대부분의 보안팀은 CloudTrail과 GuardDuty 같은 서비스를 활용하여 로그 기반의 탐지 체계를 구축하는 것이 클라우드 보안은

충분하다고 믿는 경향이 있습니다. 하지만 이번 발표를 준비하며 Offensive한 관점에서 AWS 환경을 분석해 본 결과 우리가 신뢰하던

수비 중심의 보안 체계에는 생각보다 치명적인 빈틈이 많다는 사실을 깨달았습니다.

‍

가장 먼저 얻은 통찰은 로그 기록의 불완전성으로 모든 API 호출이 기록될 것이라는 기대와 달리 CloudTrail에 남지 않는 행위들이 존재하며

실제 CloudGoat 시나리오를 수행해 보더라도 GuardDuty가 침투를 전혀 인지하지 못하는 케이스가 다수 존재함을 확인했습니다.

탐지 시스템을 고도화하기 위해 X-Ray와 같은 도구로 애플리케이션 레벨의 로깅을 강화하는 방안을 고려해 볼 수 있으나

이 역시 근본적인 해결책이 되지는 못한다는 점을 배웠습니다. 무엇보다 탐지 기반 보안의 가장 큰 맹점은 시간차에 있습니다.

‍

GuardDuty가 위협을 탐지하는 데 최대 15분이 소요되는 동안 공격자는 이미 인프라를 장악하고 데이터를 유출할 충분한 시간을 갖게 됩니다.

결국 아무리 정교한 탐지 시스템을 갖추더라도 사건이 발생한 직후에나 알람을 울리는 사후 약방문 식의 보안이 될 수밖에 없다는 점을 깊이 체감했습니다.

결론적으로 100% 완벽한 탐지는 불가능하며 수비적인 태도만으로는 클라우드의 빠른 공격 템포를 결코 앞설 수 없다는 확신을 얻었습니다.

‍

진정한 클라우드 보안은 로그 뒤에 숨어 알람이 울리기만을 기다리는 것이 아니라 공격자의 시각에서 내부 시스템을 직접 찔러보고 흔드는

모의 침투 과정을 통해 선제적으로 취약점을 찾아내는 Offensive한 접근에서 시작되어야 합니다. 소를 잃기 전에 외양간의 틈을 먼저 찾아내

보강하는 공격적인 보안 마인드셋이야말로 현대 클라우드 환경을 운영하는 담당자들에게 가장 절실한 역량이라는 점을 이번 세션을 통해 강조하고자 합니다.

‍