AWS re:Inforce 2023 행사에서 선보인 최신 보안 솔루션들
AWS에서 개최하는 여러가지 행사중에 대표적인 행사로 AWS re:시리즈가 있습니다. re:Invent, re:Inforce, 그리고 AWS행사는 아니지만 Amazon re:MARS가 있습니다. 그 중에 re:Invent는 다양하고 새로운 클라우드 솔루션들과 생태계 및 여러 활용 사례들이 공유되는, 세계에서 가장 큰 클라우드 행사로 자리를 잡고 있습니다. re:MARS의 경우에는 약자(Machine learning, Automation, Robotics, Space)에서 알 수 있듯이 최신기술을 클라우드에서 구현하고 연합하는 커뮤니티 구축에 큰 역할을 하고 있습니다. 본 글에서 소개할 행사인 re:Inforce역시 클라우드에서 가장 중요한 요소중에 하나인 보안에 집중하여, 키노트, 기술트랙, 파트너 Expo, AWS EBC(Executive Briefing Center) 미팅, 현장 토론, 다양한 커뮤티니 행사등을 통해서 클라우드 보안에 대한 가장 최신의 기술과 솔루션, 트랜드 및 미래의 청사진에 대한 정보를 얻을 수 있는 매우 중요한 행사입니다.
행사장 스캐치
금번 re:Inforce 2023 행사는 6월 13일, 14일 양일간 미국 애너하임에서 개최 되었습니다. 주로 라스베이거스에서 열리는 re:Invent와는 달리 re:Inforce는 보스턴, 휴스턴, 애너하임등 장소가 바뀌면서 열리고 있습니다. 내년 2024 행사는 어디에서 열릴지 기대가 됩니다.
AWS 행사들은 일반적으로 본 행사 하루 전부터 다양한 사전행사가 준비되며, 출입증도 행사 당일의 복잡성을 피하도록 하루 전에 교환하도록 권장됩니다. 참고로 AWS 행사에서는 Lanyard color를 통해서 여러 형태의 참석자를 구분할 수 있습니다.
흰색은 re:Inforce Staff
회색은 Executive
검은색은 General attendee : 대부분의 참석자
녹색은 re:Inforce Sponsors : 파트너 분들
주황색은 AWS Employee
붉은색은 Member of press & analysts
를 나타냅니다.
사전 등록시 사진을 등록하지 않았다면, 현장에서 직접 찍어서 프린트 해 줍니다. 현장에서 찍으면 아무래도 좀 어둡게 나오므로 미리 깔끔한 사진을 업로드 하는 것이 더 좋을 듯 합니다. 참고로 AWS 임직원들은 행사를 지원하기 위하여 기술 세션은 참석하지 못하며 Keynote, 고객별 현장 미팅, EBC 미팅, Social Event등을 도우며 함께 하게 됩니다.
행사장에는 기술 세션을 위한 장소들 외에, 60여개 이상의 다양한 파트너 솔루션들을 만나볼 수 있는 Expo 부스들과 AWS의 보안관련 서비스 및 기술을 소개하는 라운지, 그리고 보다 심도깊은 논의를 위한 현장 미팅 장소들이 준비되어 있습니다. 아래 사진을 통해서 현장의 모습을 조금이나마 살펴볼 수 있습니다.
<사진 4. 행사장 내부 모습>
Keynote
AWS re:Inforce 2023의 키노트는 AWS의 CISO(Chief Information Security Officer)인 CJ Moses, Delta Air Lines의 CISO인 Debbie Wheeler, 그리고 AWS의 Senior Principal Engineer인 Becky Weiss가 맡아서 진행 했습니다. 전체 동영상은 아래의 링크를 통해서 확인이 가능합니다. 여기서는 Keynote에서 소개된 주요 내용들을 간략하게 알아 보겠습니다.
<동영상 링크 1. Keynote>
AWS CISO인 CJ Moses는 AWS의 보안 공동 책임 모델(Security shared responsibility model)에 대한 언급으로 부터 시작하여 FBI에서 사이버 범죄자들에 대한 프로파일링 진행하면서 적용한 방법론을 AWS의 보안 솔루션을 만드는데 활용하여 효과적이며 안전한 클라우드 보안 환경을 구축하였음을 소개하였습니다. 가장 기본적인 컴퓨팅 환경에 대한 보안에 대해서는, 실리콘 레벨에서 보안이 적용된 Nitro 시스템을 기반으로 하여 가상화 환경에서 공유된 하드웨어를 통해 발생할 수 있는 보안이슈를 원천 차단했으며 이는 영국의 NCC 그룹에서 발표한 리포트를 통해서 공증되었음을 보여 주었습니다. 서버리스 환경에서는 Firecracker를 개발하여 멀티 테넌트환경의 보안을 확보하고 있음을 또한 소개했습니다.
이렇게 수많은 보안 규정을 통과하기 과정에서 Auditor들의 AWS Data center 방문요청 역시 증가하게 됩니다. 시간을 절약하고, 동시에 Audit과정에서 발생할 수 있는 만에 하나의 문제를 방지하기 위해서 AWS는 가상화된 투어 프로그램을 제공합니다. (이 투어 프로그램은 re:Inforce 2023 부스에서도 체험하실수 있도록 준비되어 있었습니다.)
AWS가 가장 방대한 클라우드 서비스를 제공하고 있으므로, 필연적으로 직/간접적인 공격에도 많이 노출되게 됩니다. AWS 는 초당 300기가바이트의 VPC 흐름로그를 처리합니다. 이는 1분에 3테라의 데이타를 분석 하고 있다는 말이며, AWS WAF의 경우에는 매일 3천500억회 이상의 Amazon Managed Rule요청을 처리하고 있습니다. 또한 AWS는 매년 70만회 이상의 DDoS 공격을 완화하고 있습니다. 이러한 막대한 공격으로 부터 엄청난 양의 위협인텔리전스를 확보하고 있으며, 이는 그대로 AWS의 보안 솔루션에 반영되어 지속적인 발전을 이루어 내고 있습니다.
최근의 우크라이나 전쟁을 통해서 기존에 돈을 목적으로 해 왔던 랜섬웨어가, 정치적인 목적으로 데이터를 파괴하는 와이퍼웨어로 변질되는 모습들이 확인되고 있습니다. 랜섬웨어와 와이퍼웨어에 대응하기 위한 가장 효과적인 방법은 백업이며, AWS는 이러한 백업 솔루션을 계속해서 강화하고 발전시켜 오고 있음을 소개합니다.
<사진 11. Ransomware and Wiperware>
AWS는 인터넷을 보다 안전하게 만들기 위해서 끊임없이 노력하고 있으며, 이러한 노력은 함께하여야 더욱 큰 힘을 발휘한다는 것을 알고 있기에, 위협인텔리전스 정보를 다양한 3rd party 보안 벤더들과 공유하고 있습니다. 결과적으로 고객은 보다 안전한 환경에서 고객의 비지니스에 더욱 집중할 수 있게 되며, 혁신을 이루어 내는데 도움을 받을 수 있다는 이야기로 전반부를 마무리합니다.
이어서 무대에 등장한 Senior Principal Engineer인 Becky Weiss는 이번 re:Invent 2023을 통해서 정식으로 런칭하거나, 새롭게 선보이는 AWS 보안 솔루션들을 소개합니다. AWS는 Zero Trust라는 용어가 유행하기 이전 부터 이미 Zero Trust 원칙 하에서 여러가지 보안 컨트롤들을 도입해 왔습니다.
특히 보안의 전통적인 성벽모델에서 처럼, 일단 성벽 안으로 들어오면 보안컨트롤이 느슨해 지는 것을 방지하고자 합니다. 이를 위해서 기존의 VPN환경에서 한발 더 나아간 AWS Verified Access 를 소개합니다.
사용자들은 Zero Trust 원칙을 기반으로 구축된 AWS Verified Access를 통해, 액세스를 허용하기 전에 모든 애플리케이션을 빠짐 없이 검증받고, 사용자의 자격증명과 접속장비의 유효성을 검증받습니다. Verified Access는 VPN을 사용할 필요가 없어 최종 사용자의 원격 접속 경험을 간소화하고 IT 관리자의 관리 복잡성을 줄여 줍니다. 이러한 컨트롤을 효과적으로 적용하기 위해서 AWS는 엑세스 제어를 위한 오픈소스 언어인 Cedar를 개발하여 공개하였습니다. Cedar는 AWS Verified Access 뿐 아니라, 오늘 정식으로 GA되는 Amazon Verified Permissions에서도 사용됩니다.
Amazon Verified Permissons
Amazon Verified Permissions는 맞춤형 애플리케이션을 위한 확장 가능하며 세분화된 권한 관리 및 인증 서비스입니다. 이 서비스는 맞춤형 애플리케이션에 대한 세부 권한을 중앙에서 관리하며, 개발자가 애플리케이션 내에서 사용자 작업을 승인하도록 Cedar 정책 언어를 사용하여 애플리케이션 사용자의 세부 권한을 정의합니다. “인증(Authentication)”과 “인가(Authorization)”가 필수로 적용되는 API 환경에서는 “인가”에 대한 세부적이고 다양한 제어에 대한 요구가 증대되고 있습니다. 하지만 그 반변에, 권한 관리자가 모든 애플리케이션 상황에 맞는 인가정책을 작성하는데는 한계가 있을수 밖에 없습니다. 따라서 이러한 맞춤형 권한관리 서비스가 추가되는 것은 개발자와 권한 관리자 모두에게 환영받을 수 있는 반가운 소식입니다.
Amazon EC2 Instance Connect Endpoint
EC2 인스턴스 연결 엔드포인트 (EIC Endpoint) 를 통해 이제 고객은 퍼블릭 IP 주소를 사용하지 않고도 EC2 인스턴스에 SSH 및 RDP를 연결할 수 있습니다. 과거에는 고객이 원격 연결을 위해 EC2 인스턴스에 퍼블릭 IP를 할당했습니다. EIC Endpoints를 사용하면 고객이 프라이빗 서브넷의 인스턴스에 원격으로 연결할 수 있으므로 연결에 퍼블릭 IPv4 주소를 사용할 필요가 없습니다.
AWS Management Console Private Access
많은 회사들이 회사 네트워크에서 개인의 AWS Management Console에 접속하는 것을 차단하도록 다양한 Proxy 제품을 활용하고 있습니다. 예를 들어서, AWS Identity Center를 구성한뒤 Proxy에서 기본 Sign in 페이지를 차단하고 SSO URL만 접근 가능하도록 구현하는 방법등이 있습니다. AWS에서도 이러한 요구사항을 만족시키기 위해서 AWS Management Console Private Access를 지난달에 발표한 바 있습니다. Keynote에서 해당 내용을 잠시 소개하고 있기에 포함하였습니다만, 아직 서울리전이 지원되지 않고, 모든 서비스가 포함되지는 않습니다. 이 부분도 빠르게 개선이 될 것으로 기대됩니다.
Amazon Inspector – Lambda runtime code scan & SBOM export
지금까지 Amazon Inspector는 Lambda 함수 및 관련 계층에 애플리케이션 패키지 종속성의 소프트웨어 취약성을 검사를 지원해 왔습니다. 이번에 새롭게 GA되는 Amazon Inspector Code Scans for Lambda 기능을 통해서 이제부터는 Lambda 함수 내의 사용자 지정 전용 애플리케이션 코드를 검사하여 인젝션 결함, 데이터 유출, 취약한 암호화 또는 AWS 보안 모범 사례에 기반한 누락된 암호화와 같은 코드 보안 취약점을 찾아낼 수 있습니다. Preview에서는 별도 비용이 없었으나, 정식 GA되면서 추가비용이 발생하며, 지원되는 리전이 10개로 제한적입니다. 아직 서울리전은 지원하지 않습니다. 또한 Amazon Inspector는 이제 조직 전체의 Amazon Inspector에서 모니터링하는 모든 리소스에 대한 통합 소프트웨어 재료 명세서 (SBOM) 를 CycloneDX 및 SPDX를 비롯한 업계 표준 형식으로 내보낼 수 있는 기능을 제공합니다. 이 새로운 기능은 모든 상용 리전에서 제공되며, 자동화되고 중앙에서 관리되는 SBOM을 사용하여 소프트웨어 공급망에 대한 주요 정보를 파악할 수 있습니다. SBOM 제출을 요구하는 보안 규정을 만족하여야 하는 고객의 경우, 추가 비용 없이 즉시적으로 효용을 누릴 수 있습니다.
Delta Air Lines 보안 Protocol 소개
Delta Air Lines의 CISO이자 SVP인 Debbie Wheeler가 나와서 Delta Air Lines이 어떻게 수많은 고객들과 임직원들의 중요한 정보를 처리하고 보호하는 지에 대한 High level 보안 Protocol을 소개 합니다. 리더쉽의 강력한 의지로 “Top to bottom security”를 적용하고, 모두가 보안의 책임을 가지는 “Accountability”를 확보하며, 회사전체에 보안에 대한 의식“Safety First, Always”을 확고하게 하여 보안의 습관화를 완성하는 것을 3가지 주요 Protocol로 잡고 있음을 강조합니다.
Amazon Security Lake
CJ Moses가 다시 무대로 나와서 지난달에 정식 GA된 Amazon Security Lake를 소개합니다. Security Lake는 클라우드, 온프레미스 및 사용자 지정 소스의 보안 데이터를 AWS 계정에 구성한 데이터 레이크에 자동 수집하여 OCSF(Open Cybersecurity Schema Framework) 형태로 저장합니다. OCSF는 특정 벤더에 종속되지 않고 표준 프레임워크입니다. 따라서 Security Lake를 사용하면 AWS뿐 아니라 온프레미스나 다른 소스의 보안 데이터를 통합 분석하여 전체 조직의 보안을 보다 포괄적으로 이해하며, 워크로드, 애플리케이션 및 데이터의 보호를 개선할 수 있습니다.
AWS Built in Partner Solutions
AWS Marketplace에는 다양하고 강력한 보안 제품들이 많이 등록되어 있습니다. 고객분들이 Marketplace에서 제품을 설치하고 구성하는데 추가적인 노력이 듭니다. 오늘 Preview로 소개되는 AWS Built-In Partner Solutions 는 이러한 노력을 최소화 시켜줍니다. AWS 전문가가 검증한 자동화된 배포 패키지를 통해서, 잘 설계된 모듈식 코드 리포지토리(MCR)를 사용하여 주요 기본 AWS 서비스의 설치, 구성 및 파트너 솔루션과의 통합을 통해 실제적인 가치 창출 시간을 단축할 수 있습니다. 이 자동화된 통합은 AWS에서 독립적으로 검증하므로 벤더 통합 테스트에 걸리는 시간을, 며칠 또는 몇 주를 절약할 수 있습니다.
Amazon CodeWhisperer
최근에 가장 떠오르는 화두로 생성형 AI모델을 들 수 있습니다. 생성형 AI를 통해서 다양한 업무에 도움을 받을 수 있으며, 이러한 추세는 점점 증가되어 갈 것입니다. 한편으로는 생성형 AI의 강력한 기능을 활용한 사이버공격 역시 늘어가고 있습니다. AWS의 위협 인텔리전스에 따르면 AI가 생성한 악성코드의 양이 급격히 증가하는 추세라고 합니다.
따라서 보안 엔지니어 역시 이러한 추세에 대응할 수 있는 보안 도구들이 필요합니다. 이어서 소개하는 Amazon CodeWhisperer는 바로 생성형 AI에 기반하여 실시간으로 코드 작성에 도움을 주는 서비스로서, 현시점에서 유일하게 내장된 보안점검 기술이 적용된 AI 코드지원 툴입니다.
Amazon CodeGuru Security
다음으로 Preview 제품으로 소개하는 Amazon CodeGuru Security는 자바, 파이썬 및 자바스크립트 코드에서 보안 취약점을 찾아내는 ML 및 프로그램 분석 기반 코드 스캔 도구입니다. CodeGuru Security는 로지스틱 회귀와 신경망을 함께 사용하는 규칙 마이닝과 감독형 ML 모델을 사용하여 학습됩니다. 예를 들어 민감한 데이터 유출을 훈련하는 동안 리소스 또는 민감한 데이터를 사용하는 모든 코드 경로에 대해 전체 코드 분석을 수행하고 이를 나타내는 기능 세트를 만든 다음 이를 로지스틱 회귀 모델 및 CNN (Convolutional Neural Network) 의 입력으로 사용합니다. CodeGuru Security는 CI/CD모델 전체에 적용되며, 리포지토리 스캔 및 IDE환경에 통합할 수 있습니다. 아직 CodeGuru가 서울리전을 지원하지 않고 있으므로, 다른 리전에서 먼저 사용해 봄으로서 그 성능을 확인할 수 있을 것입니다.
Amazon Detective Finding Groups
Amazon Detective의 Finding Groups를 통해 단일 보안 침해 이벤트와 관련된 여러 활동을 그룹화 하여 조사할 수 있도록 합니다. 공격자는 AWS 환경을 손상시키려고 시도하는 동안 다양한 공격과 비정상적인 행위를 수행합니다. 이러한 활동은 종종 장기간에 걸쳐서 여러 서비스와 자원에 분산되어 진행됩니다. 보안 침해사고를 조사할 때 공격이 발생한 특정 날짜, 특정 자원에 한정하면 실제 보안사고의 파급력과, 근본 원인을 밝히는데 문제가 생길 수 있습니다. Amazon Detective는 결과 간의 관계를 ML기반으로 추론하고 그룹화하는 그래프 분석 기술을 적용하여 이 문제를 해결합니다. Detective 조사 결과의 데이터를 분석하고 공유하는 리소스를 기반으로 관련 가능성이 높은 다른 조사 결과와 그룹화합니다. 예를 들어, 동일한 IAM 역할 세션에서 수행한 작업이나 동일한 IP 주소에서 발생한 작업에 의해 트리거된 결과는 동일한 기본 활동에 속할 가능성이 매우 높습니다.
다양한 보안 전문 기술 트랙들
re:Inforce 2023에서는 위에서 살펴본 키노트 및 리더쉽 세션 외에도, 각종 보안 모범사례와 고객사례, 그리고 여러 이슈에 대한 토론 세션들이 다양하게 진행되었습니다. 워낙 많은 세션이 진행되기에, 어떤 세션을 참석할 지 고민하실 고객분들을 위해서 별도로 엑셀파일로 정리하여 참석하시는 한국 고객분들께 공유를 드려야 했습니다. 아래 스크린 샷에서 보이는 것 처럼, 엑셀로 정리해 보니, Keynote가 있는 첫날에는 93개의 기술 세션이, 둘째날에는 130개의 기술 세션이 진행된 걸로 확인이 되었습니다. (물론 참석자 일정을 고려하여, 양일에 걸쳐서 동일하게 반복해서 진행되는 세션들이 있는 점은 감안 하여야 합니다)
이러한 세션들을 블로그를 통해서 모두 소개하는 것은 불가능 합니다. 사실 더 좋은 방법은 AWS Events 유투브를 통해서 확인하고 필요한 세션을 학습하는 것입니다. 해당 녹화 자료들은 지금 바로 확인이 가능하며 200개가 넘는 동영상들이 마련되어 있습니다.
다양한 부대 행사들
re:Inforce 2023에는 전세계에서 모인 다앙햔 분야의 보안 전문가들이 함께 모여서 즐길 수 있는 다양한 부대행사들도 역시 마련되어 있습니다. 아래에 그러한 행사중에 대표적인 몇가지 행사를 포함하여 보았습니다. 공개적인 행사 외에도, 즉흥적으로 이루어지는 Private 미팅 및 기술 세션의 발표자들과 좀더 심도 깊은 토론이 가능하도록 준비된 다양한 Open space table들이 있었습니다. 특히 이번행사에 함께 하시는 한국고객분들 역시 최근의 Assurance / Compliance 관련 문의가 있어서, AWS의 Assuarence 책임자의 기술세션이 끝나고 따로 모여서 토론 및 향후 지원방안에 대해서 논의한 바 있습니다.
여기에 소개되지 않은 다양한 행사들도 있었습니다. 행사 하루전인 6월 12일 월요일 저녁에는 APJ(Asia-Pacific and Japan) 지역의 SA(Solutions Architect) 조직에서 담당 고객들을 모시고 영화 포레스트 검프에서 모티브를 따온 BUBBA GUMP SHRIMP 식당에서 Networking dinner를 진행했습니다. 저도 간만에 맛있는 새우 요리와 마르가리타를 즐기며 고객분들과 다양한 이야기를 나누는 기회를 가졌습니다. 하지만 역시 보안업무를 책임지는 분들이라, 보안관련 이야기가 대부분이었으며 마치 업무회식에 온 것같은 푸근함을 느낄 수 있었습니다.
2024년 re:Inforce를 기대하며
re:Inforce 2023행사에서 발표된 다양한 AWS 보안 솔루션과 기능 및 소개된 기술 세션들, 그리고 파트너 Expo까지 소화하기에는 이틀이라는 공식 일정이 너무나도 짧게 느껴졌습니다. 더불어서 고객분들의 필요에 따라 별도로 진행된 Extra meeting들 까지 챙기고 나니 시차적응을 할 틈 조차 없이 바쁘게 흘러 갔습니다. 하지만 전 세계의 클라우드 보안전문가들이 한자리에 모여 최신의 클라우드 보안기술을 선보이고 함께 토론하는 매우 귀중한 경험을 할 수 있었습니다. 내년 re:Inforce 2024 행사에는 이러한 유익한 경험을 좀 더 많은 한국 고객분들과 함께 했으면 하는 기대를 품으며 행사 소개를 마치고자 합니다.
이 글은 황재민 AWS Security Specialist Solutions Architect 께서 기고해주셨습니다.