SEMINAR
많이들 알고 계신 것처럼 AWS에는 고객사의 비즈니스 여정에 도움이 되는 여러가지 서비스들이 존재하고, 그 서비스들의 서포트를 잘 수행 할 수 있는 자격있는 파트너사를 선별하는 것이 AWS의 책임 중 하나 입니다.
금번에 메가존클라우드에서 취득하게 된 Amazon Security Lake의 서비스 파트너 자격도 이러한 엄격한 AWS의 인증을 통해 진행 되었는데요,
Amazon Security Lake 서비스 파트너 자격을 취득하기 위해 TF팀으로 많은 힘 써주신 메가존클라우드 내 보안 전문가 네 분과 함께 인터뷰를 진행한 내용을 게시글로 공유 드리고자 합니다.
💠💠💠
네 분 먼저 자기소개부터 들어보도록 하겠습니다 !
김진호 그룹장님 : 네 안녕하세요, 저는 메가존클라우드 Cloud Technology Center내 Cloud Security Group의 리더 역할을 수행하고 있는 김진호라고 합니다. 고객이 클라우드 환경 내에서 사용하실 수 있는 다양한 보안서비스를 제공드리고, 고객 서비스 워크로드를 안전하게 운영하실 수 있도록 도와드리는 보안 컨설팅 업무를 주로 하고 있습니다.
유승현 팀장님 : 안녕하세요, 저는 메가존클라우드에서 약 7년째 근무하고 있는 Cloud Security SA 유승현입니다. 저희 Cloud Security Team은 AWS Native Service를 활용하여, 고객사에서 요구되는 보안 수준에 맞게 적용 또는 구축 해 드리는 업무를 진행하고 있고, 클라우드의 취약점 점검, Golden Image 제공 등 고객분들께서 클라우드 보안에 필요한 사항들을 제공하고 있습니다.
김대중 팀장님 : 안녕하세요, 현재 메가존클라우드에서 Managed Security Service팀 팀장을 맡고 있는 김대중 이라고 합니다. 저희 팀은 메가존클라우드에서 고객분들께 보안관제 서비스를 직접 제공하기 위해 만들어진 부서 입니다. 저는 보안 관제 서비스에 대한 운영 업무를 맡고 있고, 보안관제 서비스의 퀄리티 향상을 위해 늘 노력하고 있습니다.
백소정 매니저님 : 안녕하세요, 메가존클라우드 Cloud Technology Center에서 SA로 재직 중인 백소정이라고 합니다. 현재 AWS 인프라 및 데이터 파이프라인 구축, 기술 지원 및 관련 교육 등과 같은 업무를 담당하고 있습니다. 메가존클라우드에 합류한 지는 약 3년 반 정도가 되었고 좋은 동료들과 즐겁게, 그리고 많이 성장하며 업무를 해나가고 있습니다.
💠💠💠
네 분의 자기소개를 들어보니 정말 전문가 집단 이시라는게 벌써부터 느껴지는데요, 전문가 분들이시다보니 자연스럽게 이번 프로젝트에도 참여 하시게 되셨겠지만, 이번 프로젝트에 어떻게 참여 하게 되셨는지 한번 들어볼 수 있을까요?
김진호 그룹장님 : 제가 작년 re:Invent에 가서 들은 세션들 중 가장 인상 깊었던 세션이 Security Compliance & Identity 세션 이었는데요, 해당 세션에서 소개하길 단 몇번의 클릭만으로 보안 데이터 레이크를 구축할 수 있다고 말씀 해 주셔서 Amazon Security Lake 서비스를 알게 되었고, 설레는 마음으로 정식 버전 출시를 기다렸습니다. 그 후 2023년인 올해 5월, 드디어 정식 버전이 릴리즈되어 필요한 고객분들께 서둘러 제공드리고자 TFT를 구성하였고, 데모 구현 및 오퍼링을 개발하였습니다.
유승현 팀장님: 사실 많은 고객사들이 클라우드에서 어려워하시는 부분 중 하나가 가시성 확보인데, Amazon Security Lake는 이 부분을 어느정도 해결해줄 수 있는 서비스라 생각 되어 개인적으로 흥미가 있었습니다.
김대중 팀장님: 저도 역시 이 서비스 내용을 듣고 관심이 있었는데요, 그 때 Amazon Security Lake 프로젝트가 진행 된다는 소식을 접했고, TF에 찾아가 참여하고 싶다고 적극적으로 어필 했습니다 (웃음)
다행히도 opensearch를 사용하여 실제 보안담당자 입장에서 대시보드를 만들어야 하는 역할이 필요했고, 해당 부분의 담당자로 참여 하게 되었습니다.
백소정 매니저님 : 서비스 이름에서 유추하실 수 있듯이 이번 프로젝트는 Security 로그들이 쌓인 Data Lake를 구축하는 프로젝트이다보니, 보안 전문가, 데브옵스 전문가 등 다양한 인력들의 협력이 필요한 프로젝트였습니다. 제가 아직 전문가 단계는 아니지만, 데이터 파싱 및 시각화 업무를 담당하기 위해 참여하게 되었습니다.
💠💠💠
역시 새로운 서비스들의 배움의 장 re:Invent에서는 이런 다양한 소식들을 먼저 빠르게 접해 볼 수 있군요. 사실 TF로 준비하시다보면 여러가지 어려운점도 많고 우여곡절도 많으셨겠지만, 이 자리를 빌어 이 점은 내가 잘했다! 하이라이트 하고싶다! 라고 생각할만한 점이 있으셨을까요?
김진호 그룹장님 : 이번 프로젝트에서 제 역할은 Amazon Security Lake 서비스를 고객에게 딜리버리 할 수 있는 오퍼링을 개발하고, AWS 서비스 파트너 등록을 위한 절차 리딩을 수행 하였는데요, Source 및 Subscriber 연동, AWS Infra 구축 및 데모 구현 등 담당자 모두 하나의 목표를 향해 최선을 다해주는 모습을 보고 매우 뿌듯했고 소중한 경험이였습니다.
유승현 팀장님 : Amazon Security Lake는 나온지 얼마 되지 않은 서비스라 자료도 많지 않아 참고할만한 것이 거의 없었는데요, 원점으로 돌아가 생각 해 본 점이 가장 중요한것은 결국 이 서비스를 이용해서 고객분들이 어떤 것을 하실 수 있을까? 였습니다.
직접 서비스를 운영하고 있는 고객사들이 겪고 있는 문제 중 하나인 침해 사고 탐지 및 정오탐에 대한 부분을 해결할 수 있으면 좋지 않을까?라고 생각해 해당 주제로 잡아 구축 설정하였고, 결국 최종 대시보드까지 원하는 형태로 결과물이 잘 나와 좋았습니다. 또한 ServicePartner 발표 시 AWS에서도 반응이 좋아서 뿌듯했습니다.
김대중 팀장님 : 이번 프로젝트에서 여러 서비스들을 사용해 볼 수 있어 좋았는데 그 중에서도 Opensearch와 Lambda를 활용하여 데이터를 수집/가공/저장 할 수 있었던 점이 좋았습니다. 그리고 제가 기업의 보안담당자라고 생각하면서 어떤 데이터를 어떻게 보여주는 것이 실무에서 가장 필요할 지 고민하는 과정도 좋은 경험이었습니다. 뿐만 아니라 Guard Duty나 CloudTrail에 대한 로그들을 분석하면서 어떤 부분을 보안관제 서비스에 적용할 수 있는지 고민해 볼 수 있었던 부분도 좋았습니다. 그렇지만 무엇보다도 일주일간 야근을 하며 처음 다뤄보는 파이썬 코드로 Lambda를 구성한 부분이 가장 짜릿하고 성취감 높았던 경험이었습니다.
백소정 매니저님 : 제가 맡은 역할 중 대시보드를 통해 보안 공격에 대한 로그를 식별해야 하는 요건이 있었습니다. 이러한 로그들을 식별해 낼 수 있도록 QuickSight를 활용하여 필터, calculated field 등과 같은 기능을 활용하여 대시보드를 구성하였습니다. 다른 팀원들께서 시나리오 구성 및 로그 수집 등과 같이 많은 노력을 해 주셨는데, 이러한 결과물이 대시보드로 구현되어 데모 시에 시각적으로 확인 시켜줄 수 있었던 점이 뿌듯했습니다.
💠💠💠
각각의 역할에서 정말 많은 업무들을 충실히 수행하셨다는 느낌인데요, 그렇다면 반대로 내가 이부분은 조금 아쉬웠다, 지금 다시 한다면 개선하고 싶다 하는 부분들 있으실까요?
김진호 그룹장님 : 사실 저희의 궁극적 목표는 서비스 파트너 등록이었습니다. 진행 과정에서 고객 환경에서 발생될 수 있는 다양한 취약점과 위협을 도출하여 여러가지 서비스와 솔루션을 통해 많은 테스트를 해봤으면 좋았겠다는 아쉬움이 있었지만, 다시 생각 해 보면 이후 고객에게 전달되는 과정에서 다양한 요구사항과 Pain Point를 분석하여 또 다시 수 많은 경험을 만들어 낼 것이라 생각 되어 앞으로가 기대가 됩니다.
유승현 팀장님 : 조금 더 다양한 로그에 대한 추가를 했으면 좋았을 것 같고, 사실 개인적으로는 sagemaker를 이용하여, 핫 한 이슈인 AI/ML까지 섭렵하여 적용해봤으면 더 좋지 않았을까에 대한 아쉬움은 있습니다.
김대중 팀장님 : 제 경우, Opensearch를 다루는 기술적인 부분에서 아쉬운 점이 있었습니다.
Opensearch가 SIEM 기능을 일정부분 대체하여 저렴하게 사용할 수 있는 AWS의 서비스인데 잘 구현하여 사용하면 기업의 보안담당자 입장에서는 괜찮은 솔루션이 될 수 있습니다.
그렇지만 기술적인 경험이 많지 않다 보니 대시보드나 Alert 메일 발송 등 필수로 필요한 부분만 구현하게 되었는데요, 수집되는 데이터의 타입을 조금 더 세세하게 조정하고, 수집된 데이터를 튜닝하거나 관리할 수 있는 정책을 적용할 수 있으면 SIEM을 대체하는데 나쁘지 않을 것 같습니다. 그리고 Opensearch에 Security Analysis라는 Plug-In이 있는데 OCSF 포맷과 매칭되지 않아서 제대로 사용하지 못했던 점은 조금 아쉽습니다.
백소정 매니저님 : 프로젝트를 하면서 원하는 데이터를 대시보드 형태로 확인할 수 있게 데이터를 처리하고 시각화 하는 것에 중점을 맞추었는데요, 이러한 목적은 달성하였다고 생각하지만, 사실 쿼리 성능과 같은 부분에 대해서는 크게 고려하지 못했던 것 같습니다. 기존에는 view로 만든 데이터들을 view가 아닌 CTAs를 활용해 테이블로 만들어 빠르고 비용 효율적으로 데이터를 스캔할 수 있도록 개선할 계획입니다.
💠💠💠
성공적으로 담당 업무를 수행하신 것에 그치지 않고 앞으로의 개선 포인트를 또 생각하시는 점들이 정말 대단하신 것 같습니다.
그럼 이번엔 개별적으로 질문을 드려보고 싶은데요, 먼저 김진호 그룹장님께 질문 드려보고자 합니다.
보안 컴플라이언스/ 거버넌스 입장에서 더욱 신경 쓰신, 아니면 더욱 주의깊게 진행 했던 부분들이 있으셨을까요?
김진호 그룹장님 : 보안 컴플라이언스/거버넌스 입장에서 고객이 제일 접근하시기 어려워하시는 영역이 바로 사고예방 및 대응체계 구축 이상행위 분석(모니터링) 입니다. 그래서 사실 고객분들은 별도의 비용을 들여 원격 보안관제 서비스 등의 외부 전문가의 도움을 받고 있는 실정입니다.
하지만 Amazon Security Lake 서비스를 도입하여 워크로드 내 모든 보안 리소스에서 발생되는 데이터를 단일화된 규격인 OCSF(Open Cybersecurity Scheme Framework)로 저장하고 다양한 Subscriber Tool의 활용법만 익히신다면 고객이 보안 위협을 스스로 대응할 수 있는 체계가 확보됩니다.
국내 행정기관인 과학기술정보통신부와 KISA에서 공식화한 침해사고 대응 안내서에 따르면 보안 사고 대응절차가 존재하는데요, 절차 중 제일 중요한 사고 탐지, 초기 대응, 사고 조사 등을 Amazon Security Lake의 도움을 받는다면 보안 컴플라이언스 및 침해사고 대응 체계를 확보하실 수 있을거라 생각합니다.
외부의 도움을 받지 않고도 고객사 스스로 대응 하실 수 있다는 점이 메리트 일 것 같네요!
그렇다면, 이러한 관점에서 타사와는 차별된 메가존클라우드만의 진행 방식이나 고려방식 이런것들이 있을까요?
김진호 그룹장님 : 사실 업계에는 수많은 보안 카테고리가 존재하고 있고, 타사 MSP의 경우에는 보안 위협대응 및 컴플라이언스의 검토 및 평가를 위한 솔루션(CSPM, CWPP, CNAPP, SOAR 등)을 단순 딜리버리하고 있습니다.
메가존클라우드 역시 3rd Party CSPM, CWPP, CNAPP 라인업을 적극적으로 드라이브하고 있고, 이와 더불어 Amazon Security Lake 구축 및 컨설팅을 통해 고객의 보안 수준을 스스로 높일 수 있는 경험을 제공하는 부분이 타사와는 차별화된 서비스라고 생각합니다.
고객께서 보안 목표를 먼저 정의 하시고 목표를 달성하기 위해 수 많은 서비스와 보안 솔루션에서 발생되는 데이터를 조립하여 하나의 결과물로 이용하실 수 있는 도구와 경험을 제공드리는 점이 차별점이 아닐까 싶습니다.
💠💠💠
그럼 이번엔 유승현 팀장님에게 질문 드리고 싶은데요,
이러한 보안 취약점이나 고민을 가지고 있으신 기업 분들이라면 Amazon Security Lake 도입을 추천드린다! 하시는 곳들이 있으실까요?
유승현 팀장님 : 보안에는 많은 분야가 있는데 그 중 보안 운영, 보안 관제로 불리우는 영역은 보통 고객사에서 자체적으로 인력을 꾸려서 운영하기 어렵습니다. 그래서 많은 고객사들께서 메가존클라우드의 보안관제 서비스를 찾아주시는데요, 서비스의 규모가 시작단계에 있으신 경우 또는 자사에서 보안 관제 및 운영을 진행하는 것을 고려하시는 경우에는, 손쉽게 적용 가능한 Amazon Security Lake가 기존 3rd party제품군에 대한 대안이 될 수 있을것으로 생각합니다. 비용 체계도 클라우드 답게 종량제로 제공이 되기 때문에, 라이센스비가 필요한 3rd party 제품에 비하여, 쉽게 시도를 해볼 수 있고, 제품에 대한 서버 관리 또한 필요하지 않아, 고객사의 운영 부담을 줄일 수 있기 때문에 이러한 점이 강점이 될 수 있을거라 기대합니다.
💠💠💠
네 그럼 이번엔 김대중 팀장님께 질문드려 볼텐데요,
해당 취득에 대해 보안 솔루션 제공자와 관제 서비스 제공자의 입장에서 어떤 장단점들이 있을까요?
김대중 팀장님 : 네 먼저 보안솔루션 제공자의 입장에서는 OCSF 포맷을 기반으로 Amazon Security Lake와의 데이터 연동만 고려하면 되기 때문에 AWS에서는 큰 고민없이 고객이 보안솔루션을 더 잘 활용할 수 있도록 하고, 본연의 탐지/분석 기능에 더 집중할 수 있는 환경이 되지 않았나 생각합니다. 그리고 보안관제 서비스 제공자 입장에서도 OCSF 포맷과 Amazon Security Lake의 데이터에 대해서만 고려하여 데이터 파이프라인을 구성하면 되기 때문에 다른 포맷의 데이터에 대한 고민을 줄일 수 있습니다.
그리고 보안관제/침해대응을 위한 공통된 대시보드 및 데이터 타입으로 한 번 구성해 놓은 대시보드 형태를 다른 곳에 쉽게 적용할 수 있는 부분도 장점이라 할 수 있습니다.
다만, OCSF 포맷에서 표현이 어려운 상세로그들도 있습니다. 각각의 보안솔루션에서 발생하는 로그들을 OCSF 포맷에 맞추다 보니 기존 로그에서 볼 수 있었던 데이터들이 OCSF에서 보이지 않는다던가 축소되거나 데이터 정규화가 어렵게 표현된다던가 하는 부분들이 있고, 보안 관제 서비스 제공자 입장에서는 공격로그 분석시 이러한 부분들 때문에 보다 상세한 분석은 제한되는 경우가 발생하기도 하여 단점으로 볼 수 있겠습니다.
💠💠💠
그럼 이번엔 유일하게 데이터 전문가로서 참여해 주신 백소정 매니저님께 질문 드려 보겠습니다.
데이터 스페셜리스트의 관점으로 보셨을 때 OCSF의 장점과 단점은 어떤 게 있을까요?
백소정 매니저님 : 먼저 OSCF에 대해 설명 드려야 할 것 같은데요, OSCF는 ‘Open Cybersecurity Schema Framework’의 약자입니다. 그래서 해당 프레임 워크를 활용할 때의 가장 큰 장점은 보안 관련 데이터를 동일한 구조와 포맷으로 관리 및 공유함으로써 보안 로그 관련 작업에 대한 프로세스를 간소화 시킬 수 있습니다. 또한 해당 스키마는 다양한 데이터 타입과 사용 사례에 적용될 수 있게 발전되어 실용도 또한 높다고 할 수 있습니다.
하지만 단점으로는 데이터 관리 포인트 증가가 있을 수 있습니다. 대체로 보안 로그는 생성 빈도가 잦고 데이터 크기 또한 큰 편입니다. 이런 데이터들을 늘 정형화된 OSCF에 맞추기 위해서는 상당한 데이터 처리 작업을 요하게 됩니다. 또한 다른 표준 프레임워크와 마찬가지로 OCSF 또한 시간이 지나면서 그 규격이 변경될 수 있는데, 이때 기존 데이터들을 새로운 버전의 프레임워크에 맞게 변환하는 작업이 필요합니다.
💠💠💠
네 개별 인터뷰까지 내용 잘 들어보았습니다.
이미 서두에서도 몇 차례 언급이 있었지만, 마지막으로 이번 취득을 통해 메가존클라우드 및 메가존클라우드의 고객사 분들께 어떤 도움이 될거라 예상하시나요?
김진호 그룹장님 : AWS 클라우드 워크로드 환경에서 보안 위협을 신속하게 대응하고 수 많은 데이터 분석 과정 사일로를 제거할 수 있는 플랫폼으로 통합 보안 모니터링을 고민하시는 고객에게 많은 도움이 될 것으로 기대합니다. 메가존클라우드 역시 고객의 클라우드 전환 과정에서 클라우드 워크로드의 안전을 보장할 수 있는 플랫폼을 제공할 수 있는 역량이 확보 되었다고 자신합니다.
유승현 팀장님 : 메가존클라우드가 한국에서 AWS Partner로서 가지는 입지는 매우 크다고 생각합니다. 메가존클라우드가 잘하는 것은 다양하지만, 특히 최신기술에서도 지속적으로 노력하고 있다는 것을 이번 기회에 잘 입증하였다고 생각합니다. 최근 어느 정도 규모가 있는 고객사들의 경우, 사내 SIEM을 이용하시는 경우가 많은데, 일부 3rd Party의 경우에는 라이센스 비용이 매우 높은것으로 알고 있습니다. SIEM을 교체 또는 신규로 도입하시려는 고객사들에게 또 하나의 옵션으로 가져가실 수 있게 되었다고 봅니다.
특히 로그 저장이 S3에 저장 가능하게 되어, 디스크에 저장되는것에 비해, 고 가용성, 내결함성을 보장할 수 있어, 중요 데이터에 대한 안전한 보관이 타 서비스들에 비해 장점이 될 것으로 판단됩니다.
김대중 팀장님 : 다시한번 설명 드리자면, Amazon Security Lake는 AWS에서 생성하는 로그 중 보안에 필요한 로그들을 손쉽게 수집/저장 할 수 있도록 해주는 서비스 입니다. AWS에 있는 인프라 및 서비스들을 보호해야 할 기업 보안담당자들 입장에서는 어떤 로그를 어떻게 수집 및 저장할지 크게 고민하지 않아도 Amazon Security Lake를 통해서 해결 하실 수 있어 이러한 기업 담당자님들의 고민에 메가존클라우드가 도움을 드릴 수 있을 것 같습니다.
백소정 매니저님 : Data Lake를 구축하기 위해서는 Glue, LakeFormation 등 다양한 서비스를 연동해서 사용하게 되는데 Amazon Security Lake가 이러한 서비스들과의 연동을 자동화해주는 부분이 많이 있습니다. 메가존클라우드의 Amazon Security Lake 오퍼링을 통해 더 많은 고객들이 손쉽게 Security Data Lake for Security를 구축하고 보안을 강화할 수 있으실 것으로 기대됩니다.
💠💠💠
인터뷰 해 주신 네 분 모두 감사드립니다!
Amazon Security Lake에 대해 더욱 자세한 상담 및 확인이 필요하신 분들께서는 메가존클라우드 홈페이지 내 문의 페이지를 통해 연락 주시면 빠르게 대응 해 드릴 수 있도록 하겠습니다.
감사합니다.
*인터뷰 진행 및 작성자 : 메가존클라우드 Cloud Technology Center 박지은 매니저