[AWS] AWS Certified AI Practitioner 개념 정리 - 5

1. 컴플라이언스(Compliance)란?

컴플라이언스란 조직이나 시스템이 법률, 규제, 산업 표준, 내부 정책 등에 적합하게 운영되고 있음을 의미하는 개념이다. 주로 외부의 법적 요구사항이나 내부 가이드라인을 위반하지 않도록 시스템을 설계하고 관리하는 데 초점을 둔다.

 

컴플라이언스가 중요한 이유

• 법적 책임 회피: GDPR(유럽연합의 개인정보 보호법), HIPAA(미국의 의료정보 보호) 등의 규정을 위반할 경우 벌금이나 제재가 부과될 수 있다.
• 신뢰 확보: 규정을 준수함으로써 고객 및 파트너의 신뢰를 얻을 수 있다.
• 보안 강화: 프레임워크에 따라 시스템을 설계하면 자연스럽게 보안 수준이 강화된다.
• 감사 대응: 외부 감사에 필요한 로그 및 리포트를 사전에 준비할 수 있다.

 

 2. 주요 글로벌 규정 및 표준

규정/ 표준	설명
GDPR	유럽연합의 개인정보 보호 규정
HIPAA	미국의 의료정보 보호법
SOC 1, 2, 3	정보 보호 및 운영 신뢰성 관련 감사 기준
ISO 27001	국제 정보보호 관리체계(ISMS) 표준
PCI DSS	신용카드 결제 보안 표준

 

3. 거버넌스 및 보안 프레임워크에서 주목해야 할 요소

• 보안 사례: IAM, KMS, VPC 등 보안 서비스를 활용한 설계
• 규정 준수 요구사항: GDPR, HIPAA와 같은 외부 규정 대응
• 거버넌스 프레임워크: 권한 관리, 접근 제어, 변경 추적
• 모델 보안: SageMaker에서 프라이빗 VPC 사용, 암호화, 권한 분리 등

 

4. AWS 리소스 개념 정리

AWS에서 말하는 리소스(Resource)란, 클라우드 환경에서 사용자가 생성하거나 관리할 수 있는 모든 개별 구성 요소나 객체로 "컴퓨팅, 저장소, 네트워크, 데이터베이스, 보안 구성 요소"를 포함한다.

 

4-1) 대표적인 AWS 리소스 예시

리소스	설명
EC2 인스턴스	가상 서버 (컴퓨팅 리소스)
S3 버킷	객체 저장 공간
Lambda 함수	이벤트 기반 서버리스 함수
IAM 사용자/역할	접근 제어를 위한 보안 주체
RDS 인스턴스	관계형 데이터베이스
VPC/Subnet	가상 네트워크 구성
ECR 이미지	컨테이너 이미지 저장소
SageMaker 모델	학습된 머신러닝 모델
CloudWatch 로그 그룹	모니터링 로그 자원

 

4-2) 리소스 vs 서비스

구분	의미	예제
서비스	기능을 제공하는 도구	EC2, S3, Lambda 등
리소스	서비스에서 만든 개체	EC2 인스턴스, S3 버킷 등

 

 

 

5. ⭐️⭐️⭐️ AWS 보안 및 컴플라이언스 서비스 

AWS는 다양한 보안 및 규정 준수 요구사항을 충족할 수 있도록 접근 제어, 감사, 암호화, 위협 탐지, 보안 자동화 영역에 걸쳐 다양한 서비스를 제공하고 있다. 아래는 이를 카테고리별로 정리한 요약이다.

 

5-1) 권한 및 접근 관리

서비스	설명
IAM (Identity and Access Management)	사용자, 그룹, 역할(Role), 정책(Policy)을 기반으로 AWS 리소스 접근 권한을 중앙에서 관리
AWS SSO (Single Sign-On)	조직 내 여러 계정과 애플리케이션에 대해 중앙 집중식 로그인 제공
Secrets Manager	애플리케이션에서 사용하는 비밀번호, API 키 등의 민감 정보를 암호화된 형태로 안전하게 저장하고 주기적으로 자동 교체
AWS KMS (Key Management Service)	대칭 및 비대칭 키 생성·관리 기능을 제공하는 AWS의 기본 암호화 키 관리 서비스. 대부분의 AWS 서비스와 연동 가능
VPC (Virtual Private Cloud)	AWS 리소스를 격리된 네트워크 내에서 운영할 수 있도록 하며, 서브넷, 라우팅, 보안 그룹 등 세부 제어 가능
Network ACL	서브넷 단위의 인바운드 및 아웃바운드 트래픽 제어를 위한 Stateless 방화벽 기능 제공

 

5-2)  컴플라이언스 및 감사

서비스	설명
AWS CloudTrail	모든 API 호출 및 사용자 활동을 기록하여 보안 감사, 분석, 문제 해결에 활용
AWS Config	- 리소스 구성 변경 사항을 지속적으로 모니터링 및 기록하고, 보안 구성 오류 또는 컴플라이언스 위반 여부를 평가 - 클라우드 인프라를 검토하고 컴플라이언스 문제를 식별할 수 있는 서비스 (문제 상에서 표현) - 잘못된 리소스 구성 → 자동 알림 or 수정 ex) S3 버킷이 퍼블릭으로 열려 있는 경우 자동 탐지
AWS Audit Manager	지속적으로 증거(evidence)를 수집·정리해 감사 보고서로 자동 생성하여 컴플라이언스 평가를 지원함
AWS Artifact	ISO, SOC, PCI 등 각종 컴플라이언스 관련 공식 감사 보고서를 다운로드하여 참고 가능
AWS Inspector	EC2 인스턴스, Lambda 함수, 컨테이너 이미지(ECR 등)를 대상으로 자동화된 보안 취약점 스캔 및 평가 보고서를 제공
Amazon Macie	기계학습을 활용해 S3에 저장된 민감한 데이터를 자동 식별·분류하고 데이터 노출 위험을 탐지해주는 데이터 보안 및 개인정보 보호 서비스 - ml 기반 민감 데이터 탐지: 이름, 이메일, 카드번호 등 PII/PHI 데이터 자동 식별 - 자동 스캔: S3 버킷 내 객체를 정기적으로 자동 분석 및 분류 - 데이터 접근 가시성: S3 객체의 퍼블릭 노출, 암호화 여부, 권한 설정 확인 - 경고 및 알림: 이상 징후나 노출된 민감 정보 탐지 시 CloudWatch 등과 연동해 알림 제공

 

5-3)  위협 탐지 및 보안 모니터링

서비스	설명
AWS GuardDuty	- CloudTrail, VPC Flow Logs, DNS 로그를 분석하고, AWS 위협 인텔리전스 및 기계학습 기반 이상 탐지를 활용해 위협을 자동으로 감지하는 보안 서비스 - 계정, 네트워크, 데이터 (로그 데이터) 활동을 분석하여 이상 징후나 보안 위협을 실시간으로 탐지하여 경고(findings) 생성
AWS Detective	GuardDuty 등 보안 결과를 바탕으로 공격 흐름 및 근본 원인을 시각적으로 분석 및 이해함
AWS Security Hub	GuardDuty, Inspector, Macie 등에서 수집한 보안 결과를 통합하여 전체 보안 상태를 한눈에 확인 가능한 대시보드 제공, 지속적인 보안 모니터링 및 컴플라이언스 감사를 제공
AWS WAF (Web Application Firewall)	웹 트래픽을 필터링하여 SQL Injection, XSS 등 애플리케이션 레벨 공격 방어
AWS Shield	DDoS 공격을 자동으로 감지하고 완화하는 보호 서비스 (Standard 무료, Advanced 유료)
Amazon CloudWatch	리소스의 상태, 성능, 로그를 수집하고 지표 기반으로 경보 및 자동화된 조치 가능
AWS X-Ray	마이크로서비스 기반 애플리케이션의 트랜잭션을 추적하여 병목 현상 및 지연 원인을 시각적으로 분석

 

5-4) 보안 자동화 및 DevSecOps

서비스	설명
AWS CodePipeline	코드 빌드, 테스트, 배포까지의 파이프라인을 자동화하며, 보안 검사 도구와 연동해 DevSecOps 환경 구축 가능
AWS CloudFormation	인프라를 코드로 관리(IaC)하여 보안 구성 요소를 자동화하고 일관성 있게 유지 가능

 

 

6. 보안 및 컴플라이언스 설계 전략

항목	설명
접근 제어	IAM, SSO, 정책 기반 권한 분리 및 최소 권한 원칙 적용
데이터 암호화	KMS, Secrets Manager를 통한 키 관리 및 민감정보 보호
네트워크 보안	VPC, 서브넷, NACL, 보안 그룹 구성으로 격리와 제어
감사 및 추적	CloudTrail, Config로 변경사항 추적 및 감사 로그 확보
위협 탐지	GuardDuty, Macie, Inspector를 활용한 보안 리스크 탐지
규정 준수	Artifact를 통한 보고서 확보, Config 및 Security Hub 통한 상태 점검
자동화 및 DevSecOps	CloudFormation과 CodePipeline을 통한 보안 설정 자동화 및 지속적 보안 점검 통합