AWS가 ‘AWS 리인벤트(re:Invent) 2017’에서 아마존 가드듀티(Amazon GuardDuty)를 발표했다. 이 신규 서비스는 고객들이 악성 혹은 무단 행위를 지속적으로 모니터링함으로써 AWS 계정 및 워크로드를 안전하게 보호하도록 지원하는 지능형 위협 탐지 서비스이다.

고객들은 AWS 관리 콘솔(AWS Management Console)을 몇 번 클릭하기만 하면 아마존 가드듀티를 활성화하는 동시에, API 호출 및 네트워크 활동을 즉각적으로 분석해 정상적인 계정 활동의 기준을 설정할 수 있다.

이후 아마존 가드듀티는 머신러닝 기술을 적용해 정상적인 패턴을 벗어나는 모든 이벤트를 식별하게 된다.

아마존 가드듀티는 AWS가 독자 개발한 위협 정보 소스와 업계의 제3자 소스를 모두 활용해 비장성적 활동을 감지한다.

위협이 감지될 경우 AWS 계정 소유자에게 자세한 보안 경고를 전달하는데, 이를 통해 신속한 조치를 취하고 기존 이벤트 관리 및 워크플로우 시스템과 효과적으로 통합하는 것이 가능하다.

고객들은 아마존 가드듀티 이용 시 별도의 하드웨어나 소프트웨어를 설치할 필요가 없을 뿐 아니라, 분석한 이벤트에 대해서만 비용을 지불하면 된다.

아마존 가드듀티는 활성화되는 즉시 AWS 클라우드 트레일(CloudTrail) 서비스와 아마존 VPC 플로우 로그(Flow Log) 기능을 이용해 기존 솔루션이 감지하지 못하는 계정 관련 위협을 탐지하고, AWS 클라우드 트레일의 기록 활동을 비활성화하려는 시도 등을 찾아낸다.

또한, 각 고객의 AWS 사용 패턴에 따른 보안 경고를 생성하며, 위협 정보 소스를 항상 최신으로 유지한다. 뿐만 아니라, 기존 애플리케이션 워크로드에 부정정인 영향을 미치지 않으면서 즉시 활성화가 가능하다.

아마존 가드듀티는 AWS SDK를 통해 API 엔드포인트를 지원하므로 제3자 솔루션과의 상호운용성을 보장한다. 팔로알토 네트웍스 등의 보안 업체들이 이미 아마존 가드듀티와의 통합을 완료했다.

<박시현 기자> pcsw@bikorea.net