AWS 보안 서비스를 계층화하여 시그니처 서비스에 대한 보호 기능을 확장한 Dropbox

클라우드 기반 파일 스토리지 및 스마트 워크스페이스 회사인 Dropbox는 2019년에 전자 서명 및 스토리지 솔루션인 HelloSign을 인수했습니다. HelloSign은 2021년에 8만 명 이상의 고객을 확보하며 빠르게 성장했고, 고객의 개인 식별 정보(PII) 및 결제 카드 정보 데이터 보호의 중요성을 인식하게 되었습니다. 이 회사는 서비스의 보안과 가용성을 모두 높이고자 했는데, 이를 위해서는 분산 서비스 거부(DDoS) 공격과 기타 보안 이벤트로부터 서비스를 보호해야 했습니다.

이미 많은 인프라 요구 사항을 지원하는 데 Amazon Web Services(AWS)를 이용하고 있던 이 회사는 AWS 사용을 확대하여 보안 태세를 강화하기로 결정했습니다. HelloSign은 AWS의 확장 가능한 맞춤형 도구를 사용하여 불과 6개월 만에 보안 체계를 업그레이드하면서 모범 사례를 구현하고 개발자 시간을 절약하며 보안 대응 시간을 개선하고 보안 이벤트를 방지했습니다.

Dropbox는 파일 동기화 기능과 공유 기능을 제공하여 워크플로를 최적화하는 스마트 작업 공간입니다. HelloSign을 인수할 당시 Dropbox는 고객이 Dropbox를 나가지 않고도 온라인으로 문서를 전송, 서명 및 저장할 수 있는 기능을 제공했습니다. HelloSign은 웹 애플리케이션 보안에 대한 가시성을 확보하고 추가 통제 조치를 적용할 위치를 파악하기 위해 저장된 PII 데이터를 사전에 식별하는 등, 보안 태세를 강화하기로 결정했습니다.

HelloSign은 데이터를 서드 파티 솔루션으로 오프로드할 필요가 없는 확장 가능하고 강력한 옵션을 원했습니다. 데이터를 서드 파티 솔루션으로 오프로드할 경우 외부 기업에 PII에 대한 액세스를 제공하기 위해 시간이 많이 걸리는 보안 심사 프로세스를 거쳐야 할 수 있기 때문입니다. 어디서든 원하는 양의 데이터를 가져올 수 있도록 구축된 객체 스토리지인 Amazon Simple Storage Service(S3)를 사용하여 암호화된 데이터를 저장하고 있던 HelloSign은 이미 인프라 측면에서 AWS를 신뢰하고 있었습니다. HelloSign은 보안 서비스를 단편적으로 도입하는 것이 아니라, 여러 AWS 보안 서비스를 내부 워크플로에 신속하게 구현했습니다.

HelloSign 보안 솔루션의 첫 번째 계층에는 기계 학습 및 패턴 매칭 기술을 활용하여 Amazon S3 버킷에서 민감한 데이터를 검색하고 보호하는 완전관리형 데이터 보안 및 데이터 프라이버시 서비스인 Amazon Macie가 구축되었습니다. Amazon Macie는 데이터를 서드 파티에 오프로드하지 않고도 대규모로 작동합니다. HelloSign의 취약성 관리에는 Amazon Inspector를 사용합니다. Amazon Inspector는 취약성을 평가하고 의도치 않게 네트워크 접근이 가능하게 된 부분이 없는지 확인하여 AWS에 배포된 애플리케이션의 보안과 규정 준수 상태를 개선하는 데 도움을 줍니다. HelloSign의 선임 보안 엔지니어인 Kirtika Dommeti는 “Amazon Inspector의 조사 결과를 패치 관리 자동화 프로세스의 일부로 사용하므로, 소프트웨어와 시스템을 업데이트하는 데 드는 시간과 리소스가 많이 절약됩니다”라고 말합니다. 보안 가시성을 더욱 높이기 위해 HelloSign은 AWS 계정, 워크로드 및 Amazon S3에 저장된 데이터를 보호하기 위해 악의적 활동 또는 무단 동작을 지속적으로 모니터링하는 위협 탐지 서비스인 Amazon GuardDuty를 사용합니다. Amazon GuardDuty에서 얻은 조사 결과의 근본 원인을 보다 효과적으로 분석하기 위한 솔루션으로, 이 회사는 기계 학습, 통계 분석 및 그래프 이론을 사용하여 사용자가 더 효율적으로 쉽고 빠르게 보안 조사를 수행할 수 있도록 연결된 데이터 세트를 구축하는 Amazon Detective를 평가하고 있습니다.

또한 HelloSign의 AWS 보안 태세를 모니터링하고 보고하기 위해, 모든 보안 조사 결과를 집계하고 AWS 배포 전반에서 보안 모범 사례 검사를 수행하는 AWS Security Hub를 사용합니다. 보안 경고 및 보안 태세에 대한 이러한 종합적인 가시성은 규정 준수를 지원하는 데 도움이 됩니다. 예를 들어 HelloSign은 Amazon Macie의 기능을 사용하여 PII 및 결제 카드 정보를 탐지하는 한편, AWS Security Hub의 종합적인 보안 태세 검사 기능을 함께 활용하여 인터넷 보안 센터(CIS) 벤치마크와 지불 카드 보안 표준(PCI DSS)을 충족합니다.

HelloSign은 서버를 프로비저닝하거나 관리하지 않고도 코드를 실행할 수 있는 서버리스 컴퓨팅 서비스인 AWS Lambda, 규모와 관계없이 한 자릿수 밀리초의 성능을 제공하는 키 값 및 도큐먼트 데이터베이스인 Amazon DynamoDB 등의 서비스를 전용 처리 로직과 함께 사용하여 조사 결과를 관리합니다. 그런 다음 HelloSign의 내부 팀이 회사의 티켓팅 및 사고 대응 워크플로를 통해 모든 문제를 해결합니다.

이 회사는 가용성에 영향을 주거나, 보안을 위협하거나, 리소스를 과도하게 사용하는 일반적인 웹 공격으로부터 웹 애플리케이션이나 API를 보호하는 데 도움이 되는 AWS Web Application Firewall(AWS WAF)을 사용하여 웹 애플리케이션 보안 이벤트에 대응했습니다. HelloSign은 AWS WAF를 사용하여 트래픽이 회사의 웹 서버에 도달하기 전에 미리 트래픽을 필터링함으로써 15~30분 만에 인시던트를 완화하고, 일반적인 보안 이벤트 패턴을 사전에 차단하는 규칙을 사용자 지정하며, 미국의 제재를 받는 지역에 지리적 또는 국가별 차단 조치를 적용할 수 있습니다. HelloSign은 AWS WAF를 사용한 덕분에 12건의 DDoS 보안 이벤트와 시스템 가동 중단을 초래할 수도 있었던 다른 보안 위협을 피할 수 있었습니다. 아울러 HelloSign은 AWS에서 실행되는 애플리케이션을 보호하는 관리형 DDoS 보호 서비스인 AWS Shield Advanced를 사용합니다. AWS Shield Advanced로 보호되는 리소스에 대해 고객은 AWS WAF와 보안 관리 서비스인 AWS Firewall Manager를 추가 비용 없이 이용할 수 있습니다. Dommeti는 “이제 우리는 정보에 입각하여 결정을 내리고 어떤 고객이 어디에서 유입되는지 파악할 수 있습니다”라고 말합니다.

HelloSign은 여러 AWS 계정 및 비즈니스 애플리케이션에 대한 액세스를 중앙에서 손쉽게 관리하고 사용자에게 Single Sign-On 액세스를 제공하여 할당된 모든 계정 및 애플리케이션을 한곳에서 액세스하도록 해주는 AWS Single Sign-On(AWS SSO)을 사용하여 인증 프로세스를 업그레이드했습니다. 3개월 내에 보안 기능을 자동화한 결과, 워크플로가 간소화되고 시간이 많이 걸리는 작업이 줄어들었습니다. 이러한 조치로 전반적인 효율성이 향상되어 HelloSign의 주당 작업 시간이 약 120시간 단축되었습니다. Dommeti는 “서비스가 직관적이기 때문에 원활하게 이용할 수 있고 신규 직원에게 관리 방법을 쉽게 교육할 수 있었습니다”라고 말합니다.

AWS 보안 서비스의 사용 편의성과 통합 기능 덕분에 HelloSign은 업계 표준을 뛰어넘는 수준의 보안을 구현할 수 있었습니다. HelloSign의 보안 책임자인 Mark Dorsi는 “AWS를 사용하여 보안 모델을 완성하고 수동 프로세스를 자동화할 수 있었습니다. 그 결과, 보안 운영, 인력 배치 및 라이선스 비용의 심사 시간을 단축하여 연간 약 100만 달러를 절약했습니다”라고 말합니다.