AWS re:Inforce 2025: 클라우드 보안의 현재와 미래 🛡️

들어가며 🚀

2025년 6월 필라델피아에서 개최된 AWS re:Inforce는 5,800명의 보안 전문가들이 모여 클라우드 보안의 최신 트렌드와 기술을 공유하는 장이었습니다. 특히 한국 참가자가 전년 대비 2배 증가하며 국내 기업들의 클라우드 보안에 대한 관심이 높아지고 있음을 보여주었습니다 📈.

이번 포스트에서는 콘퍼런스의 주요 업데이트와 함께 다양한 관점에서의 보안 인사이트를 공유합니다:

• AWS의 새로운 보안 서비스 및 기능 업데이트
• 개인 연구 차원의 모의해킹 시나리오와 교훈
• 실제 기업들의 보안 구축 사례 (당근마켓, WAF 활용 사례)
• 비용 효율적인 보안 도구 선택 가이드

Part 1: AWS 보안 인프라의 진화 🔒

블랙폿(Black Pot)과 매드팟(Mad Pot): AWS의 내부 보안 도구 최초 공개

AWS가 이번 콘퍼런스에서 처음 공개한 내부 보안 시스템은 놀라운 규모와 효율성을 보여줍니다:

블랙폿 (Black Pot) 💪

• 시간당 13조 개의 로그 처리
• 3분마다 IP 차단 리스트 업데이트
• 매 업데이트시 12.5%의 IP가 새롭게 추가/변경

매드팟 (Mad Pot) 🍯

• 의도적으로 취약해 보이는 허니팟 시스템
• 공격자 행동 패턴 실시간 수집
• 수집된 데이터를 블랙폿에 즉시 반영

📊 핵심 통계: 외부 포트가 열리면 평균 3분 이내 공격 시도 발생

주요 보안 서비스 업데이트 ✨

Security Hub 전면 개편

• 프리뷰 버전 무료 제공 (GA 전까지)
• 다양한 서비스 데이터의 맥락적 통합 분석
• 기존 버전은 CSPM(Cloud Security Posture Management)으로 명칭 변경

Network Security Director 신규 출시

• CloudFront, API Gateway, ALB의 의도치 않은 외부 노출 자동 탐지
• 시각적 네트워크 토폴로지 제공
• 원클릭 보안 수정 기능

IAM 및 접근 관리 대폭 강화

• 2024년 6월부터 MFA 의무화
• Verify Permissions 가격 30배 인하 ($150 → $5/백만 건)
• Access Analyzer 새로운 기능 추가

 

Part 2: 개인 모의해킹 연구 사례 🔍

⚠️ 중요 고지: 다음 내용은 격리된 개인 테스트 환경에서 진행한 보안 연구입니다. 실제 프로덕션 환경이 아니며, 순수 교육 목적으로만 공유합니다. 실제 시스템에 대한 무단 침입은 법적 처벌 대상입니다.

연구 배경 및 목적

AWS 환경의 잠재적 취약점을 이해하고 효과적인 방어 전략을 수립하기 위해, 완전히 격리된 테스트 환경에서 다양한 공격 시나리오를 재현하고 분석했습니다.

시나리오 1: ALB + IMDSv1 조합의 치명적 취약점

테스트 환경 구성:

테스트 인프라 (의도적 취약 설정):
  - ALB: Internet-facing 
  - EC2: IMDSv1 활성화
  - 애플리케이션: SSRF 취약점 포함

발견된 공격 경로:

1️⃣ SSRF 취약점 악용

# 취약한 프록시 엔드포인트 예시
@app.route("/proxy")
def vulnerable_proxy():
    url = request.args.get("url")  # 입력 검증 없음!
    return urllib.request.urlopen(url).read()

 

AI (Amazon Q Developer 및 Claude, Cursor)를 활용한 공격 시나리오 작성 및 공격 시작

2️⃣ 메타데이터 서비스 접근

# 공격 시뮬레이션
curl "http://test-alb/proxy?url=http://169.254.169.254/latest/meta-data/iam/security-credentials/"

3️⃣ 권한 탈취 및 악용 가능성

• IAM 역할 크리덴셜 획득
• 백도어 사용자 생성 가능
• 리소스 무단 생성/삭제 가능

핵심 방어 전략:

# 🛡️ 즉시 적용 필수: IMDSv2 강제 설정
aws ec2 modify-instance-metadata-options \
    --instance-id <instance-id> \
    --http-tokens required \
    --http-endpoint enabled \
    --http-put-response-hop-limit 1

아키텍처 개선 방안:

현재 (취약):
  Internet → ALB(Internet-facing) → EC2(IMDSv1)

목표 (안전):
  Internet → CloudFront → ALB(Internal) → EC2(IMDSv2)
  
추가 보안층:
  - WAF at CloudFront
  - PrivateLink for internal communication  
  - Session Manager (SSH 제거)

 

시나리오 2: 랜섬웨어 및 크립토마이닝 시뮬레이션

테스트한 공격 패턴들:

🔴 랜섬웨어 행동 패턴

• 대량 파일 암호화 시뮬레이션
• 백업 삭제 시도
• 스냅샷 파괴 시도

⛏️ 크립토마이닝 공격

• 고성능 GPU 인스턴스 생성 시도
• 의심스러운 도메인 통신
• CPU 리소스 과다 사용

GuardDuty 탐지 결과:

탐지율:
  - 비트코인 마이닝: 100%
  - 비정상 API 호출: 95%
  - 데이터 유출 시도: 90%
  
주요 탐지 패턴:
  - CryptoCurrency:EC2/BitcoinTool.B!DNS
  - UnauthorizedAccess:EC2/SSHBruteForce
  - Impact:EC2/MaliciousDomainRequest

 

시나리오 3: 외부 노출 리소스 탐지

Access Analyzer 활용 결과:

{
  "findings": [
    {
      "type": "S3 Bucket Public Access",
      "severity": "HIGH",
      "recommendation": "Enable Block Public Access"
    },
    {
      "type": "IAM Role External Sharing",
      "severity": "MEDIUM",
      "recommendation": "Review trust relationship"
    }
  ]
}

 

연구 결과 및 교훈

핵심 발견사항:
  1. IMDSv1 + Internet-facing ALB = Critical Risk
  2. 기본 보안 설정의 중요성
  3. Amazon Linux 2023의 우수한 기본 보안
  
즉시 조치 사항:
  ✅ IMDSv2 전환 (최우선)
  ✅ 정기적 Access Analyzer 스캔
  ✅ 최소 권한 원칙 적용
  ⏳ ALB Internal 전환 (장기 과제)

Part 3: 실제 기업 보안 구축 사례 🏢

당근마켓: AI 시대의 실용적 보안 전략 🥕

당근마켓은 AI 도구를 안전하게 활용하면서도 보안을 강화하는 균형잡힌 접근법을 구현했습니다.

AI 안전 사용 3단계 프레임워크:

1️⃣ 네트워크 레벨 보호

DLP 패턴 예시:
  AWS_ACCESS_KEY: AKIA[0-9A-Z]{16}
  AWS_SECRET: [0-9a-zA-Z/+=]{40}
  PII_DATA: 주민등록번호|신용카드번호

2️⃣ 애플리케이션 레벨 제어

• 프라이버시 모드 강제 설정
• 데이터 학습 거부 옵션 활성화
• 프롬프트 로깅 및 모니터링

3️⃣ 디바이스 레벨 관리

• MDM을 통한 단말기 정책 적용
• 비준수 디바이스 접근 차단

AI 기반 보안 자동화:

• Bedrock: 보안 이벤트 1차 분석
• SageMaker: 정탐/오탐 95% 정확도 판단
• Slack 통합: 실시간 알림 및 대응

실전 훈련 프로그램:

모의 시나리오:
  - 암호화폐 마이닝 탐지
  - 데이터 유출 시도
  - 권한 에스컬레이션
  
참여 유도:
  - 게임화된 보안 퀴즈
  - 성과 기반 인센티브
  - Amazon Q 활용 교육

실제 기업의 WAF 활용 성과 🛡️

많은 기업들이 AWS WAF를 통해 효과적으로 DDoS와 봇 공격을 방어하고 있습니다.

 

일일 평균 방어:
  - 악성 봇 차단: 2.3M 요청
  - DDoS 공격 방어: 37건 (성공률 100%)
  - False Positive: 0.02% (매우 낮음)

JA4 핑거프린트 혁신:

• TLS 핸드셰이크 기반 36자리 고유 해시
• IP/User-Agent 변경으로 우회 불가
• 알려진 봇 패턴 즉시 식별

새로운 WAF 콘솔 장점:

• 설정 시간 80% 단축
• Protection Pack으로 즉시 적용
• 단일 페이지 설정 완료

Part 4: Datadog SIEM과 Cloud Security 모니터링 전략 🔍

Datadog Cloud SIEM 활용 사례

실시간 위협 탐지 및 대응:

Datadog SIEM 핵심 기능:
  Log Management:
    - 초당 수백만 로그 처리
    - 15개월 로그 보관 (컴플라이언스)
    - Hot/Warm/Cold 티어링으로 비용 최적화
  
  Detection Rules:
    - 400+ 사전 구성된 탐지 규칙
    - MITRE ATT&CK 프레임워크 매핑
    - 커스텀 규칙 생성 지원
  
  Investigation:
    - Security Signal 자동 생성
    - 관련 로그 자동 그룹핑
    - 타임라인 기반 포렌식

실제 활용 시나리오:

1️⃣ 이상 접근 패턴 탐지

# Datadog 탐지 규칙 예시
rule = {
    "name": "Unusual IAM Access Pattern",
    "query": """
        source:aws.cloudtrail 
        @evt.name:(AssumeRole OR GetSessionToken)
        | group by @usr.name
        | where count > 50
    """,
    "threshold": 50,
    "timeWindow": "5m",
    "severity": "HIGH"
}

2️⃣ 자동화된 인시던트 대응

워크플로우:
  1. 이상 탐지 → Security Signal 생성
  2. Slack/PagerDuty 알림
  3. 자동 격리 스크립트 실행
  4. 포렌식 데이터 수집
  5. 인시던트 티켓 생성

Datadog Cloud Security Monitoring

통합 클라우드 보안 가시성:

Cloud Security Management:
  CSPM (Cloud Security Posture Management):
    - 800+ 컴플라이언스 규칙
    - CIS, PCI-DSS, HIPAA 벤치마크
    - 자동 수정 제안
    
  CWP (Cloud Workload Protection):
    - 런타임 보안 모니터링
    - 컨테이너/쿠버네티스 보안
    - 파일 무결성 모니터링
    
  CSM Threats:
    - 실시간 위협 탐지
    - 행동 기반 분석
    - 네트워크 이상 탐지

비용 최적화 전략:

효율적 사용 방법:
  필수 유지:
    - Cloud SIEM (로그 분석 핵심)
    - CSM Threats (실시간 위협 탐지)
    
  선택적 사용:
    - CSPM → Prowler + AWS Config
    - CWP → GuardDuty + Inspector
    
  로그 관리 최적화:
    - 필수 로그만 인덱싱
    - 나머지는 Archive로 저장
    - Rehydration으로 필요시 복구
    
월 비용 예시 (100 hosts):
  전체 기능: $3,000-5,000
  최적화 후: $1,000-1,500 (70% 절감)

실전 모니터링 대시보드 구성:

핵심 대시보드:
  Executive Dashboard:
    - 전체 보안 점수
    - 주요 위협 트렌드
    - 컴플라이언스 상태
    
  SOC Dashboard:
    - 실시간 알림
    - 진행중인 인시던트
    - 대응 메트릭
    
  Compliance Dashboard:
    - CIS 벤치마크 점수
    - 미준수 리소스 목록
    - 수정 우선순위
    
  Cost Dashboard:
    - 보안 도구별 비용
    - 로그 볼륨 트렌드
    - 최적화 기회

Part 5: AWS + Datadog + 오픈소스 하이브리드 전략 💰

통합 보안 아키텍처 설계

Prowler + AWS Config 활용 전략:

컴플라이언스 점검 체계:
  Prowler:
    역할: 정기적인 심층 보안 감사
    실행: 일일/주간 스케줄
    범위: 
      - CIS Benchmark Level 1&2
      - PCI-DSS, HIPAA, GDPR
      - 커스텀 보안 정책
    
  AWS Config:
    역할: 실시간 구성 변경 모니터링
    규칙:
      - required-tags (태깅 정책)
      - s3-bucket-public-read-prohibited
      - iam-password-policy
      - ec2-imdsv2-check
    대응: 자동 수정 액션
    
  통합 방법:
    - Config 변경 이벤트 → Prowler 즉시 스캔
    - Prowler 결과 → Config Aggregator로 수집
    - 통합 대시보드에서 전체 컴플라이언스 확인

Security Hub 통합 전략

중앙화된 보안 관리:

Security Hub 통합 구성:
  데이터 소스:
    AWS 네이티브:
      - GuardDuty (위협 탐지)
      - Inspector (취약점 스캔)
      - Access Analyzer (권한 분석)
      - Config (컴플라이언스)
      - Macie (데이터 보호)
    
    서드파티:
      - Prowler 결과 (ASFF 형식)
      - Datadog Security Signals
    
  통합 워크플로우:
    1. 모든 보안 이벤트 → Security Hub
    2. 심각도별 자동 분류
    3. 자동 티켓 생성 (Critical/High)
    4. Datadog SIEM으로 추가 분석
    5. 대응 플레이북 자동 실행

비용 효율적 구성 예시:

월간 비용 분석 (100 AWS 리소스 기준):
  
  기본 보안 스택:
    Security Hub: $0.001/check (프리뷰 무료)
    GuardDuty: ~$50
    Config: ~$30 (규칙 20개)
    Prowler: $0 (오픈소스)
    소계: ~$80
  
  Datadog 선택적 추가:
    SIEM Lite: ~$500 (필수 로그만)
    CSM Threats: ~$300
    소계: ~$800
  
  총 비용: ~$880/월
  
  vs 전체 Datadog 사용: $3,000+/월
  절감액: 70% 이상

실전 구현 로드맵

Phase 1 (1개월):
  - Security Hub 활성화
  - GuardDuty 구성
  - Prowler 일일 스캔 설정
  - AWS Config 핵심 규칙 20개
  
Phase 2 (2-3개월):
  - Datadog SIEM 도입 (필수 로그만)
  - Security Hub 커스텀 통합
  - 자동 대응 플레이북 5개
  
Phase 3 (4-6개월):
  - 전체 통합 대시보드
  - AI 기반 이상 탐지
  - 24/7 모니터링 체계
  
예상 효과:
  - 보안 사고 탐지 시간: 24시간 → 5분
  - False Positive: 50% → 10%
  - 수동 대응: 80% → 20%

보안 성숙도 로드맵 📊

Level 1: Essential ⭐

• [x] Root 계정 MFA
• [x] CloudTrail 활성화
• [x] S3 버킷 보호
• [x] 기본 모니터링

Level 2: Standard ⭐⭐

• [x] GuardDuty 활성화
• [x] IMDSv2 전체 적용
• [ ] Security Hub + Prowler
• [ ] AWS Config 규칙 설정

Level 3: Advanced ⭐⭐⭐

• [x] Datadog SIEM 부분 도입
• [ ] 자동화된 대응 체계
• [ ] 통합 대시보드 구축
• [ ] Zero Trust 시작

Level 4: Optimized ⭐⭐⭐⭐

• [ ] AI 기반 위협 분석
• [ ] 예측적 보안
• [ ] 완전 자동화
• [ ] Chaos Engineering

맺음말 🎯

AWS re:Inforce 2025는 클라우드 보안이 단순한 방어를 넘어 예측, 자동화, 지능화로 진화하고 있음을 보여주었습니다.

핵심 교훈:

1. 기본이 가장 중요합니다 - IMDSv2 하나만 제대로 설정해도 대부분의 공격을 막을 수 있습니다
2. 하이브리드 접근이 현실적입니다 - AWS 네이티브 + Datadog 핵심 기능 + 오픈소스 조합으로 70% 비용 절감
3. Security Hub가 게임 체인저입니다 - 모든 보안 도구를 하나로 통합하여 관리 효율성 극대화
4. 자동화는 선택이 아닌 필수입니다 - 24시간 수동 모니터링은 불가능합니다

특히 ALB Internet-facing + IMDSv1 조합은 시한폭탄과 같습니다. 당장 IMDSv2를 적용하고, 장기적으로 Internal ALB로 전환 계획을 수립하세요.

보안은 기술, 프로세스, 사람의 조화입니다. AI 시대에도 기본기에 충실하면서 새로운 기술을 현명하게 활용하는 균형이 필요합니다 💪

---

⚠️ 법적 고지 및 주의사항:

• 본 문서의 모의해킹 시나리오는 격리된 개인 테스트 환경에서만 수행되었습니다
• 실제 시스템에 대한 무단 침입은 형법 및 정보통신망법 위반으로 처벌받을 수 있습니다
• 모든 보안 테스트는 반드시 소유자의 명시적 허가를 받은 후 진행하세요
• 프로덕션 환경 변경 시 반드시 테스트 환경에서 먼저 검증하세요