![[AWS] AWS 기초](/content/images/size/w1200/2026/03/aws----------.png)
AWS 주요 서비스 정리 (CERT 관점에서)
클라우드 환경에서의 보안은 단순히 개별 서비스의 기능을 이해하는 수준에서 끝나지 않는다. 실제 운영 환경에서는 각 서비스가 공격 표면(Attack Surface) 어디에 위치하는지, 그리고 탐지-분석-대응 흐름 내에서 어떤 역할을 수행하는지를 구조적으로 이해해야 한다.
이 글에서는 Amazon Web Services 환경에서 사용되는 주요 서비스들을 CERT(Computer Emergency Response Team, 침해사고 대응 조직) 관점에서 재구성하여 설명한다.
1. 컴퓨팅 및 네트워크 계층
클라우드 보안에서 가장 먼저 고려해야 할 계층은 실제 워크로드가 실행되는 컴퓨팅 및 네트워크 영역이다. 이 계층은 공격자가 최초로 침투하거나 내부에서 확산을 시도하는 주요 지점이다.
대표적으로 EC2는 모든 애플리케이션이 실행되는 가상 서버 환경으로, 공격자의 초기 침투 대상이 된다. 웹 취약점을 통해 웹쉘이 업로드되거나, 취약한 자격 증명을 통해 SSH 접근이 발생하면 이후 크립토마이닝 악성코드나 백도어가 설치되는 흐름으로 이어진다. 따라서 EC2는 단순한 인프라가 아니라 포렌식 분석의 핵심 대상이기도 하며, 디스크 및 메모리 수준의 분석이 요구된다.
네트워크 관점에서는 VPC가 전체 보안 구조의 경계를 형성한다. VPC는 논리적으로 격리된 네트워크 공간을 제공하며, 서브넷 단위로 내부망과 외부망을 구분할 수 있다. 이 구조는 단순한 네트워크 분리가 아니라, 침해사고 발생 시 공격자의 이동 경로(lateral movement)를 추적하고 확산 범위를 정의하는 기준이 된다.
이와 함께 Security Group은 EC2 인스턴스에 직접 적용되는 stateful 방화벽으로, 설정 오류가 곧바로 공격 표면 노출로 이어진다. 예를 들어 0.0.0.0/0에 대해 SSH 포트를 개방하는 경우, 인터넷 전체에 관리 포트를 노출하는 것이며 이는 자동화된 스캐닝 공격의 주요 타겟이 된다. 침해사고 발생 시에는 해당 Security Group 규칙을 기반으로 공격 경로를 역추적하거나, 즉각적인 차단 정책을 적용하는 대응이 이루어진다.
네트워크 트래픽 가시성 확보 측면에서는 VPC Flow Logs가 핵심 역할을 한다. 이 로그는 네트워크 인터페이스 단위의 트래픽 정보를 기록하며, C2(Command and Control) 통신, 포트 스캔, 내부 확산 시도와 같은 행위를 식별하는 데 활용된다.
2. 웹 보안 계층
웹 애플리케이션은 외부에 직접 노출되는 만큼, 공격자의 주요 진입 경로가 된다. 이 계층에서는 HTTP/HTTPS 기반 공격을 방어하는 것이 핵심이다.
WAF(Web Application Firewall)는 애플리케이션 레벨에서 요청을 검사하여 SQL Injection, XSS와 같은 공격을 탐지하고 차단한다. 단순 차단을 넘어, 공격 payload를 분석하고 패턴을 식별하는 데에도 활용되며, 특정 IP나 국가 단위의 차단 정책을 적용할 수 있다.
CloudFront는 CDN 기능과 함께 보안 레이어를 제공한다. 사용자와 가까운 엣지 로케이션에서 콘텐츠를 제공함으로써 성능을 개선하는 동시에, DDoS 공격을 완화하고 WAF와 결합하여 edge 단에서 공격을 차단한다. 이 구조는 Origin 서버(EC2, S3 등)를 직접 노출하지 않도록 보호하는 효과를 가진다.
3. IAM 및 계정 보안
클라우드 환경에서 가장 위험한 공격은 인프라 취약점이 아니라 계정 탈취다. IAM은 인증(Authentication)과 권한 부여(Authorization)를 담당하며, 모든 리소스 접근의 출발점이 된다.
공격자는 주로 Access Key 유출이나 잘못된 권한 설정을 이용해 권한 상승(Privilege Escalation)을 시도한다. 따라서 최소 권한 원칙(Least Privilege)을 적용하고, IAM Policy 변경 이력을 지속적으로 추적하는 것이 필수적이다.
CloudTrail은 이러한 활동을 기록하는 핵심 서비스다. 모든 API 호출이 로그로 남기 때문에, 침해사고 발생 시 “누가, 언제, 어떤 리소스를 조작했는지”를 재구성할 수 있는 타임라인의 근거가 된다. 예를 들어, 특정 사용자가 EC2 인스턴스를 생성했는지, IAM 권한을 변경했는지를 정확히 확인할 수 있다.
4. 위협 탐지 및 분석 계층
보안에서 중요한 것은 “막는 것”뿐 아니라 “탐지하는 것”이다. GuardDuty는 AWS의 관리형 위협 탐지 서비스로, CloudTrail, VPC Flow Logs, DNS 로그 등을 분석하여 악성 행위를 식별한다.
이 서비스는 계정 탈취, 비정상 네트워크 통신(C2), 포트 스캔, 크립토마이닝 활동 등을 자동으로 탐지한다. 즉, 다양한 로그를 개별적으로 분석하는 것이 아니라, 상관 분석을 통해 위협을 식별하는 역할을 수행한다.
Security Hub는 이러한 탐지 결과를 통합하여 보여주는 중앙 대시보드 역할을 한다. 여러 보안 서비스에서 발생한 이벤트를 한 곳에서 관리하고, 취약점 및 위협의 우선순위를 정리할 수 있다.
Inspector는 취약점 관리 측면에서 중요한 역할을 하며, EC2 및 컨테이너 환경에서 CVE 기반 취약점을 식별하고 패치 우선순위를 결정하는 데 활용된다.
5. 로그 및 데이터 계층
모든 보안 분석의 출발점은 로그다. S3는 이러한 로그를 저장하는 중앙 저장소 역할을 하며, 장기 보관 및 포렌식 분석을 위한 핵심 인프라다. 동시에 잘못된 접근 제어 설정이 있을 경우 데이터 유출 사고의 주요 원인이 되기도 한다.
Athena는 S3에 저장된 로그 데이터를 SQL로 직접 분석할 수 있게 해준다. 이를 통해 대규모 로그를 기반으로 공격 패턴을 탐지하거나, 침해사고 발생 이후 타임라인을 재구성할 수 있다.
CloudWatch는 로그뿐만 아니라 메트릭을 기반으로 이상 징후를 탐지한다. CPU 사용량 급증, 네트워크 트래픽 이상 등 리소스 레벨의 비정상 패턴을 감지하고, 알림을 트리거하여 대응을 유도한다.
6. 자동화 및 대응 계층
탐지된 위협에 대해 얼마나 빠르게 대응하느냐가 실제 피해 규모를 결정한다. AWS에서는 이벤트 기반 아키텍처를 활용해 대응을 자동화할 수 있다.
Lambda는 서버리스 환경에서 코드를 실행하여 자동 대응 로직을 구현하는 데 사용된다. 예를 들어, 특정 IP에서 공격이 탐지되면 해당 IP를 차단하거나, 의심스러운 인스턴스를 격리하는 작업을 자동으로 수행할 수 있다.
EventBridge는 이러한 이벤트 흐름을 연결하는 역할을 하며, GuardDuty에서 발생한 이벤트를 Lambda로 전달하고, 이후 SNS나 SQS로 확장하는 구조를 구성할 수 있다.
SNS는 실시간 알림을 전달하는 역할을 하고, SQS는 이벤트를 안정적으로 처리하기 위한 큐 역할을 수행한다. 이 둘은 각각 “즉각적인 대응”과 “신뢰성 있는 처리”라는 서로 다른 목적을 가진다.
7. 운영 및 포렌식 지원
침해사고 발생 이후에는 신속한 조사와 대응이 필요하다. Systems Manager(SSM)는 SSH 접근 없이도 인스턴스에 명령을 실행할 수 있게 해주며, 보안 측면에서 접근 통제를 강화하는 동시에 대응 속도를 높인다.
Config는 리소스 설정 변경 이력을 추적하여, 사고 발생 시 어떤 설정이 변경되었는지를 확인할 수 있게 해준다. 이는 Misconfiguration 기반 공격을 분석하는 데 중요한 역할을 한다.
KMS는 암호화 키를 관리하며, 데이터 보호의 핵심 요소다. 키 사용 로그를 분석함으로써 비정상적인 암호화 활동을 탐지하거나, 데이터 유출 사고 발생 시 영향 범위를 평가할 수 있다.
결론: AWS 보안은 “흐름”으로 이해해야 한다
AWS 보안은 개별 서비스의 집합이 아니라, 다음과 같은 흐름으로 이해해야 한다.
- 가시성 확보 (Visibility): CloudTrail, VPC Flow Logs, CloudWatch
- 위협 탐지 (Detection): GuardDuty, Inspector
- 자동 대응 (Response): EventBridge, Lambda, SNS
결국 중요한 것은 “개별 서비스를 아는 것” 보다는 공격자가 실제로 침투했을 때 어떤 경로를 거치고, 어디서 탐지되며, 어떻게 차단되는지를 연결해서 이해하는 것이 중요하다고 생각한다.
