AWS Summit 2025 미리보기 – 올해 핵심 키워드는 무엇일까?
AWS Summit Seoul 2025가 5월 14일부터 15일까지 코엑스에서 개최됩니다.이번 행사는 Industry Day와 Core Service Day로 구성되어 있으며, 생성형 AI를 비롯해 데이터, 인프라, 그리고 보안 분야까지 전반적인 AWS 기술의 흐름을 조망할 수 있는 대형 컨퍼런스입니다.이번 Summit의 보안 관련 핵심 흐름PDF에 공개된 전체 세션 리스트를 분석해 본 결과, 다음과 같은 보안 주제가 주요 트랙에 다수 포함되어 있습니다.IAM 권한 제어와 접근관리: NEXON의 대규모 접근관리 최적화 사례, 멀티클러스터 접근제어 아키텍처 소개거버넌스 및 정책 관리: 클라우드 카오스를 질서로 바꾸는 거버넌스 마스터플랜, Service Control Policy 실전 사례보안 운영 자동화:..
[클라우드 보안 실무 #10] AWS KMS, 실전 암호화 시나리오 정리
AWS KMS는 다양한 암호화 요구사항을 충족할 수 있는 범용 도구입니다.이번 글에서는 실무에서 자주 마주치는 암호화 시나리오 4가지를 정리하고, 각각에 어떤 방식으로 KMS를 활용하면 좋은지 구체적으로 살펴봅니다.🔐 S3 객체 암호화 – 기본 중의 기본가장 대표적인 시나리오입니다.S3에 저장하는 파일(Object)을 서버 측에서 암호화(SSE: Server-Side Encryption)하는 방식이며, 크게 세 가지 유형으로 나뉩니다: SSE-S3: AWS가 관리하는 키(AES-256) SSE-KMS: 고객이 KMS에서 생성한 CMK(Key ID 또는 Alias) SSE-C: 고객이 직접 제공한 키(비추천)SSE-KMS는 로깅 및 키 접근 제어(Policy, Grants)가 가능하다는 장점이 있어..
[클라우드 보안 실무 특집 #1] IAM Access Analyzer, 실무자가 말하는 권한 분석의 핵심 도구
🔍 IAM 권한 설정, 정말 제대로 되어 있을까?AWS 환경에서 보안을 담당하다 보면 가장 자주 부딪히는 질문이 하나 있어요. “이 정책, 너무 과도하지는 않을까?” 아니면, “이 S3 버킷, 혹시 퍼블릭으로 열려 있는 건 아닐까?”보안을 아무리 철저히 해도 IAM 정책의 허용 범위를 사람이 직접 다 추적하는 건 현실적으로 불가능합니다. 바로 이런 문제를 해결하기 위해 등장한 기능이 AWS IAM Access Analyzer예요.🧠 IAM Access Analyzer란?IAM Access Analyzer는 정책을 분석하여 리소스가 외부에 노출되어 있는지 자동으로 탐지하는 기능입니다. AWS Organization 외부에서 접근 가능한 리소스를 실시간으로 탐지해 보안 담당자가 빠르게 인지하고 대응할 수..
[클라우드 보안 실무 #6] AWS WAF, CAPTCHA·Challenge 룰로 사용자 검증하기
🤔 허용과 차단 사이, 사용자 검증이 필요할 때AWS WAF를 설정하다 보면 단순한 허용(Allow) 또는 차단(Block)만으로는 대응하기 애매한 요청을 마주하게 됩니다. 예를 들어, 로그인 페이지에서 반복적인 접근이 있는데 IP 자체는 처음 보는 경우, 혹은 게시판에 하루 수십 건씩 게시글을 등록하는 비정상적인 접근 같은 상황이죠.이럴 때 가장 유용한 기능이 바로 CAPTCHA와 Challenge 액션입니다. 봇인지 사람인지 확인하면서도 사용자 경험을 해치지 않는 대응이 가능하죠.🔐 CAPTCHA와 Challenge, 뭐가 다를까?CAPTCHA는 사용자의 브라우저에 테스트를 띄워 사람인지 확인하는 전통적인 방식입니다. 구글 리캡차처럼 이미지를 클릭하거나 글자를 입력하는 과정을 요구하죠...
[클라우드 보안 실무 #5] AWS WAF, Rate-based 룰을 활용한 봇 차단 전략
🚧 과도한 요청, 정말 봇일까?WAF 설정을 하다 보면 종종 마주치는 상황이 있어요. 특정 페이지에 수천 번씩 요청이 들어오거나, 비정상적인 속도로 반복되는 트래픽이 감지될 때 말이죠.이런 경우 대부분은 **스크래핑 봇, 계정 크롤링, 로그인 브루트포스** 등의 자동화 공격일 가능성이 높습니다. 이럴 때 가장 유용한 도구가 바로 Rate-based 룰이에요.📌 Rate-based 룰이란?Rate-based 룰은 **IP 주소별 요청 빈도(rate)를 기준으로 룰을 작동**시키는 기능입니다. 즉, 설정한 시간(5분) 동안 특정 IP가 설정한 임계값(예: 1000건)을 넘으면 자동으로 차단하거나 CAPTCHA 등 조치를 취할 수 있어요.이는 정상적인 트래픽을 유지하면서도 과도한 요청을 효율적으로 ..
실무자가 말하는 CPPG 자격증, 실제로 도움이 될까? (준비법과 후기)
💡 CPPG, 실무자에게 정말 필요한 자격증일까?CPPG(Certified Privacy Protection General)는 개인정보 보호에 대한 기본 이해와 관리 역량을 검증하는 자격증입니다.정보보안이나 개인정보 관련 업무를 맡고 있다면 한 번쯤은 이 자격증을 들어봤을 거예요.저 역시 보안 실무자로 일하면서 내가 다루는 개인정보가 법적으로 어떤 의미를 가지는지, 어떻게 관리해야 하는지 명확히 하고 싶어서 CPPG 자격증에 도전했어요.📘 왜 CPPG를 선택했을까?제가 CPPG를 선택한 이유는 단순했습니다. "개인정보보호법을 정확히 이해하고, 실무에서 적용하고 싶다"는 생각이 컸거든요.특히 클라우드 환경에서 개인정보를 다룰 때, 기술적 보호조치와 법적 의무의 차이를 명확히 아는 게 필요했어요.CISA..