안녕하세요, Twodragon입니다.
드디어 기다리던 클라우드 시큐리티 과정 8기가 힘차게 닻을 올렸습니다! 🚀 이번 8기는 온라인미팅에서, '20분 강의 + 5분 휴식'이라는 뇌과학적으로 가장 효율적인 학습 루틴으로 진행됩니다.
단순한 이론 주입식 교육이 아닌, 실무의 고민을 함께 나누는 시간이었습니다. 1주차 핵심 내용을 블로그를 통해 정리해 드립니다.
1. 인프라의 진화: On-Premise vs Cloud
첫 시간은 단순히 '서버가 어디에 있는가'를 넘어, 네트워크 구조와 운영 방식의 기술적 차이를 깊이 있게 파헤쳐봅시다.
우리가 보호해야 할 전장이 어떻게 다른지 이해하는 것이 보안의 시작이기 때문입니다.
- 온프레미스(IDC): 수직적 방어의 성 🏰
- 트래픽 흐름: 주로 외부 인터넷에서 내부 서버로 들어오는 North-South 트래픽이 중심입니다.
- 보안 방식: 방화벽(Firewall), IPS 등 물리적인 보안 장비를 통한 경계 방어가 핵심입니다. 데이터의 물리적 통제가 필수적인 금융/공공 분야에서 여전히 강력합니다.
- 클라우드(CDC): 수평적 확장의 바다 ☁️
- 트래픽 흐름: MSA(Microservices Architecture) 환경에서는 가상화된 리소스(VM, Container) 간의 통신인 East-West 트래픽 비중이 폭발적으로 늘어납니다.
- 보안 방식: SDN(Software Defined Network) 기반이므로, 물리 장비보다는 Security Group, NACL 같은 논리적 보안 설정과 코드(IaC)를 통한 관리가 필수적입니다.
💡 [실무 Tip] 클라우드 네트워크 설계 시 고려사항
"서브넷(Subnet)은 무조건 넓게 잡으세요!" 온프레미스 습관대로 타이트하게 IP를 할당하면 나중에 큰코다칩니다. 클라우드, 특히 쿠버네티스(K8s) 환경은 Auto Scaling Group(ASG)이나 수시로 생성/소멸되는 Pod 때문에 IP 소모가 매우 빠릅니다. 트래픽 처리 최적화와 유연한 확장을 위해 처음부터 CIDR 범위를 여유 있게 설계하는 것이 "나중의 재앙"을 막는 길입니다.
📚 [참고 자료] 더 깊이 알아보기
- 온프레미스 vs 가상머신 가상화 vs 클라우드: https://grandiose-enquiry-687.notion.site/vs-vs-18359faef87c80fc9acfe310025d5006?pvs=74
- 온프레미스 vs 퍼블릭 클라우드 - 네트워크 특징 및 서브넷 범위: https://gasidaseo.notion.site/vs-094d88adb3df4d20aa7b0e9e1ba32814
온프레미스 vs 가상머신 가상화 vs 클라우드 | Notion
1. 온프레미스(IDC) vs 클라우드 데이터 센터(CDC)
grandiose-enquiry-687.notion.site
온프레미스 vs 퍼블릭 클라우드 - 네트워크 특징 및 서브넷 범위 | Notion
[필자 생각] 퍼블릭 클라우드 환경의 특징(트래픽 처리 최적화)과 요구 사항(ASG, 다수 파드)에 만족하기 위해서 좀 더 넓은 범위의 서브넷 대역을 할당하자!
gasidaseo.notion.site
2. 주요 클라우드 3사(CSP) 전격 비교
클라우드 보안 전문가라면 멀티 클라우드 역량은 선택이 아닌 필수입니다. AWS, Azure, GCP의 핵심 서비스를 한눈에 비교해 드렸습니다.
| 카테고리 | AWS (Amazon Web Services) | Azure (Microsoft) | Google Cloud (GCP) |
| 컴퓨팅 | Amazon EC2 (가장 성숙하고 다양한 옵션) |
Virtual Machines (Windows/Entra ID 친화적) |
Compute Engine (빠른 부팅, 커스텀 머신) |
| 스토리지 | Amazon S3 (객체 스토리지의 표준) |
Azure Blob Storage | Cloud Storage |
| 네트워크 | VPC | VNet | VPC (글로벌 리전 통합) |
| 관리/보안 | IAM, CloudTrail | Entra ID (구 AD) | Cloud IAM |
📚 [참고 자료] AWS 및 Azure 서비스를 Google Cloud와 비교: https://cloud.google.com/docs/get-started/aws-azure-gcp-service-comparison?hl=ko
AWS 및 Azure 서비스를 Google Cloud와 비교 | Get started | Google Cloud Documentation
의견 보내기 AWS 및 Azure 서비스를 Google Cloud와 비교 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요. 최종 업데이트: 2024년 12월 3일 이 표에서는 일반 안정화 버
docs.cloud.google.com
3. Insight: 보안은 '인체의 면역 시스템'이다 🧬
많은 분들이 "스타트업이나 작은 조직에서 보안이 당장 필요한가요?"라고 묻습니다. 이에 대해 인체 비유(Human Analogy)를 통해 명쾌한 답변을 드렸습니다.
- 👤 사람 = 조직(시스템): 성장 중이지만 아직 면역력이 약한 상태
- 🩸 피 = 정보(Data): 조직을 살아 움직이게 하는 핵심 (유출 시 치명적)
- 🦠 바이러스 = 해킹/위협: 외부 공격뿐만 아니라 내부의 실수도 바이러스처럼 증식
- 🧼 멸균/정기검진 = 보안 조치: 암호화는 '멸균', 모의해킹은 '건강검진'
"보안은 선택이 아니라 생존을 위한 면역 시스템입니다." 병이 퍼진 후 치료하는 것보다, 미리 예방하고 면역력을 기르는 것이 비용도 적게 들고 조직의 성장을 돕습니다.
📚 회사 규모에 따른 보안 전략 : https://grandiose-enquiry-687.notion.site/1be59faef87c806ca26ed0fb2c82b976?pvs=74
회사 규모에 따른 보안 전략 | Notion
정보보안의 주요 목표
grandiose-enquiry-687.notion.site
4. 보안 트렌드의 변화: DevSecOps & Zero Trust
과거의 경계 보안 모델은 한계에 다다랐습니다. 이제는 개발 속도를 늦추지 않으면서 보안을 내재화하는 DevSecOps와, "아무도 믿지 말고 끊임없이 검증하라"는 Zero Trust가 표준입니다.
특히 클라우드 보안은 CNAPP (Cloud Native Application Protection Platform)으로 통합되고 있습니다.
- CSPM: 클라우드 설정 오류 자동 진단 (예: AWS Config, Prowler)
- CWPP: 워크로드 보호 (예: EKS 런타임 탐지)
- CIEM: 권한 관리 (예: IAM Access Analyzer)
- [제로 트러스트 보안 가이드라인 참고하기]
- https://github.com/querypie/resources/blob/main/QueryPie_Zero_Trust_Framework_V4/QueryPie%20Zero%20Trust%20Framework%20V4-1.pdf
resources/QueryPie_Zero_Trust_Framework_V4/QueryPie Zero Trust Framework V4-1.pdf at main · querypie/resources
Contribute to querypie/resources development by creating an account on GitHub.
github.com
Document Viewer
www.kisa.or.kr
5. 실습을 위한 AWS 핵심 기초 ☁️
다음 주부터 시작될 본격적인 실습을 위해 AWS의 3대장 서비스를 확실히 짚고 넘어갔습니다.
- VPC (Virtual Private Cloud): 클라우드 내의 격리된 나만의 네트워크 환경입니다. 서브넷, IP 범위, 라우팅 테이블 등을 설정하며, VPC EndPoint를 활용해 프라이빗 연결을 구성합니다.
- IAM (Identity and Access Management): "누가 무엇을 할 수 있는가?"를 정의합니다. 루트 계정 사용을 지양하고 SCP(서비스 제어 정책), OU(조직 단위) 등을 활용해 계정 전반의 권한을 제어합니다.
- EC2 (Elastic Compute Cloud): 가상 서버입니다. SSM(Session Manager)을 통해 SSH 키 관리의 위험 없이 안전하게 접근하는 방법을 강조했습니다.
📚 [참고 자료] 2주차 실습 대비 필독 링크
- VPC 개념 및 기초 설명 (3): https://gasidaseo.notion.site/VPC-3-c561be69fa064d38ae6191687dc8994b
- AWS SCP, OU, Policy에 대해 알아보자: https://going-to-end.tistory.com/entry/AWS-SCP-OU-Policy-%EC%97%90-%EB%8C%80%ED%95%B4-%EC%95%8C%EC%95%84%EB%B3%B4%EC%9E%90
- AWS General Immersion Day - EC2 모듈: https://catalog.workshops.aws/general-immersionday/ko-KR/basic-modules/10-ec2
VPC (3) | Notion
Hosted by Notion Sites — The easiest way to get a website up and running.
gasidaseo.notion.site
AWS SCP, OU, Policy 에 대해 알아보자
개인이 AWS 계정을 사용하는 사용하는 경우에는 사실 AWS Organization을 이용해 다른 AWS 계정들을 연동시키거나 개발계, 검증계, 운영계 등과 같은 OU를 따로 생성할 경우는 드물 것입니다. 하지만 엔
going-to-end.tistory.com
General Immersion Day - Basic
The content contained in the module is considered foundational, 100 level labs covering AWS core services.
catalog.workshops.aws
보안 담당자 필독! (KISA 최신 공지)
보안은 정보력과 속도전입니다. 한국인터넷진흥원(KISA)의 최신 공지 중 실무에 치명적인 2가지를 공유합니다. 즉시 확인해 주세요.
👉 KISA 인터넷 보호나라 보안공지 바로가기: https://knvd.krcert.or.kr/securityNotice.do
1. Fortinet 제품 보안 업데이트 권고 (2025.11.19)
- 내용: Fortinet 제품군에서 원격 공격자가 시스템 제어권을 탈취하거나 서비스 거부(DoS)를 유발할 수 있는 취약점 발견.
- 대응: FortiGate 등을 사용 중인 조직은 즉시 최신 펌웨어로 업데이트 필수.
2. 보안인증 S/W(AnySign4PC 등) 취약점 클리닝 권고 (2025.11.17)
- 내용: 금융·공공기관 접속 시 설치되는 보안 프로그램의 구버전에서 원격 코드 실행 취약점 확인.
- 대응: 개인/사내 PC의 제어판에서 해당 프로그램을 삭제하거나, KISA 보호나라의 'PC 원격 보안점검(내PC 돌보미)' 등을 활용해 조치.
📝 1주차를 마치며
8기 여러분, 첫 주차 어떠셨나요? 숲(트렌드/마인드셋)과 나무(네트워크/AWS기초)를 동시에 보며, 보안 엔지니어로서의 시야를 넓히는 시간이 되셨기를 바랍니다.
다음 주부터는 직접 AWS 환경을 구축하고 보안 정책을 적용해보는 실습이 기다리고 있습니다. 이번 주에 배운 개념들을 꼭 복습해 주시고, 2주차에서 건강한 모습으로 만나요!
감사합니다! 🙌
'* Twodragon > 보안 강의 (Course)' 카테고리의 다른 글
| 🚀 클라우드 시큐리티 8기 3주차: AWS FinOps 아키텍처부터 ISMS-P 보안 감사까지 완벽 공략! (0) | 2025.12.12 |
|---|---|
| 🚀 클라우드 시큐리티 8기 2주차: AWS 보안 아키텍처의 핵심, VPC부터 GuardDuty까지 완벽 정복! (0) | 2025.12.05 |
| 클라우드 시큐리티 8기 OT 안내: DevSecOps부터 FinOps까지, 실무형 인재로 도약하라! 🚀 (0) | 2025.11.21 |
| 클라우드 시큐리티 과정 7기 - 9주차 DevSecOps 통합 정리 (0) | 2025.06.13 |
