AWS Security Agent
요약
AWS Security Agent는 개발 수명 주기 전반에서 애플리케이션을 선제적으로 보호하는 최첨단 보안 에이전트입니다. 자동화된 보안 검토, 위협 모델 생성, 컨텍스트 기반의 온디맨드 침투 테스트 기능을 제공합니다.
핵심 포인트
- 개발과 보안 사이의 타이밍 간극 문제를 해결
- 자동화된 보안 검토 및 위협 모델 생성 기능 제공
- 컨텍스트 기반의 온디맨드 침투 테스트 수행
- GitHub, GitLab, Bitbucket 등 CI/CD 도구와 통합 가능
진짜 문제: 개발과 보안 사이의 간극
대부분의 조직이 직면한 현실은 냉혹합니다:
- 60% 이상의 조직이 매주 또는 그보다 더 자주 웹 애플리케이션을 업데이트합니다.
- 약 75%의 조직은 보안 테스트를 매월 또는 그보다 더 낮은 빈도로만 수행합니다.
- Checkmarx 2025 보고서에 따르면, 81%의 조직이 마감 기한을 맞추기 위해 의도적으로 취약한 코드를 배포하는 것으로 나타났습니다.
결과적으로: 취약점이 운영 환경(production)으로 유입되는 이유는 도구가 부족해서가 아니라, 타이밍 (timing) 문제입니다.
결과적으로: 취약점이 운영 환경(production)으로 유입되는 이유는 도구가 부족해서가 아니라, 타이밍 (timing) 문제입니다.
전통적인 도구들은 명확한 한계를 가지고 있습니다:
도구 / 한계
SAST --> 런타임 (runtime) 컨텍스트 없이 코드 분석
DAST --> 애플리케이션 컨텍스트 없이 실행 중인 애플리케이션 평가
Manual Pentest (수동 침투 테스트) --> 전체 포트폴리오로 확장하기에는 비용이 너무 많이 들고 느림
SCA --> 커스텀 코드에 대한 가시성 없이 종속성(dependencies)의 알려진 CVE만 탐지
어느 것도 서로 소통하지 않습니다. 어느 것도 사이클 내에서 충분히 조기에 작동하지 않습니다.
이 지점에서 AWS의 새로운 기능이 등장합니다.
AWS Security Agent
AWS Security Agent는 개발 수명 주기 전반에 걸쳐 애플리케이션을 선제적으로 보호하는 최첨단 에이전트입니다. 조직의 요구 사항에 맞춘 자동화된 보안 검토를 수행하고, 애플리케이션에 대한 잠재적인 공격을 식별하기 위한 위협 모델(threat models)을 생성하며, 온디맨드(on-demand)로 컨텍스트 기반의 침투 테스트를 제공합니다.
설정은 매우 간단하며, 여기에서 단계를 자세히 설명합니다.
AWS 콘솔에 접속하여 AWS Security Agent 옵션으로 이동합니다.
여기서 애플리케이션이나 프로젝트를 위한 전용 워크스페이스인 Agent Spaces를 생성해야 합니다. 이곳에서 AWS에 호스팅된 경우 DNS 영역을 추가하거나, GitHub, GitLab과 같은 CI/CD 소프트웨어를 추가하는 등 다양한 통합 (Integration)을 수행할 수 있으며, 이제 Bitbucket도 지원합니다.
워크스페이스를 생성한 후에는 각 옵션을 설정할 수 있습니다.
침투 테스트 (Penetration testing)
디자인 리뷰 (Design review)
위협 모델링 (Threat modeling) (2026년 6월 17일 오늘 출시)
코드 리뷰 (Code review)
통합 (Integrations) 섹션에서는 코드 저장소를 추가할 수 있으며, 이 경우에는 저의 개인 GitHub 저장소를 추가했습니다.
현재 다음과 같은 통합을 지원합니다.
대상 도메인 (Destination Domains) 섹션에서는 AWS 계정에 설정된 도메인을 추가하거나, 도메인을 입력하고 TXT 레코드로 검증을 수행할 수 있습니다.
그 후 해당 공간에서 침투 테스트 (Penetration testing) 설정을 생성할 수 있습니다.
도메인 설정을 이미 추가했으므로, 이 섹션에서는 침투 테스트 (Penetration testing)를 수행할 애플리케이션 또는 웹사이트가 위치한 도메인을 선택합니다.
그 다음으로, 애플리케이션이 AWS 내부에 있고 VPC를 사용 중이라면 VPC를 선택할 수 있는 옵션이 있습니다.
또한 테스트 로그 및 결과 옵션도 있으며, CloudWatch 로그 그룹으로 전송할 수 있습니다.
에이전트의 컨텍스트와 학습을 개선하기 위한 애플리케이션의 추가 리소스로 Secrets (비밀), Lambda Functions (람다 함수), S3 Buckets (S3 버킷)을 구성할 수도 있습니다.
그 다음은 AWS 보안 에이전트가 리소스에 액세스하는 데 필요한 서비스 역할 (Service role) 설정 단계입니다.
설정이 완료되면 침투 테스트 실행을 위해 생성된 웹 애플리케이션에 접속할 수 있습니다.
이 애플리케이션에 대한 액세스를 위해 Identity Center의 IAM 사용자를 할당할 수도 있습니다.
애플리케이션에 접속하면 앞서 언급한 옵션들이 나타납니다.
그다음 침투 테스트 (Penetration Testing) 섹션으로 이동하여 '침투 테스트 생성 (Crear una prueba de penetracion)'을 클릭합니다.
이것은 침투 테스트 설정 화면이며, 여기서는 대상 URL을 추가합니다.
또한 선택 사항으로 특정 위험 유형을 제외할 수도 있습니다.
범위 외(out of scope) URL을 선택하는 것도 가능합니다.
그 후 테스트에 사용할 서비스 역할 (Service Role)을 지정합니다.
설정을 계속 진행하면서, 해당하는 경우 VPC를 지정할 수 있으며, 인증 리소스 (authentication resources) 및 GitHub 저장소나 S3 링크에 있는 추가 리소스를 지정할 수 있습니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기