Southwest Airlines, AWS Security Hub를 통해 보안 태세에 투자

Southwest Airlines(Southwest)는 안전하고 원활한 운영을 지원하는 다양한 통합 애플리케이션을 보호하기 위해 보안 태세에 투자하고자 했습니다. 보안 인사이트 수집에 클라우드 네이티브 요소를 사용함으로써 Southwest는 인프라 관리 대신 혁신적인 애플리케이션 구축에 집중할 수 있었습니다. Southwest의 Cloud Security Senior Manager인 Will Walsh는 “우리 팀들이 보안 이벤트를 조사 및 복구하고 사건 발생 후 포렌식 분석을 수행할 수 있도록 풍부한 보안 인사이트를 제공할 수 있기를 원했습니다.”라고 말합니다.

Southwest는 Amazon Web Services(AWS)로의 지속적인 마이그레이션의 일환으로 AWS Security Hub를 도입했습니다. AWS Security Hub는 클라우드 보안 상태 관리 서비스이며, 사용자가 AWS 계정 전반의 보안 경고 및 보안 상태를 종합적으로 파악할 수 있는 광범위하게 자동화되고 확장 가능한 통합의 핵심 부분입니다. Southwest의 보안 팀은 AWS Security Hub를 사용하여 보안 운영에 대한 가시성을 높이고 클라우드 네이티브 애플리케이션과 타사 애플리케이션을 모두 쉽게 관리할 수 있습니다.

텍사스에 본사를 둔 Southwest는 세계 최대의 저가 항공사 중 하나로, 약 5만 4,000명의 직원이 근무하며 11개국 101개 목적지로 연간 1억 3천만 명의 승객을 수송하고 있습니다. Southwest는 2010년에 처음으로 AWS 서비스를 사용하기 시작한 최초의 AWS 엔터프라이즈 고객 중 하나였습니다. 이전에 Southwest는 데이터 센터에서 비행 일정 관리, 수요 예측, 유지 보수 일정 수립, 모바일 및 웹 판매에 대한 동적 요금 책정, 지연을 유발하는 날씨와 같은 불규칙한 상황에 대응하기 위해 사내 기술을 활용했습니다. Southwest는 유연성을 개선하고 가치 전달을 가속화하기를 원했기 때문에 2017년에 운영을 AWS로 마이그레이션하기 시작했습니다. 처음에 Southwest는 데이터 센터를 위해 개발한 것과 동일한 보안 운영 모델을 계속 사용하면서 클라우드에서 운영했지만, 클라우드 네이티브 접근 방식을 채택하면 역량을 극대화할 수 있다는 사실을 곧 깨달았습니다. AWS가 Southwest를 대신하여 인프라를 관리하는 공동 책임 모델로 전환하면 Southwest의 보안 팀은 보안 이벤트 탐지, 예방 및 대응을 비롯하여 우선 순위가 높은 업무에 집중할 수 있습니다.

Southwest는 개발 팀이 보안 기능을 구축하는 데 사용할 수 있는 높은 가용성, 복원력 및 다양한 도구 때문에 AWS를 선택했습니다. Southwest의 Cybersecurity Engineering Director인 Jon Barcellona는 “AWS로의 마이그레이션은 보안 애플리케이션의 전송 속도를 높이는 데 있어 중요한 단계였습니다. AWS 도구를 사용하면 애플리케이션을 자연스럽게 통합, 관리 및 세분화하는 것이 더 간단해집니다.”라고 말합니다.

Southwest는 AWS Security Hub를 사용하여 AWS의 다양한 보안 서비스와 타사 보안 제품의 데이터를 관리하고 수집하는 보안 솔루션을 구축했습니다. 또한 Southwest는 AWS 리소스의 구성을 기록하고 평가하는 서비스인 AWS Config의 사용자 지정 규칙을 사용하여 다양한 AWS 서비스를 관리합니다. AWS Security Hub에 제공되는 서비스 중에는 Amazon GuardDuty가 있는데, 이는 악의적인 활동과 무단 동작을 지속적으로 모니터링하는 위협 탐지 서비스입니다. Southwest는 Amazon Inspector도 사용하는데, 이는 애플리케이션의 노출, 취약성 및 모범 사례와의 편차를 자동으로 평가합니다. Southwest는 조사를 시작하기 위해 Amazon Detective를 사용하는데, 이를 통해 잠재적 보안 문제의 근본 원인을 간단하게 분석 및 조사하고 신속하게 식별할 수 있습니다.

Southwest의 솔루션은 AWS Security Hub를 사용하여 Amazon GuardDuty, AWS Config 및 Amazon Inspector를 통해 탐지된 이벤트를 수집합니다. 그러면 이벤트 정보가 리전별로 집계되어 모니터링 및 관찰성 서비스인 Amazon CloudWatch의 로그에 제공됩니다. 마지막으로 Southwest는 Amazon CloudWatch 로그용 어댑터를 사용하여 타사 엔터프라이즈 보안 정보 및 이벤트 관리 솔루션에 이벤트 정보를 제공합니다. 이를 통해 여러 소스의 데이터를 집계하고 많은 콘텐츠와의 이벤트 상관 관계를 분석하여 실행 가능한 보안 이벤트를 탐지합니다. 보안 운영 센터는 이벤트를 지속적으로 모니터링하고 분석하여 적절하게 억제 및 근절합니다.

보안 운영 센터, 위협 인텔리전스 팀, 인시던트 대응자, 애플리케이션 팀을 비롯한 Southwest의 여러 팀은 AWS Security Hub를 사용하여 Southwest의 보안 상태를 잘 파악할 수 있습니다. 이 솔루션으로 350개 이상의 자동화된 보안 제어를 구현하는 데 필요한 시간과 인력을 줄였으며 Southwest는 보안 상태를 구성하는 관련 보안 제어 목표를 철저히 준수할 수 있게 되었습니다. Southwest는 글로벌 수준에서 매달 수백 개의 AWS 계정에서 60만 개 이상의 리소스를 스캔하고 있으며, 이 중 98%의 리소스가 보안 상태 검사를 통과합니다. AWS Security Hub를 통해 나머지 2%의 리소스를 간단하게 수정할 수 있습니다. “이제 AWS Security Hub를 통해 필요로 하는 강력한 보안 기능을 갖추게 되었습니다.”라고 Barcellona는 말합니다.

Southwest는 표준 조사 결과 형식인 AWS 보안 조사 결과 형식(ASFF)을 사용하여 향후 자동화된 보안 제어의 개발 시간을 단축하는 라이브러리를 구축합니다. Southwest는 표준 형식을 사용하여 여러 계정에 대해 복잡한 테스트 제어를 구현할 수 있습니다. Southwest는 새로운 제어 기능을 구현하는 데 걸리는 개발 시간을 5~6주에서 1주일로 단축했습니다. 이전에는 몇 년이 걸렸던 개발 아이디어 구상, 제작 및 활성화 프로세스가 이제는 몇 달 또는 몇 주 만에 완료됩니다. Walsh는 “AWS Security Hub는 마치 마법처럼 데이터를 표준화했습니다. 이제 이전에는 할 수 없었던 기계 학습, 인공 지능, 이상 탐지를 적용할 수 있습니다.”라고 말합니다.

앞으로 Southwest는 사용자가 AWS 리소스 및 서비스에 대한 액세스를 안전하게 관리할 수 있는 AWS Identity and Access Management(AWS IAM)를 사용하여 계정 관리를 간소화할 계획입니다. Southwest는 외부 엔터티와 공유하는 리소스 및 계정을 식별하는 AWS IAM Access Analyzer를 사용하여 리소스 및 데이터에 대한 의도하지 않은 액세스의 보안 위험을 추가로 파악할 수 있습니다.

Southwest는 AWS 기반 클라우드 네이티브 보안 솔루션을 구축하여 애플리케이션과 민감한 데이터를 안전하게 유지하는 데 필요한 가시성, 탄력성 및 효율성을 확보했습니다. Barcellona는 “보안 시스템이 작동하지 않으면 비행할 수 없습니다. 따라서 AWS를 기반으로 강력한 보안 태세와 기능을 갖추는 것이 매우 중요합니다.”라고 말합니다.