AWS) Security and Compliance Overview

security and compliance services

security and compliance services

 

 

 

AWS Security & Compliance : 보안과 규정

클라우드 환경에서 보안과 컴플라이언스는 선택이 아니라 기본 요건이다.
AWS는 보안을 서비스 위에 “추가”하는 방식이 아니라, 인프라와 서비스 전반에 기본으로 내장된 구조로 제공한다.
이 글에서는 AWS의 보안 개요, 컴플라이언스 체계, 주요 보안 서비스, 그리고 자주 등장하는 준수 기준까지 한 번에 정리한다.

📑 목차

1. AWS Security Overview
2. AWS Compliance Overview
3. AWS 주요 Security & Compliance 서비스
   • 3.1 AWS Security Hub
   • 3.2 AWS Artifact
   • 3.3 Amazon Inspector
   • 3.4 Amazon GuardDuty
   • 3.5 AWS Shield
4. AWS 주요 컴플라이언스 기준 정리
   • PCI-DSS
   • HIPAA / HITECH
   • FedRAMP
   • GDPR
   • FIPS 140-2
   • NIST 800-171
5. 정리 및 핵심 요약

---

1. AWS Security Overview

AWS의 보안은 클라우드 인프라 자체에 내장(Built-in) 되어 있다.
사용자는 보안 요구사항을 정의하고 설정하는 역할을 담당하며, AWS는 물리적 인프라와 기본 보안 계층을 책임진다.

핵심 특징

• AWS Cloud 전반에 보안 기능 기본 포함
• 별도 보안 인프라 구축 불필요
• 글로벌 수준의 보안 표준 적용

온프레미스와 비교

구분	온프레미스	AWS
하드웨어	직접 구매 및 유지	AWS 관리
물리 보안	직접 구축	AWS 기본 제공
운영 비용	고정비 높음	사용량 기반
보안 업데이트	수동	자동

 

➡️ 보안 수준은 높이고, 운영 부담과 비용은 줄이는 구조

---

2. AWS Compliance Overview

컴플라이언스란?

국가·산업·기관에서 요구하는 법적·규제적 보안 기준을 충족하는 것을 의미한다.

왜 컴플라이언스가 중요한가?

• 국가별 법률 상이
• 산업별 규제 다름
• 글로벌 서비스일수록 복잡도 증가

AWS의 대응 방식

• 글로벌(Global) + 지역별(Regional) 컴플라이언스 프로그램 유지
• 고객이 규제를 충족할 수 있도록:
  • 보안 통제 제공
  • 인증 및 감사 보고서 제공
  • 전용 컴플라이언스 서비스 운영

---

3. AWS 주요 Security & Compliance 서비스

3.1 AWS Security Hub

보안 상태 통합 관리 서비스

• 여러 AWS 계정
• 다양한 AWS 보안 서비스
• 서드파티 보안 도구

➡️ 모든 보안 데이터를 한 곳에서 수집·분석

 

주요 기능

• 보안 상태 시각화
• 규정 준수 현황 확인
• 고위험 보안 이슈 식별
• 보안 트렌드 분석

---

3.2 AWS Artifact

컴플라이언스 문서 제공 포털 (무료)

• 셀프 서비스 방식
• 온디맨드 접근
• 감사 대응 필수 서비스

제공 항목

• 공식 감사 보고서
• 컴플라이언스 템플릿
• AWS 보안 백서(Whitepaper)

➡️ 보안 감사 및 인증 대응 시 가장 많이 활용

---

3.3 Amazon Inspector

취약점 자동 분석 서비스

분석 대상

• EC2 인스턴스
• 컨테이너 이미지(ECR)
• Lambda 함수

탐지 항목

• 소프트웨어 취약점
• 잘못된 설정
• 네트워크 노출

➡️ 지속적(Continuous) 스캔 기반 취약점 관리

---

3.4 Amazon GuardDuty

지능형 위협 탐지 서비스

탐지 방식

• AWS 로그 분석
• 위협 인텔리전스 피드
• 머신러닝 기반 이상 행위 탐지

탐지 예시

• 비정상 로그인
• 계정 탈취 시도
• 악성코드
• 비트코인 채굴

➡️ 이미 발생한 침입 및 공격을 빠르게 탐지

---

3.5 AWS Shield

DDoS 공격 방어 서비스

특징

• Always-on 보호
• 자동 탐지 및 완화
• 애플리케이션 중단 최소화

대상 공격

• DoS / DDoS
• 네트워크(L3/L4)
• 애플리케이션(L7)

➡️ 대규모 트래픽 공격에도 서비스 안정성 유지

---

4. AWS 주요 컴플라이언스 기준 정리

4.1 PCI-DSS

Payment Card Industry Data Security Standard

• 신용카드 결제 정보 보호 표준
• 결제·금융·전자상거래 필수
• 카드 번호 및 결제 데이터 보호 목적

---

4.2 HIPAA / HITECH

미국 의료 정보 보호 법률

• 의료 정보(PHI) 보호
• 병원·보험·헬스케어 산업 대상
• 환자 데이터 기밀성 보장

---

4.3 FedRAMP

미국 연방 정부 클라우드 보안 인증

• 정부 기관용 클라우드 필수 기준
• 매우 엄격한 보안 요구사항
• 공공·정부 프로젝트 대상

---

4.4 GDPR

유럽 일반 개인정보 보호법

• EU 시민 개인정보 보호
• 데이터 수집·보관·삭제 권리 보장
• 글로벌 서비스도 적용 대상 가능

---

4.5 FIPS 140-2

암호화 모듈 보안 표준

• 암호화 알고리즘 및 모듈 검증
• 정부·금융·보안 시스템 필수

---

4.6 NIST 800-171

미국 정부 비기밀 정보 보호 기준

• 공공·방위 산업 데이터 보호
• 정부 협력사 대상 규격

---

5. 정리 및 핵심 요약

• AWS 보안은 기본 내장 구조
• 컴플라이언스는 글로벌·산업별로 이미 준비됨
• 핵심 서비스:
  • Security Hub
  • GuardDuty
  • Inspector
  • Shield
• 감사 대응은 AWS Artifact 필수
• PCI-DSS, HIPAA, GDPR은 시험·실무 모두 중요