AWS가 미리보기(Preview)로 제공하는 AWS Security Agent는 애플리케이션 개발 수명 주기 전체에 걸쳐 보안을 자동화하고, 설계·코드·침투 테스트를 통합적으로 수행할 수 있도록 지원하는 서비스입니다. 아래 내용은 AWS Management Console에서 직접 설정하고 운영할 수 있도록 단계별로 정리한 기술 가이드입니다.
1. 개요
AWS Security Agent는 AI 기반으로 설계된 **프론티어 에이전트(Frontier Agent)**입니다. 이 에이전트는 조직이 정의한 보안 요구 사항을 기반으로 다음과 같이 자동화된 보안 검토를 수행합니다:
- 설계 보안 리뷰(Design Review)
- 코드 보안 리뷰(Code Review)
- 온디맨드 침투 테스트(On-Demand Penetration Testing)
이 모든 과정은 설계 단계부터 배포까지 지속적으로 보안 위반을 검사하고 문제를 조기에 발견하도록 돕습니다.
기존의 정적 애플리케이션 보안 도구(SAST)나 동적 도구(DAST)는 코드나 실행 환경만 단편적으로 검사할 뿐, 애플리케이션 전반의 컨텍스트를 이해하지 못했습니다. AWS Security Agent는 애플리케이션 설계, 코드, 보안 요구 사항을 종합적으로 이해하여 보다 정확한 보안 분석을 제공합니다.
2. 사전 준비
2.1 AWS 계정 및 콘솔 접근
먼저 AWS Management Console에 로그인합니다. 계정이 없다면 생성 후 접근 권한(IAM 권한)을 구성해야 합니다.
2.2 IAM 권한 구성
AWS Security Agent를 운영하려면 적절한 IAM 권한이 필요합니다. 기본적으로 다음 권한이 있어야 합니다:
- 콘솔에서 Security Agent 기능 접근 권한
- S3, 코드 저장소 접근 권한(설계 문서 업로드용)
- 기타 필요 서비스 접근 권한
Security Agent가 조직 보안 요구사항을 확인하고 테스트를 수행할 수 있도록 적절한 IAM 역할을 부여합니다.
3. AWS Security Agent 콘솔 설정
3.1 콘솔 진입
AWS Management Console에서 AWS Security Agent 서비스를 검색하여 이동합니다. 콘솔 시작 페이지에는 서비스 특징과 초기 설정 안내가 표시됩니다.
3.2 에이전트 공간(Agent Space) 생성
Agent Space는 각 애플리케이션 또는 프로젝트 별로 구분된 보안 평가 단위입니다. 하나의 프로젝트나 서비스는 별도의 Agent Space로 생성하는 것이 권장됩니다.
설정 항목은 다음과 같습니다:
- Agent Space 이름
- 설명(선택)
- 프로젝트별 테스트 범위 및 설정
4. 사용자 접근 설정
AWS Security Agent Web Application에 접근할 방법을 설정합니다. 콘솔에서 다음 두 가지 방식 중 하나를 선택합니다:
- AWS IAM Identity Center (SSO 방식): 조직 구성원 전체에 단일 로그인 환경 제공
- IAM 사용자 방식: 간단한 테스트 환경이나 소규모 팀 운영에 적합
SSO 방식은 IAM Identity Center를 통해 중앙 집중형 사용자 관리가 가능하며, 운영 규모가 큰 팀에 유리합니다.
5. 보안 요구 사항(Security Requirements) 구성
Agent Space 생성 후 반드시 설정해야 하는 부분은 조직의 보안 요구 사항(Security Requirements) 입니다. 이 요구 사항은 이후 설계 및 코드 리뷰 시 자동으로 적용됩니다.
5.1 AWS 관리 요구 사항
AWS에서 제공하는 기본 보안 요구 사항을 즉시 활성화할 수 있으며, 업계 표준에 맞춘 검증을 수행할 수 있습니다.
5.2 사용자 정의 요구 사항
조직 특성에 맞춘 보안 정책을 정의할 수 있습니다. 예를 들어:
- 네트워크 세분화 전략 명시
- PII 접근 세션 타임아웃 정의
- 고객 관리형 KMS(Key Management Service) 사용 필수
이러한 요구 사항은 코드 및 설계 리뷰 단계에서 자동 적용됩니다.
6. 설계 보안 리뷰 수행
설계 보안 리뷰는 코드 작성 이전 단계에서 아키텍처 문서나 설계 문서를 업로드하고 보안 요구사항에 대해 검토하는 기능입니다.
6.1 리뷰 생성
- Security Agent Web Application에서 “Create design review”를 선택합니다.
- 설계 리뷰 이름 지정 및 문서 업로드(S3 또는 로컬)
- “Start design review”를 클릭하여 자동 분석 시작
6.2 결과 확인
실패한 조건, 준수 여부, 적용 불필요 항목 등을 확인하고 필요한 경우 설계를 수정합니다.
7. 코드 보안 리뷰 자동화
AWS Security Agent는 풀 리퀘스트(PR) 또는 코드 커밋을 기반으로 자동 코드 보안 리뷰를 수행할 수 있습니다.
조직 요구 사항이 활성화된 상태에서는 주요 보안 취약점(SAST 도구가 놓치는 부분 포함)도 자동으로 발견하고, 개발 워크플로우 내에서 수정 가이드를 제공합니다.
8. 온디맨드 침투 테스트 구성
8.1 침투 테스트 활성화
Agent Space 설정에서 Penetration Testing 기능을 활성화합니다. 테스트 범위, 대상 URL, 인증 정보 및 추가 컨텍스트(GitHub/S3 등)를 설정합니다.
8.2 테스트 실행
Web Application 인터페이스에서 새 침투 테스트를 생성하여 실행합니다. 에이전트는 애플리케이션 컨텍스트를 기반으로 맞춤형 공격 시나리오를 자동 생성 및 실행합니다.
8.3 결과 분석
실행 후 리포트에는 다음 항목이 포함됩니다
- 발견된 취약점 요약
- 공격 단계 및 재현 정보
- 수정 권장 사항
이를 통해 취약점 대응 우선순위를 빠르게 평가할 수 있습니다.
9. 운영 및 주의 사항
9.1 리전 제한
현재 미리보기(Preview) 상태로 일부 리전에서만 지원됩니다(예: 미국 동부(N. Virginia)).
9.2 Audit 로그
AWS Security Agent는 CloudTrail을 통해 API 호출을 로깅하므로 감사 및 컴플라이언스 목적으로 활용할 수 있습니다.
9.3 비용
Preview 기간 중에는 무료로 제공되나, 실제 사용에서는 리소스 호출 및 로그 저장 등에 따른 비용이 발생할 수 있습니다.