대기업 수준의 보안을 중소기업에서? 기본 보안 설정부터 WAF까지
Written by Hyejin Jeon
안녕하세요. 스마일샤크 전혜진입니다.
기업의 사이버 보안 침해사고가 지속적으로 증가하고 있습니다.
특히 지난해 사이버 공격으로 인한 피해 기업의 92%는 ‘중소기업’인 것으로 나타났는데요,
상대적으로 낮은 보안 수준으로 인해 공격자들의 타겟이 되기 쉽고, 비용적으로 보안 담당자나 보안 솔루션을 도입하기 어렵기 때문입니다.
이를 해결하기 위해 AWS 환경에서는 간단하고 기본적인 보안 설정과 몇 가지 보안 서비스만 활용하면 대부분의 악성 공격을 효과적으로 방어할 수 있습니다.
사이버 공격으로는 어떤 유형이 있고, AWS에서는 공격을 어떻게 방어하는지 알아볼까요?
사이버 공격 유형
DDoS 공격 - AWS 리소스(예: EC2, RDS)를 마비시키기 위해 대량의 트래픽을 발생시키는 공격
자격 증명 탈취 - AWS 액세스 키나 IAM 사용자 자격 증명을 훔쳐 무단 접근을 시도하는 공격
SSRF(Server-Side Request Forgery) - EC2 인스턴스 메타데이터나 내부 서비스에 무단 접근을 시도하는 공격
데이터 유출 - S3 버킷 설정 오류를 이용하거나 RDS 인스턴스에 무단 접근하여 데이터를 빼내는 공격
리소스 해킹 - EC2 인스턴스나 Lambda 함수를 탈취하여 암호화폐 채굴 등에 악용하는 공격
AWS의 기본 보안 설정과 보안 서비스
💡 다음과 같은 기본적인 보안 설정으로 많은 종류의 공격을 방어할 수 있습니다.보안 설정 | 대응 공격 | 설명 |
EC2 인스턴스 메타데이터 보호 (IMDSv2 사용) | SSRF, 자격 증명 탈취 | IMDSv2는 세션 기반 요청을 사용하여 SSRF 공격으로부터 메타데이터에 대한 무단 액세스를 방지합니다. |
IAM 역할과 정책 강화 | 자격 증명 탈취 | 최소 권한 원칙을 적용하여 사용자와 리소스의 권한을 제한해서 무단 액세스를 방지합니다. |
2차 인증(MFA) 활성화 | 자격 증명 탈취 | MFA를 사용하여 비밀번호 탈취만으로 계정에 접근할 수 없게 합니다. |
네트워크 분리 및 보안 그룹 설정 | 무단 접근, 데이터 유출 | VPC, 서브넷, 보안 그룹을 통해 네트워크를 분리하고, 불필요한 접근을 차단하여 공격 표면을 줄입니다. |
S3 버킷 정책 관리 | 데이터 유출 | S3 버킷의 접근 정책을 철저하게 관리하여 데이터에 대한 무단 접근을 방지합니다. |
💡 하지만 더 복잡하고 악의적인 공격은 기본 설정만으로는 방어하기 어렵습니다. 이를 위해 AWS는 다양한 보안 서비스를 제공하여 더욱 강력한 방어 체계를 추구할 수 있도록 지원합니다.보안 서비스 | 대응 공격 | 설명 |
AWS WAF | DDoS, SSRF | 웹 애플리케이션 방화벽으로, 악성 트래픽을 필터링하고 다양한 웹 기반 공격을 방어합니다. |
AWS GuardDuty | 자격 증명 탈취, 리소스 해킹 | 지능형 위협 탐지 서비스로 로그 분석을 통해 비정상적인 활동을 감지하고 알림을 제공합니다. |
AWS Shield | DDoS | DDoS 공격으로부터 AWS 리소스를 보호하는 관리형 서비스입니다. |
AWS Config | 구성 오류로 인한 취약점 | AWS 리소스의 구성을 지속적으로 모니터링하고 평가하여 보안 설정 오류를 찾아냅니다. |
AWS Security Hub | 종합적인 보안 위협 | 보안 모범 사례와 업계 표준에 따라 보안 문제를 자동으로 검사하여 전반적인 보안 결과를 확인할 수 있습니다. |
AWS는 이처럼 다양한 보안 서비스를 제공하고 있습니다. 이 중에서도 웹 애플리케이션을 보호하는 데 가장 많이 사용하는 서비스가 바로 AWS WAF(Web Application Firewall)입니다.
이 서비스가 어떻게 작동하는지 자세히 살펴보겠습니다.
AWS WAF(Web Application Firewall)
AWS WAF를 사용하면 SQL 인젝션, DDoS, SSRF 등 다양한 웹 기반 공격을 방어하고, 악성 IP 주소를 차단하거나 트래픽을 효과적으로 관리할 수 있습니다.
이를 위해서는 먼저 규칙을 만들어야 하는데요, AWS에서 제공하는 규칙과 사용자가 직접 생성하는 규칙이 있습니다.
AWS Managed Rules (관리형 규칙)
OWASP Top 10과 같이 널리 알려진 웹 공격
Custom Rules (사용자 정의 규칙) : 비즈니스 요구사항에 맞게 더 정교한 규칙을 만들 때 사용합니다.
특정 IP 주소나 범위를 허용/차단
특정 국가나 지역의 트래픽 제어
특정 문자열이나 패턴 검사
정규 표현식에 맞는 패턴 검사
지정한 규칙을 충족하는 웹 요청은 허용할 수 있고, 규칙을 위반하는 요청은 차단 또는 카운트할 수 있습니다.
또한 Bot Control 기능을 통해 웹 스크래핑 및 크롤링 같은 봇 트래픽을 차단할 수 있고, 의심스러운 요청이 들어오면 CAPTCHA를 트리거 할 수도 있습니다.
그 외에도 CloudFront, ALB, API Gateway 등의 서비스와 연동하여 리소스를 보호할 수 있습니다.
비용은 처리된 웹 요청에 대해서만 과금되는 형식이고, 별도의 관리가 필요하지 않아 비용 효율적인 서비스입니다.
마무리
WAF의 Managed Rule은 설정이 비교적 쉽지만, Custom Rule은 구현이 상대적으로 복잡합니다.
또한 Managed Rule을 사용할 때는 정상적인 요청이 차단되는 경우를 방지하기 위해 예외 처리를 통해 오탐을 줄여야 합니다.
그리고 AWS WAF는 애플리케이션 계층(Layer 7)의 디도스 공격을 방어하지만, 네트워크 계층(Layer 3,4)의 공격을 방어하려면 AWS Shield 서비스를 사용하셔야 합니다.
이렇게 복잡한 보안 설정이 부담스러우시거나 어떤 서비스를 사용할지 모르신다면 AWS 공인 파트너사를 통해 상담을 받으시는 것을 추천드립니다.
스마일샤크는 AWS WAF Service Delivery Program을 취득하여 전문성을 인정받은 파트너사입니다.
다양한 보안 서비스를 구축하고 관리하고 있으므로, AWS 리소스를 안전하고 효율적으로 관리하고 싶으신 분들은 아래 링크로 문의주시기 바랍니다.
Commentaires