AWS 기반 통합 로그 모니터링 및 대응방안 이해

1. 통합 로그 모니터링의 목표 

통합 로그 모니터링은 클라우드 환경에서 발생하는 로그를 중앙으로 모아 보관하여 잠재적 보안 문제나 의심스러운 활동의 원인을 쉽고 빠르게 분석, 식별할 수 있는 환경을 구축하는 것을 목표로 합니다. AWS의 로그 모니터링을 위한 다양한 주요 서비스 중 몇 가지를 알아보겠습니다.

구분	내용
CloudTrail	사용자의 모든 활동이 사용한 역할(role), 활동의 위치(source IP), 행위의 형식(API 호출/관리 콘솔 접근 등), 등 모든 것을 함께 기록
CloudWatch	AWS 리소스와 애플리케이션에서 생성된 로그 데이터를 실시간으로 수집 및 저장하고 시각화하며, 특정 로그 이벤트에 대해 알람 설정이 가능
Config	AWS 리소스의 환경설정 변경 사항을 모니터링하고 특정 변경사항에 대한 경고 메시지 전송 설정이 가능
GuardDuty	VPC flow logs, Route 53 DNS query logs 등 로그를 자동분석하여 위협을 탐지하고, 심각도를 기준으로 우선순위를 지정해주며 침입을 알림

[AWS 보안 아키텍처 예시]

 

2. AWS 환경 무차별 대입 공격(brute force attack) 대응 시나리오

무차별 대입 공격(Brute Force Attack)은 공격자가 가능한 모든 조합의 암호나 키를 시도하여 대상 시스템에 접근하려고 하는 공격 방법입니다. 

 

  2-1. 탐지

GuardDuty
설정 및 활성화	AWS 계정 및 리소스에서 발생하는 의심스러운 활동을 모니터링
알림 설정	무차별 대입 공격을 탐지하고, 자동으로 알림을 생성하여 보안 팀에 통지

  2-2. 로그 분석 및 활동 추적

CloudTrail
로그 분석	AWS 계정의 API 호출 및 사용자 활동을 기록하고, 공격의 원인을 분석
이벤트 추적	의심스러운 로그인 시도 및 실패한 인증 이벤트를 추적

CloudWatch
로그 모니터링	로그인 시도와 관련된 로그를 수집하고, 비정상적인 로그인 시도를 모니터링
지표 생성	로그인 실패 횟수를 기준으로 지표를 생성하여 알람을 설정

  2-3. 침해대응 

IAM
비밀번호 정책 강화	최소 비밀번호 길이, 복잡성 요구 사항, 비밀번호 재사용 제한 등을 설정
MFA(다중인증) 적용	모든 사용자에게 MFA를 강제하여 보안 강화를 도모

Lambda
자동화된 대응	CloudWatch 알람이 트리거되면 AWS Lambda 함수를 실행하여 의심스러운 IP 주소를 차단하거나, 해당 사용자의 접근 권한을 제한
알림 및 조치	Lambda 함수를 사용하여 보안 팀에 알림을 보내고, 즉각적인 조치를 취합

  2-4. 추가 보안 조치

WAF
IP 차단	무차별 대입 공격을 시도하는 IP 주소를 차단
보안 규칙 설정	WAF 규칙을 구성하여 비정상적인 요청 패턴을 감지하고 차단

VPC
보안그룹 규칙 설정	특정 IP 범위에서의 접근을 제한하고, 의심스러운 트래픽을 차단

  2-5. 사후 분석 및 감사 

Config
구성 변경 추적	리소스 구성 변경 사항 추적 및 침입 공격과 관련된 설정 변경을 감사
규정 준수 보고서	규정 준수 상태를 평가하고 보고서를 생성하여 내부 감사 및 외부 규제 요구 사항을 충족

Security Hub
통합 보안 관리	GuardDuty, Config, Inspector 등의 보안 결과를 중앙에서 통합 관리하고, 종합적인 보안 상태를 모니터링

 

3. 결론

GuardDuty와 CloudTrail을 사용하여 의심스러운 활동을 탐지하고, IAM과 Lambda를 통해 즉각적인 대응 조치를 취합니다. 추가적으로 WAF와 VPC 보안 그룹을 활용하여 공격을 완화하고, Config와 Security Hub를 통해 사후 분석과 규정 준수를 관리합니다. 

 

이를 통해 AWS 환경의 보안을 강화하고, 무차별 대입 공격에 효과적으로 대응할 수 있습니다.