Keywords
- CloudTrail · GuardDuty
- EventBridge · Lambda
- 자동 대응 (Auto Remediation)
- SOAR 아키텍처 설계
1. 프로젝트 개요 (Overview)
AWS 클라우드 환경에서 발생하는 보안 위협을 단순 모니터링하는 수준을 넘어,
실시간 탐지 시 즉각적인 기술적 조치(Remediation)가 실행되도록 자동화 파이프라인을 구축했습니다.
보안 사고의 골든타임을 확보하고 운영자의 업무 부하를 줄이기 위해 탐지부터 기록,
시각화까지End-to-End 보안 프로세스를 정립했습니다.
2. 문제 정의 (Problem)
- 대응 지연 및 누락 : 보안 이벤트 탐지 후 운영자 수동 개입 필요하여 취약 시간대 대응 지연 발생
- 설계적 취약성 : IAM 권한 오남용, S3 Public 노출 등 반복되는 설정오류에 대한 근본적 차단책 부재
- 로그 가시성 부족 : 발생한 이벤트가 조치로 이어졌는지 추적성이 낮고 사후 감사 자료 활용의 어려움
3. 설계 목표 (Goals)
- 위험도별 대응 분기 : Critical(즉각 차단), High(조건부 대응), Medium/Low(기록/알림) 대응 정책 체계화
- 자동화된 Remediation : Lambda와 Boto3를 활용하여 위협 요소를 실시간으로 격리 및 차단
- 컴플라이언스 준수 : ISO 27001 및 NIST CSF 표준을 충족하는 로깅 및 통제 구조 설계
- 가시성 확보 : WebSocket API 활용 이벤트 처리 흐름(New → Processing → Mitigated) 실시간 표출