본문 바로가기
카테고리 없음

Amazon GuardDuty 확장된 위협 탐지 구성 가이드

by AI Specialist 2025. 12. 29.

AWS에서 제공하는 Amazon GuardDuty Extended Threat Detection은 다단계 공격(Multi-Stage Attack)을 자동으로 탐지하고, 공격 흐름 전체를 하나의 사건(Attack Sequence)으로 분석해주는 보안 탐지 기능입니다. 이 가이드에서는 EC2, ECS 환경에서 이 기능을 활용할 수 있도록 설정 방법을 중심으로 정리했습니다.

 

Amazon GuardDuty 확장된 위협 탐지 구성 가이드
Amazon GuardDuty 확장된 위협 탐지 구성 가이드

소개 및 개념

Amazon GuardDuty는 AWS에서 제공하는 위협 탐지 서비스입니다. GuardDuty는 다양한 로그 및 신호를 수집해서 보안 위협을 탐지하고 알림을 제공합니다. GuardDuty Extended Threat Detection은 여기에 한 단계 더 발전하여, 여러 개의 개별 이벤트를 연관 분석하여 다단계 공격 시나리오를 식별합니다. 이를 통해 단일 이벤트만으로는 파악하기 어려운 공격 패턴까지 감지할 수 있습니다.

주요 탐지 대상

  • Amazon EC2 인스턴스에서 발생하는 공격 연속 신호
  • Amazon ECS (Fargate 또는 EC2 기반) 클러스터에서 발생하는 공격 연속 신호

이 기능은 머신러닝과 AI를 활용해 다양한 신호를 상호 연관하고, 공격 패턴을 중요(Critical) 심각도로 자동 식별합니다.

GuardDuty Extended Threat Detection 작동 원리

GuardDuty Extended Threat Detection은 다음과 같은 보안 신호를 결합하여 분석합니다:

  • AWS CloudTrail API 이벤트
  • VPC Flow Logs
  • DNS 쿼리 로그
  • 런타임 활동
  • 멀웨어 실행 탐지
  • 기타 GuardDuty 기본 탐지 신호

이 신호들을 연결해 머신러닝 모델로 분석하고, 일련의 행동이 공격 시나리오로 보일 때 한 개의 공격 시퀀스 Findings으로 생성합니다. 각 Findings에는 다음과 같은 정보가 포함됩니다:

  • 사건 요약
  • 시간 순서 이벤트 타임라인
  • MITRE ATT&CK 전술 및 기술 매핑
  • 권장 조치 및 리소스 영향 범위

구성 전 체크리스트

아래 항목들이 준비되어 있어야 기능을 제대로 활용할 수 있습니다:

  • AWS 계정과 GuardDuty가 활성화된 리전
  • 관련 리소스(EC2, ECS) 로그 수집이 가능한 상태
  • 필요한 경우 GuardDuty 보호 플랜 활성화:
    • Runtime Monitoring (EC2, ECS) 활성화 시 보다 정밀한 탐지가 가능

1. GuardDuty 활성화

1.1 GuardDuty 기본 활성화

  1. AWS 콘솔에 로그인합니다.
  2. 검색창에서 GuardDuty를 선택합니다.
  3. 리전을 선택한 후 Enable GuardDuty를 클릭합니다.

GuardDuty 자체는 대부분 리전에서 바로 활성화할 수 있으며, 활성화 이후 자동으로 GuardDuty Extended Threat Detection이 포함되어 실행됩니다.

2. 런타임 모니터링 활성화 (선택적)

Extended Threat Detection의 EC2 및 ECS 탐지 정밀도를 높이려면 추가 보호 플랜인 Runtime Monitoring을 활성화해야 합니다.

2.1 EC2 런타임 모니터링 설정

  1. GuardDuty 콘솔에서 Settings 이동
  2. Protection plans 영역에서 EC2 Runtime Monitoring 선택
  3. 안내에 따라 S3 로그 저장, IAM 역할 설정 등 권한 부여

이 설정으로 EC2 인스턴스에서 실행 중인 프로세스와 네트워크 행위까지 GuardDuty가 분석할 수 있습니다.

2.2 ECS 런타임 모니터링 설정

ECS 역시 마찬가지입니다:

  1. ECS 클러스터가 Fargate 혹은 EC2 기반인지 확인
  2. GuardDuty 설정에서 ECS Runtime Monitoring 선택
  3. 권한 설정 및 로그 저장 설정 적용

런타임 모니터링은 필수는 아니지만, Extended Threat Detection이 공격 시퀀스를 식별하는 데 매우 중요한 신호를 제공합니다.

3. 탐지 결과(Findings) 확인

GuardDuty Extended Threat Detection이 공격을 식별하면 Critical 심각도 Findings가 생성됩니다. 이를 확인하려면:

  1. GuardDuty 콘솔로 이동합니다.
  2. Findings 탭을 클릭합니다.
  3. Severity: Critical 필터를 설정합니다.

중요한 점은 단일 이벤트가 아니라 연속된 이벤트 시퀀스가 하나의 결과로 나타난다는 것입니다. 콘솔에서 각 이벤트가 어떤 순서로 발생했는지, 어떤 리소스가 영향을 받았는지 상세 타임라인을 확인할 수 있습니다. 

4. AWS Security Hub와 연동

GuardDuty Findings는 AWS Security Hub와도 연동 가능합니다. Security Hub에서는 GuardDuty Findings를 포함한 다양한 보안 이벤트를 한 화면에서 볼 수 있어 전사적인 보안 모니터링에 유리합니다.

  1. Security Hub를 활성화합니다.
  2. GuardDuty Findings가 자동으로 연동됩니다.
  3. Security Hub Dashboard에서 Exposure, Critical Findings 등을 확인합니다.

이 연동으로 보안 대응팀이 빠르게 대응 우선 순위를 잡을 수 있습니다.

5. 대응 전략 및 권장 사항

Extended Threat Detection Findings가 나타났을 때 대응은 크게 두 가지로 나뉩니다:

5.1 우선 조사

  • 영향받은 EC2 인스턴스 또는 ECS 클러스터 식별
  • 각 이벤트의 타임라인 분석

5.2 대응 조치

  • 영향을 받은 리소스 격리(예: 차단 보안 그룹 규칙 적용)
  • IAM 자격 증명 회전
  • 추가적인 런타임 모니터링 활성화 확대

Finding에 포함된 MITRE ATT&CK 맵핑조치 권장을 참고하여 구체적인 조치를 실행할 수 있습니다.

6. 비용 및 유의 사항

  • Extended Threat Detection 기능 자체는 추가 비용 없이 자동 활성화됩니다.
  • 그러나 추가 보호 플랜(Runtime Monitoring 등)을 활성화하면 그에 따른 로그 저장, 데이터 처리 비용이 발생할 수 있습니다.
  • GuardDuty는 리전 단위로 활성화되므로 필요한 리전마다 설정을 반복해야 합니다.

티스토리툴바