AWS Security Hub는 여러 AWS 보안 서비스에서 발생하는 보안 신호를 통합·상관·우선순위화하여, 운영 팀이 중요한 보안 위험을 빠르게 파악하고 대응할 수 있도록 지원하는 통합 보안 운영 서비스입니다. 본 가이드는 Security Hub를 실제로 설정하고 운영할 수 있도록 단계별로 설명합니다.
1. Security Hub란?
Security Hub는 AWS 전체 환경의 보안 신호를 중앙에서 수집해 통합 뷰를 제공하는 보안 운영 센터(Security Operations Center) 역할을 합니다. 이 서비스는 GuardDuty, Amazon Inspector, AWS Security Hub CSPM, Amazon Macie 등의 보안 서비스와 통합되어 다음을 제공합니다:
- 실시간에 가까운 위험 분석(Near-Real-Time Risk Analytics)
- 자동 상관 및 우선순위 지정
- 보안 상태 대시보드 및 추세 분석
- 통합 보안 워크플로우
- 조직 전체 계정 및 리전 관리
2. 사전 준비
2.1 통합할 보안 서비스 활성화
Security Hub는 자체 기능만으로 모든 위험 신호를 생성하지 않습니다. 다음 서비스들을 먼저 활성화해야 합니다:
- Amazon GuardDuty: 위협 탐지
- Amazon Inspector: 취약점 및 구성 문제 스캔
- AWS Security Hub CSPM: 보안 구성 모니터링
- Amazon Macie: 민감 데이터 탐지
이 서비스들은 각각 활성화해야 Security Hub에서 신호를 수집하고 상호 상관할 수 있습니다.
핵심: Security Hub만 활성화하면 아무 것도 수집되지 않습니다.
반드시 GuardDuty, Inspector 등 보안 서비스가 활성화돼 있어야 전체 위험 분석이 작동합니다.
3. Security Hub 활성화
3.1 개별 계정 또는 AWS Organizations로 활성화
- AWS 콘솔에서 Security Hub로 이동합니다.
- Enable Security Hub를 클릭합니다.
- 개별 계정 또는
- AWS Organizations의 조직 전체로 활성화할 수 있습니다.
조직 전체로 활성화하면 멤버 계정과 리전까지 중앙에서 관리할 수 있는 장점이 있습니다.
3.2 권한 및 IAM 역할 확인
Security Hub와 연동되는 서비스들이 제대로 신호를 보내려면 다음 권한이 필요합니다:
- 보안 서비스별 읽기 권한
- Security Hub 접근 권한
- Organizations 멤버 계정 조회 권한
IAM 역할 구성은 AWS 공식 권장 역할을 사용하거나 최소 권한 원칙에 따라 커스텀 역할을 구성해야 합니다.
4. 실시간 위험 분석(Near-Real-Time Analytics)
Security Hub의 핵심 기능 중 하나는 실시간에 가까운 위험 분석입니다.
4.1 기능
- GuardDuty의 위협 탐지 신호
- Inspector의 취약점 정보
- CSPM의 구성 오류
- Macie의 민감 데이터 발견
이 네 가지 신호를 자동 상관하고 연관 관계를 분석해 **Exposure(노출)**라는 형태로 위험 상황을 생성합니다.
예를 들어:
- EC2 인스턴스가 퍼블릭 접근 가능 +
- Inspector가 치명적 취약점 탐지
이 두 신호를 Security Hub가 상관하면 Exposure 리스크로 생성되고, 우선순위가 높은 위험으로 표시됩니다.
4.2 요약 대시보드
Security Hub 콘솔에는 Summary Dashboard가 제공되며 다음을 지원합니다:
- 실시간 위험 현황 그래프
- Severity 기준 필터 제공
- 계정/리전별 위험 분포
- Active threat/Exposure trends 시각화
- 리소스 인벤토리 및 보안 적용 범위 확인
추세 데이터는 최대 1년까지 보관되며 이후 자동 삭제됩니다.
5. Exposure 분석 및 대응
5.1 Exposure 보기
Security Hub Console에서 Exposure findings로 이동하면 다음 정보를 확인할 수 있습니다:
- 위험 수준 (Critical/High/Medium/Low)
- 관련 리소스 (EC2, S3 등)
- 영향 범위
- 기여 요소 (취약점, 위협, 구성 오류)
Exposure 항목을 펼치면 위험을 유발한 **Traits(특성)**를 확인할 수 있습니다. 이를 통해 무엇을 먼저 수정할지 판단할 수 있습니다.
5.2 공격 경로 시각화
각 Exposure는 Attack Path를 그래프로 시각화할 수 있습니다.
이 그래프는 리소스 간 관계를 나타내며, 공격자가 어떻게 시스템을 타격할 수 있는지를 보여줍니다.
6. 자동화 및 확장
Security Hub는 다음과 같은 자동화와 연동 기능을 지원합니다:
- EventBridge 연계
→ 특정 위험이 감지되면 Lambda 등으로 자동 대응 - 티켓 시스템 연동
→ Jira, ServiceNow 등으로 자동 티켓 생성 - AWS Organizations 기반 중앙 관리자
→ 멤버 계정 전체 노출 상황 집계
자동화는 규칙 기반으로 설정할 수 있으며, 보안 팀의 대응 속도를 크게 향상시킬 수 있습니다.
7. 비용 및 운영 고려
7.1 요금
Security Hub는 기본적으로 별도 요금 없이 활성화할 수 있습니다.
다만 연동된 서비스 요금(예: GuardDuty, Inspector, Macie 등)은 별도로 청구됩니다.
7.2 리전 가용성
Security Hub는 대부분 AWS 상용 리전에서 사용 가능합니다.
리전별 가용성은 AWS 리전표에서 확인해야 합니다.