Amazon GuardDuty AI 기반 조사: 자동 조종 장치가 아닌 유용한 SOC 코파일럿 (Copilot)

AWS는 많은 보안 팀이 수년 동안 GuardDuty를 중심으로 구축하려고 노력해 온 기능, 즉 "탐지 결과(finding)가 있습니다"에서 "아마도 이런 일이 발생했을 것이며, 여기 증거가 있고, 다음 조치 사항은 이것입니다"로 더 빠르게 넘어가는 방법을 방금 추가했습니다. 이 새로운 기능의 명칭은 GuardDuty Investigation이며, 현재 Amazon GuardDuty를 위한 AI 기반 조사(AI-powered investigations for Amazon GuardDuty)라는 이름으로 프리뷰(preview) 단계에서 사용할 수 있습니다.

이러한 표현 방식은 중요합니다. GuardDuty는 이미 머신러닝 (Machine Learning)과 위협 인텔리전스 (Threat Intelligence)를 사용하여 AWS 계정, EC2, EKS, ECS, Lambda, S3, RDS 및 기타 영역 전반에서 의심스러운 동작을 탐지해 왔습니다. 이번 출시는 단순히 또 다른 신호를 탐지하는 것에 관한 것이 아닙니다. 경고(alert) 이후에 발생하는 조사 비용(investigation tax)을 줄이는 것에 관한 것입니다.

대규모로 클라우드 보안을 운영해 보았다면 그 패턴을 알고 있을 것입니다. 탐지 결과가 나타나면 분석가는 CloudTrail, IAM 컨텍스트 (context), 영향을 받은 리소스 (resources), 관련 활동, 알려진 지표 (indicators), 억제 규칙 (suppression rules), 계정 소유권, 그리고 해당 탐지 결과가 실제 사고인지 아니면 단순히 소음이 심하지만 예상된 동작인지를 확인합니다. 그 작업은 가치 있지만, 동시에 반복적입니다. 바로 이 지점이 잘 정의된 AI 어시스턴트 (AI assistant)가 도움을 줄 수 있는 부분입니다.

🔵 변경된 사항

AWS 발표(AWS announcement)에 따르면, AI 기반 조사는 GuardDuty 탐지 결과와 AWS 계정을 자동으로 분석하여 실제 위협과 무해한 탐지 결과를 구분하는 데 도움을 줍니다. 이 조사는 탐지 결과의 컨텍스트 (context), 지난 90일 동안의 관련 활동, 영향을 받은 리소스, 그리고 위협 지표 (threat indicators)를 살펴봅니다. AWS는 지식 그래프 (knowledge graphs)와 위협 인텔리전스 (threat intelligence)를 사용하여 몇 분 안에 분석을 생성한다고 밝혔습니다.

GuardDuty 조사 문서는 출력 결과에 대해 더 자세한 정보를 제공합니다. 각 조사는 다음과 같은 항목을 생성할 수 있습니다:

위험 수준 (risk level): 정보 (Info), 낮음 (Low), 중간 (Medium), 높음 (High) 또는 심각 (Critical);
신뢰 수준 (confidence level): 알 수 없음 (Unknown), 낮음 (Low), 중간 (Medium) 또는 높음 (High);
주요 관찰 사항이 포함된 요약 (summary);
지원 문맥 (supporting context)이 포함된 조사 상세 정보 (investigation details);
CLI 명령어를 포함한 권장 조치 (recommended actions);
공격자의 전술 및 기법을 위한 공통 보안 지식 베이스를 사용하는 MITRE ATT&CK 기법 분류 (technique classification).

이는 단순한 경고 (alert)를 넘어선 의미 있는 단계입니다. 이는 대응자에게 시작 가설 (starting hypothesis)과 증거 추적 (evidence trail)을 제공합니다. 중요한 점은 모델이 "보안을 안다"는 것이 아닙니다. 유용한 점은 GuardDuty가 이미 AWS 네이티브 문맥 (AWS-native context)을 보유하고 있으며, 해당 문맥을 구조화된 조사 (structured investigation)로 패키징할 수 있다는 것입니다.

🔶 세 가지 분석 모드

프리뷰 버전은 세 가지 조사 범위 (investigation scopes)를 지원합니다.

**탐지 분석 (Finding analysis)**은 하나의 GuardDuty 탐지 (finding)에 집중합니다. 32자리의 탐지 ID (finding ID)를 제공하면, GuardDuty가 해당 특정 신호 (signal)를 분석합니다. 프리뷰 기간 동안 AWS는 이것이 모든 확장 위협 탐지 (Extended Threat Detection) 탐지 항목과 기본 (foundational), S3 및 런타임 (Runtime) 플랜의 선택된 탐지 항목을 지원한다고 밝혔습니다.

**계정 분석 (Account analysis)**은 하나의 AWS 계정의 위협 태세 (threat posture)를 살펴봅니다. 이는 계정에 여러 신호가 있거나, 첫 번째 질문이 "이 하나의 탐지가 실제인가?"가 아니라 "이 계정이 공격을 받고 있는 것처럼 행동하고 있는가?"일 때 유용합니다.

**조직 분석 (Organization analysis)**를 통해 관리자는 조직 전체의 태세를 분석할 수 있으며, 프리뷰 제한은 최대 100개의 계정까지입니다. 클라우드 사고는 계정 경계를 존중하는 경우가 드물기 때문에, 대규모 AWS 환경에서 가장 흥미로운 모드입니다. 침해된 주체 (compromised principal), 의심스러운 API 활동, 또는 측면 이동 (lateral movement) 패턴은 여러 계정에 걸쳐 살펴볼 때에만 의미가 있을 수 있습니다.

그렇긴 하지만, 프리뷰(preview) 제한 사항은 실재합니다. 문서에 따르면, 프리뷰 기간 동안 계정당 하루 최대 10회의 조사를 시작할 수 있으며, 계정당 총 조사 제한은 100회입니다. API 또는 CLI 사용을 위한 트리거 프롬프트(trigger prompt)는 최대 2,048자까지 가능합니다. 실패한 조사는 해당 할당량(quota)에 포함되지 않습니다.

⚙️ 활성화 방법

조사를 생성하려는 리전(Region)에 활성화된 GuardDuty 디텍터(detector)가 있어야 하며, 해당 디텍터에 대해 조사 기능이 활성화되어 있어야 합니다. 콘솔(console)에서 AWS는 이를 Settings → AI powered investigations - Preview 아래에 노출합니다.

CLI의 경우, 문서는 기능 이름을 AI_ANALYST로 명시하고 있습니다:

aws guardduty update-detector \
  --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \
  --features '[{"Name":"AI_ANALYST","Status":"ENABLED"}]'

IAM ID(identity)에도 조사 권한이 필요합니다:

{
  "Version": "2012-10-17",
  "Statement": [
...

기본적인 조사는 create-investigation으로 시작할 수 있습니다:

aws guardduty create-investigation \
  --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \
  --trigger-prompt "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012"

API는 비동기(asynchronous) 방식입니다. InvestigationId를 받은 후, 조사가 완료되면 get-investigation을 통해 결과를 가져옵니다.

🛡️ 실무에서의 활용처

가장 명확한 사용 사례는 SOC 트리아지(triage)입니다. 모든 탐지 결과(finding)가 빈 페이지에서 시작되는 대신, 분석가는 위험도(risk), 신뢰도(confidence), 증거(evidence) 및 권장 명령어가 포함된 구조화된 요약을 받게 됩니다. 이는 특히 심층 검토가 가능한 수준보다 더 많은 알림을 받는 팀의 경우, 수동 조사에 소요되는 초기 20~40분을 단축할 수 있습니다.

두 번째 유스케이스 (use case)는 일관성입니다. 서로 다른 분석가들이 동일한 GuardDuty 탐지 결과 (finding)를 서로 다르게 조사할 수 있습니다. 표준화된 AI 생성 패키지는 무엇을 확인했는지, 왜 해당 위험이 할당되었는지, 어떤 알려진 공격 기법 (attack technique)이 적용될 수 있는지, 그리고 어떤 리소스에 주의가 필요한지 등 첫 번째 대응을 정규화하는 데 도움을 줄 수 있습니다.

세 번째 유스케이스는 관리형 보안 (managed security)입니다. 많은 팀을 위해 AWS Organizations를 운영하고 있다면, 단일 탐지 결과 분석보다는 계정 분석 (account analysis) 및 조직 분석 (organization analysis)이 더 유용합니다. 이는 중앙 보안 팀이 모든 알림을 동일하게 취급하는 대신, "어떤 계정을 가장 먼저 살펴봐야 하는가?"라는 질문에 답하는 데 도움을 줄 수 있습니다.

⚠️ 주의해야 할 사항

미리보기 (preview) 문서에는 명시되어 있습니다: 조사 권장 사항에는 오류나 불완전한 평가가 포함될 수 있으므로, 사람의 검토를 권장합니다. 이것이 올바른 사고 모델 (mental model)입니다. 이 기능은 검토 게이트 (review gate) 없이 운영 환경 (production)의 리소스를 자동으로 복구 (auto-remediate)해서는 안 됩니다.

데이터 거주성 (data residency)에 관한 세부 사항도 주의 깊게 읽어볼 가치가 있습니다. GuardDuty 조사는 교차 리전 추론 서비스 (Cross-Region Inference Service)를 사용합니다. AWS는 조사 요청이 시작된 리전에만 데이터가 저장된 상태로 유지된다고 밝히고 있지만, 조사 데이터와 요약 결과는 지원되는 지리적 범위 내에서 해당 리전 외부에서 처리될 수 있습니다. 많은 조직에게 이는 허용 가능한 수준이지만, 규제 대상 환경 (regulated environments)의 경우 검토가 필요합니다.

가용성 또한 미리보기 단계에서는 다음 10개의 상용 리전 (commercial Regions)으로 제한됩니다: US East (N. Virginia), US East (Ohio), US West (Oregon), Canada (Central), Europe (Frankfurt), Europe (Ireland), Europe (London), Europe (Paris), Europe (Stockholm), 그리고 Asia Pacific (Tokyo).

🔍 이것이 보안 팀에 의미하는 바

이것은 클라우드 보안 도구(Cloud security tooling)가 나아가야 할 올바른 방향입니다. 그 가치는 "AI가 분석가를 대체한다"는 것에 있지 않습니다. 가치는 AWS가 텔레메트리 (Telemetry), 리소스 그래프 (Resource graph), 위협 인텔리전스 (Threat intelligence), 그리고 서비스 컨텍스트 (Service context)를 모두 보유하고 있다는 점에 있습니다. 만약 GuardDuty가 이 정보들을 방어 가능한 조사 패키지 (Investigation package)로 구성할 수 있다면, 분석가들은 사실을 수집하는 데 드는 시간을 줄이고 의사결정을 내리는 데 더 많은 시간을 할애할 수 있습니다.

저는 첫날부터 이것을 복구 (Remediation) 프로세스에 직접 연결하지는 않을 것입니다. 대신 통제된 계정 세트에서 기능을 활성화하여, GuardDuty의 요약 내용과 인간의 조사를 비교하고, 절약된 시간을 측정하며, 권장 사항을 중심으로 검토 워크플로 (Review workflow)를 구축하는 것부터 시작할 것입니다. 결과가 좋다면, 다음 단계는 완전한 자동 조종 (Autopilot)이 아닙니다. 더 빠른 분류 (Triage), 더 나은 증거, 그리고 더 깔끔한 에스컬레이션 (Escalation)입니다.

Amazon GuardDuty AI 기반 조사: 자동 조종 장치가 아닌 유용한 SOC 코파일럿 (Copilot)

요약

핵심 포인트

Amazon GuardDuty AI 기반 조사: 자동 조종 장치가 아닌 유용한 SOC 코파일럿 (Copilot)

🔵 변경된 사항

🔶 세 가지 분석 모드

⚙️ 활성화 방법

🛡️ 실무에서의 활용처

⚠️ 주의해야 할 사항

🔍 이것이 보안 팀에 의미하는 바

Sources

댓글