[Security Tools 리뷰룸] ScoutSuite – AWS 보안 설정을 시각적으로 점검하는 오픈소스 CSPM 툴
클라우드 보안을 실무에서 다룰 때, '설정은 돼 있는데… 지금 이 구성이 안전한가?'라는 질문을 자주 하게 됩니다. ScoutSuite는 바로 그 질문에 답해주는 오픈소스 보안 점검 도구입니다. 🔍
정확히는 CSPM(Cloud Security Posture Management) 툴로, AWS, GCP, Azure 전반의 구성 상태를 스캔하고, 결과를 HTML 기반 시각 리포트로 출력해 줍니다.
🧰 ScoutSuite란?
ScoutSuite는 NCC Group에서 개발한 오픈소스 보안 점검 도구입니다. 기존의 CLI 기반 보안 스캐너들과 달리, 정적 JSON 분석 + HTML 리포트 시각화라는 깔끔한 구조가 특징입니다.
- 공식 GitHub: https://github.com/nccgroup/ScoutSuite
- 라이선스: Apache 2.0
- 설치: Python 환경에서 pip로 설치 가능
📦 설치 및 실행 방법
Python 3.x 환경이 준비돼 있다면 다음 명령어로 바로 설치 가능합니다.
git clone https://github.com/nccgroup/ScoutSuite.git
cd ScoutSuite
pip install -r requirements.txt
python scout.py aws
AWS CLI 프로파일이 세팅되어 있어야 정상 작동하며, 스캔 후 scoutsuite-report.html 형식의 리포트가 생성됩니다.
📊 리포트 예시 구성
- ✅ EC2, IAM, S3, RDS 등 주요 서비스별 보안 설정 점검
- ✅ 위험도(Risk Level)별 분류
- ✅ IAM 권한 과다, 보안 그룹 허용 범위 등 시각화
- ✅ 드릴다운 형식으로 세부 항목 탐색 가능
💡 실무 활용 팁
- 📌 정기 점검용: 월 1회 전체 구성 상태 점검 & PDF 저장
- 📌 클라우드 보안 리뷰용: 신규 서비스 론칭 전 점검 보고서 제출
- 📌 보안 정책 수립 초기: 허용 범위 과다 설정 탐지에 매우 유용
가시성이 뛰어나기 때문에 보안팀 외 타 부서와 공유할 때도 효과적입니다. 직관적인 시각화로 “이 설정이 왜 위험한지”를 설명하기 쉬워요. 👀
정리하며 ✍️
ScoutSuite는 설치도 간편하고, 시각화도 잘 되어 있어서 보안 점검 결과를 말로만이 아닌, 눈으로 보여줄 수 있는 도구로서 실무에 큰 도움을 줍니다.
향후 AWS 뿐 아니라 GCP, Azure에서도 보안 점검을 확장하고 싶다면 ScoutSuite는 확실한 선택지가 될 수 있습니다. ✅