[클라우드 보안 실무 특집 #4] AWS Config, 실무에서 바로 써먹는 보안 운영법

 

---

AWS 클라우드 인프라는 빠르게 변화합니다. 인스턴스 생성, 보안 그룹 수정, IAM 정책 변경 등 다양한 작업이 매일 일어납니다. 이 변화들을 제대로 추적하고, 문제가 되는 설정 변경을 빠르게 파악할 수 있어야 안전한 클라우드 운영이 가능합니다. AWS Config는 이러한 요구를 충족시키는 핵심 서비스입니다. 이번 글에서는 Config를 단순 모니터링 도구가 아닌, 실질적인 보안 통제 수단으로 실무에 적용하는 방법을 정리합니다.

---

AWS Config 기본 이해: 무엇을, 왜 추적하는가?

AWS Config는 리소스의 구성 상태 변화를 기록하고, 과거 이력까지 저장하는 서비스입니다. "언제, 누가, 무엇을 변경했는가?"를 명확히 알 수 있어 사고 대응, 규정 준수 감사, 보안 점검에 필수적입니다. 특히 IAM, VPC, S3, EC2와 같은 주요 리소스의 변경 사항을 추적할 수 있습니다.

---

Config Recorder와 Delivery Channel 설정하기

Config를 제대로 활용하려면, 먼저 리소스 변경을 기록하는 Config Recorder를 활성화해야 합니다. 또한 기록된 데이터를 저장할 Delivery Channel(S3 버킷과 SNS 주제) 설정도 필요합니다.

주의할 점: 모든 리소스를 기록 대상으로 설정하고, 멀티 리전 환경에서는 리전별 설정을 점검해야 합니다.

✅ 캡처 가이드: Config 콘솔의 "Settings" 탭에서 Recorder와 Delivery Channel 설정 화면을 캡처하세요.

---

Config Rules를 이용한 규정 준수 모니터링

Config의 진짜 가치는 Config Rules에서 시작됩니다. Config Rules를 설정하면 리소스가 정의한 규칙(예: S3 버킷 퍼블릭 접근 금지)을 위반할 경우 즉시 비준수(Non-Compliant) 상태로 탐지할 수 있습니다.

AWS에서는 기본 제공하는 Managed Rules가 수십 가지 준비되어 있으며, 필요에 따라 Custom Rules(Lambda 기반)도 작성할 수 있습니다.

✅ 캡처 가이드: Config 콘솔 "Rules" 탭에서 Managed Rule을 추가하는 화면을 캡처하세요.

---

비준수 리소스 자동 조치와 연계 방법

단순히 비준수 상태를 탐지하는 것에서 멈추지 말고, 자동으로 조치할 수 있어야 실무에 도움이 됩니다. EventBridge와 Systems Manager Automation을 연계하면 비준수 리소스가 탐지될 때 자동으로 수정 워크플로우를 실행할 수 있습니다.

예시: 퍼블릭 S3 버킷이 탐지되면, 즉시 퍼블릭 액세스를 차단하는 Automation 문서를 실행.

✅ 캡처 가이드: EventBridge Rule 생성 화면과 Systems Manager Automation 문서 실행 화면을 각각 캡처하세요.

---

Config 실무 운영 시 고려사항

• ✔️ 리소스 범위 점검: 모든 리소스 추적이 필요한지, 비용과 중요도를 고려해 결정하기
• ✔️ Data Retention 관리: Config 기록은 저장 용량을 차지하므로, 데이터 보관 주기를 설계하기
• ✔️ 멀티 리전 전략: 리전별로 규칙과 기록 설정이 일관되게 적용되었는지 점검하기

AWS Config는 제대로만 활용하면 강력한 감사, 규정 준수, 사고 대응 체계를 구축할 수 있는 핵심 서비스입니다. 단순 기록을 넘어, 능동적으로 규칙을 만들고 자동화를 연계하여 클라우드 보안 수준을 높여보세요.

---