한국어판 전체 소스 코드가 에이콘출판사 공식 깃허브에 업로드되었습니다.
독자 여러분의 학습 편의를 위해 원서의 소스 코드를 한국어판 내용에 맞춰 준비하였습니다.

소스 코드 파일은 여기에서 내려받으실 수 있습니다.
https://github.com/AcornPublishing/9791161756837

공격자의 관점으로 완성하는 AWS 보안 실전 가이드

AWS는 강력한 보안 서비스를 제공하지만, 이를 애플리케이션과 데이터에 맞게 올바로 구성하는 것은 결국 사용자의 책임이다. 클라우드 환경에서는 ID 관리, 인증, 모니터링 같은 핵심 보안 기술을 그 특성에 맞게 정확히 이해하고 적용할 수 있어야 한다.

이 책은 실무에서 흔히 마주하는 보안 위협으로부터 AWS 기반 애플리케이션을 보호하는 데 필요한 모든 것을 담고 있다. 또한 데이터 보호, 감사, 사고 대응 등 핵심 보안 과제별로 체계적으로 구성되어 있어, 어떤 클라우드 보안 문제에 직면하더라도 필요한 모범 사례를 빠르게 찾아 적용할 수 있다. 특히 취약한 애플리케이션의 실제 공격 과정을 상세히 분석하고 사용된 익스플로잇을 직접 분해해봄으로써, 어떤 위협에도 자신 있게 대응할 수 있는 실무 역량을 기를 수 있다.

저자 딜런 쉴즈는 AWS Security Hub 팀의 첫 번째 엔지니어로서, AWS 보안 서비스 개발의 최전선에서 쌓아온 실무 경험과 통찰을 이 한 권에 고스란히 담았다. 한마디로 이 책은 AWS 기반 애플리케이션을 구축하고 보호하는 소프트웨어 엔지니어와 보안 엔지니어를 위한 필독서다.

이 책에서 다루는 내용

• 올바른 접근 제어를 위한 정책 수립
• AWS 리소스에 대한 안전한 접근 권한 부여
• VPC를 활용한 네트워크 접근 제어 강화
• 감사 로그 기록 및 분석을 통한 공격 탐지
• AWS 계정의 보안 상태 모니터링 및 평가

AWS 보안을 제대로 아는 전문가가 모든 것을 담아낸 책이다.
— 피터 징호프(Peter Singhof), NTT DATA Germany

클라우드 보안의 핵심을 체계적으로 다루는 책이다. 명료하고 실용적인 설명 곳곳에 저자의 깊은 경험이 묻어난다.
— 아마도 그라마호(Amado Gramajo), NASDAQ

실전 예제를 통해 AWS 보안을 배우는 책이다.
— 산지브 자이스왈(Sanjeev Jaiswal), Lifesight

딜런 쉴즈만큼 AWS 보안을 잘 아는 저자는 드물다.
— 빅토르 두란(Victor Durán), Kaldi AI

딜런 쉴즈^{Dylan Shields}

아마존, 구글, 페이스북의 보안 및 개인정보 보호 분야에서 엔지니어로 근무했다. AWS 대외 보안 서비스 개발을 수년간 담당했으며, AWS Security Hub의 첫 번째 엔지니어였다.

처음 AWS에 입사했을 때 나는 플랫폼 보안에 대해 거의 아무것도 알지 못했다. 하지만 운이 좋게도 많은 다른 보안 팀과 함께 이야기를 나누면서 AWS 보안에 대한 설명을 들을 수 있었다. AWS에 입사하고 초기에 만났던 팀 중 하나가 자동 추론 그룹^{Automated Reasoning Group}이었던 것으로 기억한다. 그들은 자동 추론 방식을 기반으로 여러 보안 도구를 만들었는데, 그 중 가장 눈에 띄는 것은 젤코바^Zelkova였다. 당시에는 2개의 IAM 정책을 제공하면 두 정책이 효과 면에서 동일한지 또는 어느 한 정책이 더 허용적인지(또는 비교할 수 없는지)를 알 수 있었다. 젤코바는 이제 훨씬 더 많은 기능을 제공하며 S3, Config, GuardDuty, Trusted Advisor 서비스의 기능을 강화한다. 그러나 그 당시에도 젤코바는 놀라운 도구였다. 그 팀은 단순히 읽는 것만으로는 분명하지 않은 예상치 못한 행동을 보이는 많은 IAM 정책 사례를 갖고 있었는데, 이러한 문제점을 젤코바를 활용해 쉽게 파악하는 방법을 보여줬다.

해당 시연이 끝난 후 나는 너무 들떠서 내가 아는 AWS 사용자 모두에게 그것에 대해 이야기했었다. 하지만 예상했던 기대 섞인 반응과는 달리, 대부분의 사람에게서 질문이 돌아왔다. 젤코바에 대한 질문이 아니라 ‘리소스 정책이란 무엇인가?’와 같은 IAM에 대한 기본적인 질문이었다. AWS의 많은 보안 도구와 마찬가지로 IAM도 복잡할 수밖에 없다. 그리고 대부분의 사람은 이러한 서비스가 어떻게 동작하는지에 대한 정보를 쉽게 찾을 수 없다. 물론 리소스 정책에 대한 문서가 있지만, 그것이 존재하는지 모른다면 찾아볼 수도 없을 것이다. 내가 이 책을 쓰는 것을 처음으로 고려했던 시기가 바로 그때였다. 이 모든 도구와 서비스를 구축한 사람들로부터 AWS 보안에 대한 집중적인 교육을 받았으므로, 이러한 정보에 접근할 수 없는 회사 밖의 모든 사람과 지식을 공유할 수 있는 방법을 찾고 싶었다.

일반적으로 AWS와 클라우드 컴퓨팅은 지속적으로 성장하고 있으며, 보안은 매우 중요한 부분이므로 이 주제는 피할 수 없다고 생각한다. AWS를 기본 인프라로 사용하지 않는 다른 회사에서 근무하는 동안에도 AWS 보안 지식은 여전히 유용했다. 현재는 페이스북에서 우리가 인수한 회사의 보안 및 개인정보 보호 문제를 검토하는 역할을 담당하고 있는데, 거의 모든 인수 대상 기업이 AWS에서 운영된다. 어떤 형태로든 AWS를 사용하지 않는 조직을 찾기가 점점 더 어려워지고 있다. 플랫폼 성장의 일부는 AWS가 새로운 기능과 서비스를 얼마나 빨리 출시하는지에 기인하며, AWS는 지속적으로 개선하고 새로운 것을 더 쉽게 만들 수 있도록 한다. 그러나 새로운 기능을 추가할 때마다 플랫폼이 더 복잡해지고 보안은 좀 더 어려워진다. 이 책에서 다루는 정보가 이러한 복잡성을 탐색하고 AWS에서 실행하는 애플리케이션의 보안을 강화하는 데 도움이 되길 바란다.

김진환

정보 보호 및 개인정보 보호 컨설팅 분야에서 일하고 있으며, 빠르게 변화하는 IT 환경에서 디지털 문해력 향상을 위해 노력 중이다. 조직의 비즈니스와 정보 보안 사이의 균형, 정보 보안 거버넌스, 리스크 기반 정보 보안 통제 등의 주제에 관심을 갖고 고민하고 있다. 보유 자격증으로는 AWS SCS, CISA, CISM, CISSP, PMP, ISMS-P 심사원, PIA, CPPG, 정보보안기사 등이 있다.

개인적으로 부끄러운 이야기일 수도 있지만, 클라우드 컴퓨팅 서비스를 뜬구름 잡는 이야기로 여기면서 대수롭지 않게 바라보던 시기도 있었다. 그러나 이제 클라우드 컴퓨팅 서비스는 뜬구름이 아니라 진짜 구름이 되어 IT 환경의 변화를 이끌고 있다. 기업 등에서는 기존의 IT 인프라를 온프레미스에서 클라우드 컴퓨팅 서비스로 빠르게 전환하고 있으며, IT 인프라를 구축할 때 클라우드 컴퓨팅 서비스 이용은 최우선 고려 대상이 됐다.

대표적인 클라우드 컴퓨팅 서비스 제공자로는 국외의 경우 AWS, Azure, GCP 등이 있으며, 국내의 경우에는 NCP, KT Cloud, NHN Cloud 등이 있다. 시장 조사 결과에 따르면 AWS는 2024년 4분기 기준으로 전 세계에서 약 33%의 점유율을 차지하면서 시장을 선도하고 있으며, 2024년 전 세계 클라우드 인프라 서비스 지출 규모는 3,213억 달러(약 428조 9,440억 원)로 집계돼 2023년의 2,677억 달러(약 367조 6,859억 원)에 비해 20% 증가했다. 이처럼 클라우드 컴퓨팅 서비스는 IT 인프라에서 대세로 자리 잡았으며, 클라우드 컴퓨팅 서비스 업계를 대표하는 AWS야말로 요즘 표현으로 '대세 중의 대세'라고 평가해도 과언이 아닐 것이다.

이 책은 AWS 환경에서의 보안 전략과 실무를 다루는 실용적인 가이드로, AWS CLI를 통해 AWS에서 제공하는 네이티브 보안 서비스를 활용한 보안 통제 구현 방법을 중심으로 설명하고 있다.

IAM을 활용해 사용자와 서비스에 대한 권한을 안전하게 설정하는 방법, VPC를 구성해 외부 접근을 제한하고 네트워크 흐름을 제어하는 기법, CloudTrail과 같은 서비스를 이용해 활동 로그를 수집하고 이를 통해 보안 위협을 탐지하는 방법 등을 소개한다. 또한 취약한 애플리케이션 예시를 통해 공격 기법을 분석하고, 이에 대한 대응 전략을 제공한다.

저자는 AWS 실무 경험을 바탕으로 AWS에서 제공하는 보안 서비스에 대한 단순한 기능 설명을 넘어서, 이러한 보안 조치가 필요한 이유와 관련된 배경과 맥락도 함께 설명한다. 그러므로 이 책이 AWS 환경에서 실질적인 보안 역량을 갖출 수 있도록 독자 여러분에게 많은 도움을 줄 것이라 확신한다.