 계정 접근 보안 강화, 그리고 감사 및 모니터링 체계 마련을 포함한다. 이러한 현대적 접근 방식은 복잡한 클라우드 환경 내에서 보안 위험을 줄이고 운영 효율성을 극대화하는 데 중점을 둔다.

(3) 위협 탐지 자동화 구현
AWS는 글로벌 위협 인텔리전스를 기반으로 예측 알고리즘을 통해 악성 도메인을 선제적으로 식별한다. 정교한 모니터링 센서와 자동 응답 기능을 결합해 실시간 위협을 탐지하고, 네트워크 텔레메트리와 위협 정보를 통합하여 신속히 차단한다. 이 과정에서 다양한 로그 데이터와 탐지된 위협 정보를 활용해 AWS 네트워크를 자동 보호한다. 핵심 도구인 GuardDuty는 기계 학습, 이상 탐지, 그리고 통합 위협 인텔리전스를 사용해 잠재적 위협을 식별하고 우선 순위를 부여하는 관리형 서비스다. GuardDuty는 VPC 흐름 로그, DNS 로그, CloudTrail 이벤트를 자동으로 분석하며, 추가적으로 워크로드 보호를 위해 S3, EKS 감사 로그, Aurora 로그인 이벤트, Lambda 네트워크 활동 등도 분석한다. 분석 결과를 토대로 보안 위협을 파악하고 대응하는 데 도움을 준다. 또한 Amazon Inspector를 통해 워크로드의 보안 취약점과 네트워크 노출 상황을 자동 검사하고 탐지할 수 있다. Inspector는 SBOM(소프트웨어 구성요소 명세서), 하이브리드 EC2 스캔, CI/CD 이미지 스캔 플러그인, Lambda 코드 스캐닝, 온디맨드 CIS 스캔, ECR 이미지 스캔 기능 등을 제공하며, 특히 SBOM 포맷으로의 추출 및 시각화가 가능하다. Lambda 코드 스캐닝 시에는 생성형 AI와 자동 추론 기술을 활용해 다수의 코드 수정 제안을 하며, 컨텍스트 내 코드 패치를 제공해 취약점 수정 작업의 부담을 줄이고 AWS 모범 사례에 따른 코드 보안을 보장한다. AWS Security Hub는 다양한 보안 표준 및 규제 준수 상태와 조사 결과를 통합 관리하여 개선 조치를 구성하고 AWS 파트너와 연계해 대응한다. Amazon Detective는 Detection 자원을 통합해 자원 간 취약점 및 조사 결과를 시각화하며, 머신러닝을 활용해 개별적으로 간과될 수 있는 GuardDuty, Security Hub, Inspector의 조사 결과를 통합 분석한다. 이를 통해 단일 보안 이벤트가 미치는 영향 범위, 관련 그룹과 리소스를 한 눈에 파악하고 근본 원인 분석이 가능하다. Amazon Security Lake는 보안 데이터를 표준화된 포맷으로 중앙집중 관리하는 Data Lake로, AWS 지역 전체의 클라우드, 온프레미스, 사용자 지정 보안 소스 데이터를 자동으로 수집 및 통합한다. 이를 통해 보안 데이터를 효율적으로 저장, 쿼리하고 업계 표준 형식으로 변환해 다양한 분석 도구에서 쉽게 활용할 수 있도록 하며, 보안 데이터에 대한 통제권과 소유권을 유지하면서 분석이 가능하다. OCSF(Open Cybersecurity Schema Framework)는 보안 데이터 정규화를 단순화하기 위한 개방형 표준으로, 환경과 애플리케이션에 관계없이 보안 데이터를 표준화하고 수집과 분석 속도를 높이며 보안팀의 업무 효율성을 개선한다.

(4) 자동화된 대응 체계 구축
자동화된 보안 대응 절차는 네 단계로 나누어진다. 첫째, GuardDuty를 통해 다양한 리소스와 로그에서 위협을 탐지하고, Amazon Inspector를 활용해 보안 취약점과 네트워크 노출도 자동 탐지한다. 둘째, Security Hub를 이용해 네이티브 AWS 서비스 및 써드파티 보안 서비스로부터 수집된 위협 정보를 통합하여 분류하고 가시화한다. 셋째, Amazon Detective를 통해 그래프 기반의 신속한 보안 조사가 가능하다. 이 모든 과정을 통해 마지막으로 네 번째 단계인 위험 대응이 수행된다. AWS Security Incident Response 서비스를 통해 보안 결과에 대한 모니터링과 조사가 자동화되며, 신속한 사고 대응을 위한 커뮤니케이션과 조정이 이루어진다. 24시간 연중무휴로 AWS 보안 전문가가 사고 대응 및 지원을 제공한다. 이상 현상은 자동 탐지 및 알람으로 관리되며, 각 계정별 위협을 탐지해 고객이 사전에 정의한 규칙에 따라 분류하고 Security Incident Response 서비스로 전달한다. 자동화 분석은 사전 정의된 룰에 따라 수행되고, 결과는 고객이 원하는 방식으로 알림된다. 고객이 보안 이상 현상을 감지하면 자동으로 침해 대응 전문가에게 에스컬레이션 되어 전문가와 협업하여 대응한다.

(5) 보안 모범 사례 아키텍처 케이스
첫 번째 케이스는 GuardDuty 기반 자동 탐지 및 대응 자동화다. 가장 보편적인 방식으로, AWS Step Functions를 호출하여 탐지부터 대응까지 각 단계를 자동으로 진행한다. 두 번째 케이스는 AWS 네이티브 보안 서비스 기반 SIEM(보안정보 및 이벤트 관리) 구성이다. 온프레미스 로그, SaaS 로그, AWS 네이티브 로그를 Security Lake에 전송하고, 이를 Amazon OpenSearch와 Amazon Athena로 분석하여 통합적인 보안 분석 환경을 구축한다. 세 번째 케이스는 ChatOps를 활용한 지능형 보안 대응 아키텍처로, 자동화된 탐지와 대응 체계에 실시간 커뮤니케이션 기능을 결합해 보안 운영 효율성과 신속성을 극대화한다.

 

세션 5. 보안팀이 더 빛나는 방법: 생성형 AI와 함께 위협을 기회로

(1) 보안팀에게 있어 생성형 AI란?
보안 팀에게는 다음 두 가지 상반된 입장이 있었다.
첫째, 생성형 AI에 대한 방어적 접근: 위험 분석 대상으로 보고 보안 홀 탐지에 집중
둘째, 생성형 AI를 전략적으로 활용: 보안 업무의 효율성을 향상시키기 위해 도구로 활용
그러나 이제는 AI를 막는 것이 아닌, 보안 도구로 받아들이는 것이 필요하다.

(2) 사이버보안 분야에서 생성형 AI 유즈케이스
각 영역별 구체적 활용 아이디어는 사고 대응 및 분석, 진단 및 대응 코드 생성, 컴플라이언스 대응, 행위 분석을 위한 허니팟 등이 있다.
이 유즈케이스들은 결국 생성형 AI로 보안팀의 생산성을 늘리는 것을 목표로 한다.

예시 1) 사고 대응을 위한 생성형 AI
생성형 AI 기반 자연어 쿼리 어시스턴트를 도입하면 데이터를 신속하게 수집 및 요약하여 상대적으로 중요하지 않은 업무가 감소하고, 근본 원인 식별 및 사고 대응 시간을 단축시킬 수 있다.
이를 위한 기능 요구사항으로는 추가 분석을 위한 원시 데이터 세트 접근, 데이터의 높은 정확도 보장, 자주 변경되는 애드혹 쿼리에 대한 대응 가능성이 포함된다.

예시 2) 누군가는 해야 할 일
컴플라이언스 대응 및 리스크 관리를 위해 생성형 AI 기반 자연어 쿼리 어시스턴트를 도입하여, "다음 컴플라이언스 문서를 기반으로 응용 프로그램 개발 및 관리를 위한 서버도 인증 대상인지 알려줘"라고 입력하면, 문맥을 활용해 정확한 작업을 도와준다.
이로 인해 클라우드서비스 보안인증기준 해설서, ISMS-P 인증제도 안내서, SW 공급망 보안 가이드라인 등을 일일이 확인할 필요가 사라진다.
다만, RAG를 구성했다고 끝나는 것이 아니라, Chunking 전략, Advanced Parsing 같은 기법과 Query 재구성, 하이브리드 검색 같은 기법도 고려할 필요가 있다.

예시 3) 규칙과 도구를 더 빠르게 개발하기
위협 분석가와 보안 테스터를 대상으로 Amazon Q Developer로 테스트 스크립트를 작성하면 테스트 작성 시간을 단축하고 테스트 도구 구축 시간을 절약할 수 있다.
기능 요구사항으로는 테스트 환경 접근, 테스트 대상 서비스와 서비스 작동 방식에 대한 지식이 포함된다.
과거에는 에러가 발생하면 직접 확인하고 수정했으나, 이제는 에러 메시지를 복사해 프롬프트에 입력하면 AI가 수정까지 수행한다.

예시 4) 보안팀을 효율적으로 확장하기
개발자를 대상으로 정보보안 정책을 찾고 요약하는 챗봇을 도입하면 관련 정책을 빠르게 수집하고 요약하여 중요도가 낮은 업무 비중을 줄일 수 있다.
또한, 개발자가 보안을 강화할 수 있도록 시프트 레프트 방식으로 보안 팀의 확장성을 높일 수 있다.
기능 요구사항으로는 최신 정책에 대한 접근 권한과 정책 출처로의 연결이 있다.

예시 5) 공격 유도
위험 분석가와 블루팀을 대상으로 제한적 환경에서 생성형 AI를 활용한 가짜 정보 생성이 가능하다.
허니팟 전략으로 AI가 생성한 허니 토큰을 이용해 공격자의 공격을 유도하여 공격자가 마치 성공한 것처럼 착각하게 만든다.
이렇게 지속적으로 공격을 유도하여 공격 패턴을 학습할 수 있다.