아마존웹서비스(AWS)가 지난 6월 10일부터 12일까지 미국 펜실베이니아 필라델피아에서 보안 솔루션, 클라우드 보안 컴플라이언스, 아이덴티티 등을 다루는 연례행사 ‘AWS 리인포스(AWS re:Inforce)’를 개최했다.
올해 리인포스에서는 생성형 AI 시대에 AWS 서비스와 솔루션을 활용해 클라우드 보안 환경을 개선할 수 있는 최신 기술 및 방안이 공유됐다.
기조연설에 나선 크리스 베츠(Chris Betz) 아마존 최고 정보 보안 책임자(CISO)와 스티브 슈미트(Steve Schmidt) 아마존 최고전략책임자(CSO)가 각각 AWS 보안의 최신 혁신 및 비전과 강력한 보안으로 기업의 안전한 생성형 AI 활용을 지원하는 방법을 공유했다. 일라이 릴리(Eli Lilly)와 같은 AWS 핵심 고객사들의 발표도 이어졌다.
이번 행사에서 AWS는 보안 개선을 위한 다양한 서비스 혁신을 신규 발표했다. 특히 고객을 위한 제품과 솔루션 중 하나로 다중 인증(MFA) 기능 확장을 발표하며, AWS 아이덴티티 및 엑세스 매니지먼트(IAM)에서 파이도2(FIDO2) 패스키를 지원할 것이라고 소개했다.
더불어, AWS 클라우드트레일 레이크에서의 자연어 쿼리 생성 기능 지원, 그리고 아마존 S3(Amazon S3)용 아마존 가드듀티(Amazon GuardDuty)의 정식 출시는 많은 주목을 받았다.
필 로드리게스(Phil Rodrigues) AWS 글로벌 고객 보안성과 책임자는 “보안은 AWS의 최우선 과제다. AWS는 한국을 포함한 전 세계 고객사에 안전한 클라우드 보안 솔루션을 제공하여 생성형 AI 시대에 빠르게 대응하고 보안을 유지할 수 있도록 지원한다”며 덧붙여 “리인포스에서 고객이 생성형 AI와 같은 최신 기술로 안전하게 혁신하고 더 많은 MFA로 보안을 강화할 수 있는 서비스와 기능을 발표했다. 우리는 빌더들이 혁신적인 애플리케이션을 개발할 수 있는 가장 안전한 환경을 제공함으로써 업계 보안 기준을 지속적으로 높이려 한다”고 말했다.
AWS 리인포스 주요 발표내용은 아래와 같다.
◇AWS IAM의 2단계 인증 패스키 지원 제공
AWS IAM은 2단계 인증을 위한 패스키를 지원하여 사용자가 장치에서 더 쉽고 안전한 로그인을 할 수 있도록 한다. FIDO 표준에 따르면, 패스키는 공개 키 암호화를 사용해 비밀번호보다 더 강력한 피싱 방지 인증이 가능하다.
AWS IAM으로 생체인증과 같은 내장 인증자를 지원하는 MFA에 패스키를 사용해 AWS 계정 보안이 가능하다. 패스키는 하드웨어 보안 키 또는 사용자가 지문, 얼굴, 장치 핀(PIN)번호 이용한 패스키로 생성할 수 있으며, 동기화로 AWS 로그인할 수 있다.
이 기능은 기존의 MFA 기능을 확장해 패스키를 두 번째 인증 요소로 제공한다. IAM의 패스키 지원은 신규 기능으로 MFA 사용성과 복구성을 개선하는데 유용하다. FIDO 인증 보안키를 포함해 지원되는 IAM MFA로 AWS 계정 접근을 보호할 수 있다.
◇AWS 클라우드트레일 레이크에서 생성형 AI 활용한 자연어 쿼리 생성 발표
AWS 클라우드트레일 레이크에서 생성형 AI를 활용한 쿼리 생성 기능이 미리보기 버전으로 출시됐다.
이 기능은 복잡한 SQL 쿼리를 직접 작성하지 않고 자연어를 통해 작성함으로써 클라우드트레일 레이크에서 AWS 작업 내역을 간단하게 분석할 수 있도록 지원한다.
AWS API와 사용자 활동에 대해 영어로 질문하면 AWS 클라우드트레일 레이크가 SQL 쿼리를 생성해 실행하거나 사용자 사용 사례에 맞춰 미세하게 조정한다.
◇AWS 오딧 매니저 생성형 AI 모범 사례 프레임워크에 아마존 세이지메이커 포함
AWS 오딧 매니저(AWS Audit Manager)는 오는 11일에 AWS 오딧 매니저 생성형 AI 모범 사례 프레임워크에 업데이트를 공개했다.
이 프레임워크는 증거 수집을 간소화하고 모범 사례 요구 사항을 구현하도록 사전 구성된 110개의 표준 제어를 통하여 생성형 AI 워크로드의 규정 준수 상태를 지속적으로 감사하고 모니터링할 수 있게 해주며, 이제는 아마존 베드록(Amazon Bedrock)과 더불어 아마존 세이지메이커에서도 데이터 소스에 포함되어 고객의 생성형 AI 워크로드를 더욱 엄격하게 제어하고 가시성을 확보할 수 있게 한다.
◇AWS IAM 액세스 분석기의 미사용 액세스를 구체화하기 위한 권장 사항 제공
AWS는 AWS IAM 액세스 분석기(AWS IAM Access Analyzer)의 미사용 액세스를 구체화하기 위한 권장 사항을 제공하는 기능을 발표했다.
이 기능은 액세스를 설정, 확인 및 구체화하는 도구를 제공하여 고객이 사용하지 않는 액세스를 수정하고 최소 권한을 위해 실행 가능한 권장 사항을 제공한다.
IAM 액세스 분석기는 콘솔에서 빠른 링크를 제공하여 개발자가 사용하지 않는 역할, 액세스 키 및 비밀번호에 대한 삭제 조치를 취할 수 있도록 도와준다. 사용하지 않는 권한의 경우, IAM 액세스 분석기는 기존 정책을 검토하여 액세스 활동에 맞는 개선된 버전을 추천할 수 있다. 보안팀원은 IAM 액세스 분석기를 통해 AWS 조직 전체에서 사용되지 않는 액세스에 대한 가시성을 확보하고 권한 크기 조정 방법을 자동화할 수 있다.
◇AWS IAM 액세스 분석기의 공용 및 중요 리소스 액세스 정책 검사 기능 제공
AWS는 AWS IAM 분석기의 공용 및 중요 리소스 액세스 정책 검사 기능을 제공한다고 발표했다.
IAM 액세스 분석기는 사용자 지정 정책 검사를 확장하여 배포 전에 공용 액세스를 허용하거나 중요한 AWS 리소스에 대한 액세스를 부여하는 정책에 대한 부적합 업데이트를 사전에 탐지할 수 있다.
보안팀은 이러한 검사를 사용하여 보안 표준을 준수하는 정책을 자동으로 승인하고, 정책을 준수하지 않는 경우에는 더욱 심층적으로 검사하여 IAM 정책 검토 과정을 간소화할 수 있다.
사용자 정의 정책 검사는 자동화된 추론 기능을 사용하여 수학적 증명으로 뒷받침되는 최고 수준의 보안 보증을 제공한다. 이 기능을 통해 보안 및 개발팀은 공용 및 중요 리소스 액세스에 대한 정책 검토를 자동화하고 확장하여 더욱 빠르게 혁신할 수 있다.
◇아마존 S3를 지원하는 아마존 가드듀티 정식 출시
AWS는 아마존 S3를 지원하는 아마존 가드듀티 멀웨어 프로텍션(Amazon GuardDuty Malware Protection)의 정식 출시를 발표했다.
확장된 아마존 가드듀티는 아마존 S3에 새롭게 업로드 된 개체에 잠재적인 멀웨어, 바이러스 및 기타 의심스러운 업로드가 있는지 스캔하여 다운스트림 프로세스에 전달되기 전 격리 조치를 취할 수 있도록 도와준다.
멀웨어 분석에 사용되는 기존의 많은 도구와 달리, 가드듀티 솔루션은 멀웨어 분석을 수행하려는 각 AWS 계정과 AWS 리전에서 자체적으로 격리된 데이터 파이프라인이나 컴퓨팅 인프라를 관리할 필요가 없다.
◇AWS 클라우드 WAN (AWS Cloud WAN)의 서비스 삽입 기능 발표
AWS는 AWS 클라우드 WAN의 신규 기능인 서비스 삽입 기능을 발표했다.
서비스 삽입 기능은 방화벽, 침입 탐지 및 방지 시스템, 기타 어플라이언스 등의 보안 및 검사 서비스를 AWS 클라우드 WAN기반 글로벌 네트워크에 간편하게 통합할 수 있는 기능이다. 이 기능을 사용하면 네트워크가 성장해도 관리 오버헤드는 증가하지 않는다.
또한, 보안 어플라이언스 또는 검사 서비스를 통해 중앙 클라우드 WAN 정책 또는 AWS 관리 콘솔을 사용하여 아마존 가상 프라이빗 클라우드(Amazon VPC), AWS 리전, 온프레미스 위치, 인터넷 간에 글로벌 네트워크 트래픽을 쉽게 조정할 수 있다. 서비스 삽입 기능을 통해 고객은 복잡한 라우팅 구성이나 타사 자동화 도구를 만들고 관리할 필요 없이 다중 지역 또는 다중 세그먼트 네트워크 트래픽을 보안 기기 또는 서비스로 쉽게 유도할 수 있다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
