Amazon Web Services 한국 블로그
AWS Security Hub 정식 출시, 준 실시간 분석과 위험 우선순위 지정 가능 가능
오늘 AWS Security Hub를 정식 출시하여, 기업내 보안 팀이 AWS 환경 전반에서 중대한 보안 위험을 식별하고 이에 대응하는 방식을 혁신할 수 있습니다. 이러한 새로운 기능은 AWS re:Inforce 2025에서 평가판으로 처음 발표되었습니다. Security Hub는 중요한 보안 문제의 우선 순위를 지정하고 보안 운영을 통합하여 여러 AWS 보안 서비스 전반에 걸쳐 신호를 상관시키고 강화하여 대규모로 대응할 수 있도록 지원합니다. Security Hub는 거의 실시간 위험 분석, 추세, 통합 지원, 간소화된 가격 책정, 보안 신호를 실행 가능한 인사이트로 전환하는 자동화된 상관 관계를 제공합니다.
여러 보안 도구를 배포하는 조직은 다양한 콘솔에서 신호의 상관 관계를 수동으로 분석해야 하므로 운영 오버헤드가 발생하여 탐지 및 응답 시간이 지연될 수 있습니다. 보안 팀은 위협 탐지, 취약성 관리, 보안 상태 모니터링 및 민감한 데이터 검색을 위해 다양한 도구를 사용하지만 이러한 도구에서 생성된 조사 결과에서 가치를 추출하려면 관계를 이해하고 우선 순위를 결정하는 데 상당한 수작업이 필요합니다.
Security Hub는 클라우드 보안 운영을 통합하는 내장형 통합을 통해 이러한 문제를 해결합니다. 개별 계정 또는 전체 AWS Organizations 계정에 사용할 수 있는 Security Hub는 Amazon GuardDuty, Amazon Inspector, AWS Security Hub Cloud Security Posture Management(AWS Security Hub CSPM), Amazon Macie의 신호를 자동으로 집계하고 상관 관계를 분석하여 위협, 노출, 리소스 및 보안 범위를 기준으로 구성합니다. 이 통합 접근 방식은 수동 상관 관계 분석 작업을 줄여 중요한 문제를 신속하게 식별하고, 적용 범위 격차를 파악하고, 심각도 및 영향을 기준으로 해결의 우선 순위를 정하는 데 도움이 됩니다.
정식 출시의 새로운 기능
평가판 발표 이후 Security Hub에 몇 가지 새로운 기능이 추가되었습니다.
역사적 추세
Security Hub에는 요약 대시보드를 통한 추세 기능이 포함되어 있어 조직 전체의 조사 결과와 리소스에 대한 최대 1년 분의 과거 데이터를 제공합니다. 요약 대시보드는 사용자 지정 가능한 위젯을 통해 노출, 위협, 리소스 및 보안 범위에 대한 개요를 표시하며, 운영 요구 사항에 따라 이러한 위젯을 추가, 제거 및 정렬할 수 있습니다.
대시보드에는 일별, 주별, 월별 비교를 위한 기간별 분석을 표시하는 추세 개요 위젯이 포함되어 있어 보안 상태가 개선되고 있는지 또는 저하되고 있는지 추적할 수 있습니다. 활성 위협 조사 결과, 활성 노출 결과 및 리소스 추세에 대한 추세 위젯은 5일, 30일, 90일, 6개월 및 1년 등 선택 가능한 기간 동안의 평균 수를 시각화합니다. 이러한 시각화를 심각도 수준(예: 위험, 높음, 중간, 낮음)별로 필터링하고 특정 시점 위에 마우스를 올려놓으면 자세한 개수를 검토할 수 있습니다.
요약 대시보드에는 심각도에 따라 우선 순위가 지정된 현재 노출 요약, 악의적이거나 의심스러운 활동을 보여주는 위협 요약, 유형 및 관련 조사 결과별로 정리된 리소스 인벤토리를 표시하는 위젯도 포함되어 있습니다.
보안 적용 범위 위젯을 사용하면 조직 전체에 걸쳐 보안 서비스 배포에서 발생하는 차이점을 파악할 수 있습니다. 이 위젯은 어떤 AWS 계정 및 리전에서 보안 서비스가 활성화되어 있는지 추적하여 위협, 취약성, 잘못된 구성 또는 민감한 데이터에 대한 가시성이 부족한 부분을 파악하는 데 도움이 됩니다. 이 위젯은 Amazon Inspector의 취약성 관리, GuardDuty의 위협 탐지, Amazon Macie의 민감한 데이터 검색, AWS Security Hub CSPM의 상태 관리를 비롯한 보안 기능 전반에 걸친 계정 적용 범위를 표시합니다. 적용 범위 백분율은 Security Hub가 활성화된 AWS 계정 및 리전에서 어떤 보안 검사가 통과했는지 또는 실패했는지를 보여줍니다.
노출 및 위협 데이터에 대한 필터나 인벤토리 데이터에 대한 리소스 필터를 찾아서 모든 위젯에 걸쳐 적용되는 공유 필터를 사용하여 위젯에 필터를 적용할 수 있습니다. and/or 연산자를 사용하여 필터 세트를 생성하고 저장하여 보안 분석을 위한 특정 기준을 정의할 수 있습니다. 저장된 필터 세트와 위젯 레이아웃을 비롯한 대시보드 사용자 지정은 자동으로 저장되어 세션 전체에 걸쳐 유지됩니다.
교차 리전 집계를 구성하면 홈 리전에서 볼 때 요약 대시보드에 연결된 모든 리전의 결과가 포함됩니다. AWS Organizations에서 위임된 관리자 계정의 경우 데이터에는 관리자 계정과 멤버 계정 모두에 대한 조사 결과가 포함됩니다. Security Hub는 조사 결과가 생성된 날로부터 1년 동안 추세 데이터를 보관합니다. 1년 후 추세 데이터는 자동으로 삭제됩니다.
실시간에 가까운 위험 분석
Security Hub는 이제 거의 실시간으로 노출을 계산하며 GuardDuty의 위협 상관 관계와 기존 취약성 및 잘못된 구성 분석을 포함합니다. GuardDuty가 위협을 탐지하거나, Amazon Inspector가 취약성을 식별하거나, AWS Security Hub CSPM이 잘못된 구성을 발견하면 Security Hub는 자동으로 이러한 조사 결과의 상관 관계를 파악하고 관련 노출을 업데이트합니다. 이러한 개선 기능은 보안 상태에 대한 즉각적인 피드백을 제공하므로 새로운 노출을 신속하게 식별하고 수정 조치로 예상대로 위험이 감소했는지 확인할 수 있습니다.
Security Hub는 AWS Security Hub CSPM, Amazon Inspector, Amazon Macie, Amazon GuardDuty 및 기타 보안 서비스 전반의 조사 결과를 상관시켜 보안 사고로 이어질 수 있는 노출을 식별합니다. 이러한 상관 관계를 통해 여러 보안 문제가 결합되어 심각한 위험이 발생하는 경우를 파악할 수 있습니다. Security Hub는 리소스 연관성, 잠재적 영향 및 신호 간의 관계를 분석하여 컨텍스트로 보안 신호를 강화합니다. 예를 들어, Security Hub에서 버전 관리, Object Lock 및 MFA 삭제가 비활성화된 민감한 데이터가 포함되어 있는 Amazon Simple Storage Service(Amazon S3) 버킷을 식별하는 경우, 임의의 구성 요소를 수정하면 자동 계산이 트리거되어 예약된 평가를 기다리지 않고도 수정 효과를 확인할 수 있습니다.
노출 페이지에서는 조사 결과를 제목과 심각도별로 정리하므로 중요한 문제에 먼저 집중할 수 있습니다. 이 페이지에는 심각도 수준별로 구분된 최근 90일 동안의 노출 조사 결과 평균 수를 표시하는 추세 그래프가 있는 개요 섹션이 포함되어 있습니다. 이 시각화는 시간 경과에 따른 노출 상태의 변화를 추적하고 보안 위험의 패턴을 파악하는 데 도움이 됩니다.
노출 조사 결과는 영향을 받은 리소스의 수와 전반적인 심각도를 보여주는 확장 가능한 행을 통해 제목별로 그룹화됩니다. 각 노출 제목은 ‘잠재적 데이터 파괴: 버전 관리, Object Lock 및 MFA 삭제가 비활성화된 S3 버킷’ 또는 ‘잠재적 원격 실행: EC2 인스턴스가 VPC에서 접근 가능하며 소프트웨어 취약성이 있음’과 같이 잠재적인 보안 영향을 설명합니다. 저장된 필터 세트나 위험, 높음, 보통, 낮음 등의 심각도 수준에 따라 빠른 필터를 사용하여 노출을 필터링할 수 있습니다. 또한 인터페이스는 계정 ID, 리소스 유형 및 계정별로 필터링 기능을 제공하므로 인프라의 특정 부분과 관련된 노출 범위를 빠르게 좁힐 수 있습니다.
Security Hub는 조사 결과가 나오는 즉시 노출을 생성합니다. 예를 들어, 공개적으로 액세스할 수 있는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 배포하고 Amazon Inspector에서 악용 가능성이 높은 취약성을 탐지하는 동안 AWS Security Hub CSPM이 공개 접근성 구성을 식별하면 Security Hub에서 이러한 발견의 상관 관계를 자동으로 분석하여 예정된 평가를 기다리지 않고도 노출 결과를 생성합니다. 거의 실시간에 가까운 상관 관계를 통해 새로 배포된 리소스의 중대한 위험을 식별하고 악용되기 전에 조치를 취할 수 있습니다.
노출 결과를 선택하면 세부 정보 페이지에 노출 유형, 주요 리소스, 리전, 계정, 연령 및 생성 시간이 표시됩니다. 개요 섹션에는 노출 시나리오에 직접적으로 영향을 미치는 보안 문제를 나타내는 기여 특성이 표시됩니다. 이러한 특성은 도달 가능성, 취약성, 민감한 데이터, 잘못된 구성 및 가정 가능성과 같은 범주별로 분류됩니다.
세부 정보 페이지에는 잠재적 공격 경로 탭이 포함되어 있으며, 이 탭에서는 잠재적 공격자가 리소스에 액세스하여 제어할 수 있는 방법을 보여주는 시각적 그래프를 제공합니다. 이 시각화는 기본 리소스(예: EC2 인스턴스), 관련 리소스(예: VPC, 서브넷, 네트워크 인터페이스, 보안 그룹, AWS Identity and Access Management(IAM) 인스턴스 프로파일, IAM 역할, IAM 정책, 볼륨) 및 기여 특성 간의 관계를 표시합니다. 그래프는 전체 공격 표면을 이해하고 어떤 보안 제어를 조정해야 하는지 식별하는 데 도움이 됩니다.
특성 탭에는 노출에 영향을 미치는 모든 보안 문제가 나열되고 리소스 탭에는 영향을 받는 모든 리소스가 표시됩니다. 수정 섹션에서는 위험을 가장 효과적으로 줄이기 위해 먼저 수정해야 할 특성을 권장하는 문서 링크와 함께 우선 순위가 지정된 지침을 제공합니다. 이 포괄적인 관점을 사용하면 특정 노출을 조사하고, 보안 위험의 전체 컨텍스트를 이해하고, 팀이 환경 전반의 취약성, 잘못된 구성 및 기타 보안 격차를 해결함에 따라 수정 진행 상황을 추적할 수 있습니다.
확장된 파트너 통합
Security Hub는 인시던트 관리 워크플로를 위해 Jira 및 ServiceNow와의 통합을 지원합니다. 조사 결과를 볼 때 AWS Security Hub 콘솔에서 직접 원하는 시스템에 티켓을 생성할 수 있으며, 이때 결과 세부 정보, 심각도, 권장되는 수정 단계가 자동으로 입력됩니다. 또한 Security Hub에서 심각도 수준, 리소스 유형 또는 검색 유형과 같은 지정한 기준에 따라 Atlassian의 Jira Service Management 및 ServiceNow에서 티켓을 자동으로 생성하는 자동화 규칙을 정의할 수도 있습니다. 이를 통해 수동 개입 없이 중요한 보안 문제를 사고 대응 팀에 전달할 수 있습니다.
Security Hub 조사 결과는 보안 도구가 데이터를 원활하게 공유할 수 있도록 하는 오픈 소스 표준인 오픈 사이버 보안 스키마 프레임워크 (OCSF) 스키마 형식입니다. Security Hub 및 OCSF 형식과의 통합을 구축한 파트너로는 Cribl, CrowdStrike, Databee, DataDog, Dynatrace, Expel, Graylog, Netskope, Securonix, SentinelOne, Cisco 계열사인 Splunk, Sumo Logic, Tines, Upwind Security, Varonis, DTEX, Zscaler 등이 있습니다. 또한 Accenture, Caylent, Deloitte, Optiv, PwC, Wipro와 같은 서비스 파트너가 Security Hub와 OCSF 스키마를 도입하는 데 도움을 줄 수 있습니다.
Security Hub는 Amazon EventBridge를 통해 자동화된 응답 워크플로도 지원합니다. 지정한 기준에 따라 조사 결과를 식별하고 처리 및 수정을 위해 AWS Lambda 함수 또는 AWS Systems Manager Automation 런북과 같은 대상으로 라우팅하는 EventBridge 규칙을 생성할 수 있습니다. 이를 통해 수동 개입 없이 프로그래밍 방식으로 조사 결과에 따라 조치를 취할 수 있습니다.
정식 출시
현재 AWS Security Hub CSPM, Amazon GuardDuty, Amazon Inspector 또는 Amazon Macie를 사용하는 경우 AWS Security Hub 콘솔로 이동하여 이러한 기능에 액세스할 수 있습니다. 신규 고객인 경우 AWS Management Console을 통해 Security Hub를 활성화하고 워크로드에 적합한 보안 서비스를 구성할 수 있습니다. Security Hub는 활성화된 서비스의 조사 결과를 자동으로 사용하여 통합 콘솔에서 결과를 제공하고 수집된 보안 데이터를 기반으로 상관 관계가 있는 노출 결과를 생성합니다.
리전별 이용 가능 여부는 리전별 AWS 서비스 페이지를 참조하세요. 거의 실시간 노출 계산 및 추세 기능이 추가 비용 없이 포함됩니다. Security Hub는 통합된 AWS 보안 서비스 전반의 요금을 통합하는 간소화된 리소스 기반 요금 모델을 사용합니다. 콘솔에는 배포 전에 AWS 계정 및 리전 전반의 보안 투자를 계획하고 예측하는 데 도움이 되는 비용 산정 도구가 포함되어 있습니다. 기능, 지원되는 통합 및 요금에 대한 자세한 내용은 AWS Security Hub 제품 페이지 및 기술 설명서를 참조하세요.