[Security Tools 리뷰룸] CloudSploit – 클라우드 설정 오류를 자동으로 점검하는 오픈소스 보안 도구

 

 

---

클라우드 설정을 제대로 하지 않으면, 보안은 무너진 거나 다름없습니다. CloudSploit은 그런 설정 실수를 자동으로 점검해주는 오픈소스 보안 도구예요. 🔍 AWS나 Azure에서 IAM, S3, EC2, CloudTrail 등 핵심 서비스의 설정 상태를 분석하고, 취약하거나 과도하게 열려 있는 부분을 리포트로 정리해줍니다.

---

🛠️ CloudSploit이란?

- 오픈소스 기반 클라우드 구성 점검 도구
- 현재는 Aqua Security에 인수되어 상용화된 SaaS도 제공
- 주요 점검 대상: IAM 정책, S3 공개 여부, CloudTrail 설정 누락, EC2 보안 그룹 과다 허용 등

👉 공식 GitHub: https://github.com/aquasecurity/cloudsploit
👉 SaaS 버전: https://cloudsploit.aquasec.com

---

⚙️ 설치 및 실행 방법

git clone https://github.com/aquasecurity/cloudsploit.git
cd cloudsploit
npm install
npm run scan -- --config config.json

설정 파일(config.json)에 AWS IAM Access Key와 Secret Key를 넣으면 CLI 상에서 직접 스캔이 실행됩니다. 결과는 JSON 형식으로 출력되며, CSV나 HTML로 변환하여 시각화할 수도 있습니다.

---

💡 실무에서의 활용 팁

• ✅ 점검 스케줄을 cron으로 주기화하여 주간 리포트 자동 생성
• ✅ CI/CD 파이프라인에 통합해 보안 설정 상태 자동 검사
• ✅ 점검 결과를 Slack이나 이메일로 전송해 팀 공유 체계화
• ✅ 오픈소스 대신 SaaS 버전 활용 시, UI로 손쉽게 리포트 공유 가능

---

🔚 마무리

CloudSploit은 보안 전문 도구라기보다, 보안 실수 방지를 위한 클라우드 구성 검사 도우미에 더 가까워요. 설정 하나 잘못하면 전체 서비스가 위험해지는 클라우드 환경에서는 이런 자동 점검 도구 하나쯤은 꼭 갖춰두는 게 좋습니다. ✅

---