1. CSPM이란?
CSPM(Cloud Security Posture Management)은 클라우드 환경의 보안 설정 상태(Posture)를 지속적으로 점검하고 잘못된 구성을 자동으로 탐지·교정하는 보안 관리 방식입니다.
클라우드에서 가장 흔한 위협은 Zero-Day 취약점이 아니라 잘못된 설정(Misconfiguration)입니다. 퍼블릭으로 열린 S3 버킷, 과도한 권한의 IAM 역할, 암호화되지 않은 데이터베이스, 모든 IP에 열린 보안 그룹 — 이런 설정 실수 하나가 대규모 침해로 이어집니다.
99%
2025년까지 클라우드 보안 실패의 99%는 고객의 설정 오류가 원인 (Gartner)
#1
클라우드 침해 원인 1위: 잘못된 설정 (Cloud Security Alliance)
45%
조직의 45%가 클라우드 환경에 퍼블릭으로 노출된 데이터 자산을 보유 (Tenable)
분↓초
CSPM 자동 교정으로 평균 탐지·대응 시간을 수시간에서 수초로 단축
CSPM이 하는 일
| 기능 | 설명 |
|---|---|
| 지속적 설정 모니터링 | 리소스 생성·변경 즉시 보안 기준과 대조. 수동 감사의 한계를 극복. |
| 벤치마크 준수 점검 | CIS AWS Foundations, NIST 800-53, PCI-DSS, ISO 27001 등 표준 대비 준수율 측정. |
| 위험 우선순위 지정 | 수백 개 경고 중 실제 비즈니스 영향이 큰 항목을 자동으로 우선 분류. |
| 자동 교정(Auto-Remediation) | Lambda·SSM Automation으로 위반 설정을 자동으로 원래 상태로 복원. |
| 멀티 계정·멀티 클라우드 통합 | AWS Organizations 전체 또는 AWS·Azure·GCP 혼용 환경을 단일 뷰로 관리. |
| 드리프트(Drift) 감지 | 승인된 기준 구성에서 벗어난 변경을 즉시 감지하고 알림. |
CSPM과 유사 개념 비교
| 용어 | 초점 | 예시 도구 |
|---|---|---|
| CSPM | 클라우드 설정 상태 감시 및 컴플라이언스 | AWS Security Hub, Prisma Cloud, Wiz |
| CWPP | 클라우드 워크로드(VM·컨테이너·서버리스) 보호 | Amazon GuardDuty, Crowdstrike Falcon |
| CIEM | 클라우드 ID·권한 과도 부여 탐지 | AWS IAM Access Analyzer, Sonrai |
| CNAPP | CSPM + CWPP + CIEM 통합 플랫폼 | Wiz, Orca Security, Palo Alto Prisma |
2. 왜 지금 클라우드 인프라에 CSPM이 필요한가?
실제 사고 사례
| 사고 | 원인(잘못된 설정) | 피해 |
|---|---|---|
| Capital One (2019) | WAF 잘못된 설정 → EC2 SSRF → IAM 역할 남용 → S3 데이터 유출 | 1억 명 이상 고객 정보 유출, $80M 벌금 |
| Tesla (2018) | Kubernetes 대시보드 인증 없이 노출 → 암호화폐 채굴 코드 실행 | 클라우드 비용 급증, 브랜드 손상 |
| Twitch (2021) | 내부 Git 서버 설정 오류 → 소스코드 및 스트리머 수익 정보 전체 공개 | 125GB 데이터 유출 |
| Microsoft (2023) | Azure Blob Storage 공개 설정 오류 | 38TB 내부 데이터 노출 |
클라우드 환경이 CSPM을 필수로 만드는 이유
- 공동 책임 모델의 함정: AWS는 인프라를 책임지지만 설정은 고객 책임입니다. 클릭 한 번으로 S3를 퍼블릭으로 바꿀 수 있고, 그 실수를 아무도 알려주지 않습니다.
- 동적·임시 인프라: Auto Scaling, Lambda, 컨테이너는 수초마다 리소스가 생성·삭제됩니다. 사람이 수동으로 감사할 수 없습니다.
- 개발자 셀프 서비스: DevOps 문화에서 개발팀이 직접 인프라를 프로비저닝합니다. 보안 검토 없이 배포된 리소스가 눈덩이처럼 쌓입니다.
- 멀티 계정·멀티 클라우드 복잡성: 수십 개의 AWS 계정에 분산된 리소스를 일관된 기준으로 감시하는 것은 CSPM 없이 불가능합니다.
- Shadow IT: 승인받지 않은 클라우드 리소스가 IT 팀 모르게 생성됩니다.
3. AWS 네이티브 CSPM 아키텍처
AWS는 단일 CSPM 제품을 제공하지 않지만, 여러 네이티브 서비스를 조합하면 완전한 CSPM을 구성할 수 있습니다. AWS Security Hub가 중심 허브 역할을 합니다.
그림 1. AWS 네이티브 서비스로 구성한 CSPM 아키텍처. Security Hub가 모든 탐지 결과를 집계하고 EventBridge가 자동 대응을 트리거합니다.
4. AWS CSPM 구성 체크리스트
아래 체크리스트를 순서대로 구성하면 AWS 환경에서 완전한 CSPM을 달성할 수 있습니다.
AWS Security Hub
핵심 CSPM 허브
필수
Security Hub 모든 리전 활성화
사용 중인 모든 AWS 리전에서 활성화. Organizations 위임 관리자 설정으로 전체 계정 자동 등록.
필수
CIS AWS Foundations Benchmark 활성화
v1.4 또는 v3.0 표준 활성화. IAM, 로깅, 모니터링, 네트워킹 4개 영역 총 58개 통제 자동 점검.
필수
AWS Foundational Security Best Practices(FSBP) 활성화
AWS 자체 권장 보안 설정 290개+ 항목 자동 점검. 신규 서비스 추가 시 자동으로 검사 항목 확장.
중요
PCI-DSS 표준 활성화 (해당 환경)
카드 데이터를 처리하는 환경이라면 PCI-DSS v3.2.1 표준을 Security Hub에서 활성화.
중요
크로스 리전 Findings 집계 활성화
기준 리전(서울)에서 모든 리전의 Security Hub Findings를 통합 조회.
중요
Critical/High Findings → EventBridge → SNS 알림 연동
심각도 HIGH 이상 Finding 발생 시 담당자에게 즉시 이메일/Slack 알림 전송.
AWS Config
설정 변경 감사 · 규칙 평가
필수
모든 리전에서 모든 리소스 유형 기록 활성화
글로벌 IAM 리소스 포함. 설정 기록 없이는 드리프트 감지와 감사 추적이 불가능.
필수
Config 기록 S3 버킷 저장 + MFA Delete 활성화
설정 스냅샷 장기 보관. 무결성 보호를 위해 MFA Delete 및 Object Lock 적용.
필수
Conformance Pack 배포 (CIS / NIST / ISMS-P 매핑)
관련 Config 규칙을 한 번에 배포. 준수 현황 리포트 자동 생성.
중요
주요 Config 관리형 규칙 활성화
s3-bucket-public-read-prohibited, root-account-mfa-enabled, encrypted-volumes, restricted-ssh, vpc-flow-logs-enabled 등.
중요
Auto-Remediation SSM Automation 연결
규칙 위반 감지 시 SSM Automation 문서를 자동 실행해 설정을 원복.
AWS CloudTrail
API 감사 로그
필수
멀티 리전 Trail + 글로벌 서비스 이벤트 활성화
모든 리전의 API 호출 기록. IAM·STS 등 글로벌 서비스 포함.
필수
로그 파일 무결성 검증(Log File Validation) 활성화
SHA-256 해시로 로그 위변조 여부 검증 가능. 감사 시 필수 증적.
필수
로그 S3 저장 + Object Lock(WORM) 적용
최소 1년 이상 보관. WORM 설정으로 삭제·덮어쓰기 방지.
중요
CloudTrail Insights 활성화
비정상적으로 많은 API 호출(예: 대규모 IAM 역할 생성)을 AI로 자동 탐지.
IAM · 계정 보안
최소 권한 · 접근 통제
필수
루트 계정 MFA 활성화 + 액세스 키 미발급
루트 계정은 비상 접근 외 미사용. MFA 없는 루트 계정은 CIS 기준 즉시 위반.
필수
IAM Access Analyzer 모든 리전 활성화
외부에 공유된 S3 버킷·IAM 역할·KMS 키·Lambda 등을 자동 식별.
필수
SCP(Service Control Policy)로 위험 행위 예방
루트 사용, 특정 리전 외 리소스 생성, GuardDuty 비활성화 등을 Organizations SCP로 차단.
중요
IAM 미사용 자격증명 90일 주기 검토·비활성화
Credential Report + Config 규칙
iam-user-unused-credentials-check로 자동화.
중요
권한 경계(Permission Boundary) 정책 적용
개발팀이 스스로 IAM 역할을 생성해도 최대 권한 범위를 초과하지 못하도록 제한.
네트워크 보안
VPC · Security Group · WAF
필수
VPC Flow Log 모든 VPC 활성화
CloudWatch Logs 또는 S3로 전송. 비정상 트래픽 패턴 사후 분석에 필수.
필수
Security Group 0.0.0.0/0 인바운드 자동 감지
Config 규칙
restricted-ssh, restricted-common-ports로 자동 탐지 및 알림.
중요
AWS WAF + Shield Advanced 활성화
ALB/API Gateway 앞단에 WAF 배치. AWSManagedRulesCommonRuleSet 적용.
중요
Network Firewall 또는 NACL 정책 표준화
VPC 간, 인터넷 구간의 명시적 허용 규칙 외 전체 차단(Default Deny) 정책 적용.
데이터 보호 · 암호화
KMS · S3 · RDS
필수
S3 계정 수준 퍼블릭 액세스 차단
계정 전체에 Block Public Access 4개 설정 모두 활성화. 개별 버킷 설정보다 상위 적용.
필수
모든 S3 버킷 기본 암호화(SSE-KMS) 활성화
비암호화 객체 업로드를 버킷 정책으로 거부(
aws:SecureTransport 조건 포함).
필수
RDS · EBS 기본 암호화 활성화 (계정 레벨)
계정 기본 암호화 활성화로 신규 생성 리소스 전체 자동 암호화.
중요
Amazon Macie 활성화
S3 내 개인식별정보(PII) 자동 감지. ISMS-P 개인정보 처리 단계별 요구사항 대응.
중요
KMS CMK 자동 교체(1년) 활성화
고객 관리형 키(CMK)의 자동 키 교체 설정. 교체 이력 CloudTrail로 추적.
위협 탐지 · 취약점 관리
GuardDuty · Inspector
필수
GuardDuty 모든 리전 활성화 + Organizations Auto-Enable
위협 탐지와 CSPM은 상호 보완 관계. GuardDuty Findings도 Security Hub로 자동 전달.
필수
Amazon Inspector v2 활성화 (EC2 · ECR · Lambda)
CVE 취약점 지속 스캔. 취약점 관리 컴플라이언스 항목(ISMS-P 2.11) 대응.
중요
Systems Manager Patch Manager 자동 패치 설정
Inspector 탐지 CVE를 Patch Manager로 자동 교정. 패치 규정 준수율 대시보드 활용.
5. CSPM을 요구하는 주요 컴플라이언스
CSPM을 명시적으로 규정한 표준은 드물지만, 지속적 모니터링·취약점 관리·설정 감사 요구사항이 사실상 CSPM을 필수화합니다.
| 컴플라이언스 | 관련 조항 | CSPM 요구 수준 | AWS 대응 서비스 |
|---|---|---|---|
| PCI-DSS v4.0 | Req 6.3 (보안 취약점 관리) Req 11.3 (외부 취약점 스캔) Req 12.6 (보안 인식 프로그램) |
명시적 요구 | Security Hub, Config, Inspector |
| ISMS-P | 2.11 취약점 관리 2.9 로그 및 접속기록 관리 2.5 인증 및 권한 관리 |
사실상 필수 | Security Hub, Config, CloudTrail, Inspector |
| ISO 27001:2022 | A.8.8 기술적 취약점 관리 A.8.9 구성 관리 A.8.15 로깅 |
사실상 필수 | Config, Security Hub, CloudTrail |
| NIST CSF 2.0 | DE.CM 지속적 모니터링 ID.RA 위험 평가 PR.PS 플랫폼 보안 |
사실상 필수 | Security Hub, GuardDuty, Config |
| CIS Controls v8 | CIS Control 4 (보안 구성 관리) CIS Control 7 (지속적 취약점 관리) CIS Control 8 (감사 로그 관리) |
명시적 요구 | Security Hub CIS Benchmark, Config, CloudTrail |
| SOC 2 Type II | CC6.1 논리적 접근 통제 CC7.1 시스템 모니터링 CC7.2 보안 이벤트 평가 |
사실상 필수 | Security Hub, Config, CloudTrail, GuardDuty |
| GDPR | Art. 32 적절한 기술적 조치 Art. 25 설계 기반 개인정보 보호 |
권장 | Macie, Security Hub, Config |
CSPM으로 한 번에 여러 컴플라이언스 대응:
AWS Security Hub에서 CIS Benchmark와 FSBP를 동시에 활성화하면
ISMS-P·PCI-DSS·ISO 27001·SOC 2의 기술적 통제 항목 상당 부분을 단일 대시보드에서 증적으로 제출할 수 있습니다.
6. AWS 네이티브 vs 서드파티 CSPM 도구
| 구분 | AWS 네이티브 (Security Hub 중심) | 서드파티 (Wiz, Prisma Cloud 등) |
|---|---|---|
| 비용 | 사용량 기반, 비교적 저렴 | 라이선스 비용 높음 (연간 수천만 원~) |
| 멀티 클라우드 | AWS 전용 | AWS + Azure + GCP + OCI 통합 지원 |
| 컨텍스트 분석 | 개별 Finding 중심 | 공격 경로(Attack Path) 시각화, 위험 상관 분석 |
| 에이전트 | 에이전트 불필요 | 에이전트리스(Wiz) 또는 에이전트 선택 |
| 추천 대상 | AWS 단일 클라우드, 비용 최적화 우선 | 멀티 클라우드, 고급 위험 시각화 필요 환경 |
7. 마무리
CSPM은 "한 번 설정하면 끝"이 아닙니다. 클라우드 환경은 매일 수백 건의 변경이 발생하고, 개발팀의 새 배포마다 보안 설정이 바뀔 수 있습니다. 지속적인 감시, 자동화된 교정, 정기적인 준수율 리포트가 CSPM의 핵심입니다.
AWS 환경에서는 추가 비용을 최소화하면서 아래 순서로 시작하는 것을 권장합니다.
- Security Hub + CIS Benchmark + FSBP 활성화 → 즉시 현황 파악
- AWS Config Conformance Pack 배포 → 자동 규칙 평가
- CloudTrail + VPC Flow Logs 전 리전 활성화 → 감사 추적 확보
- GuardDuty + Inspector 활성화 → 위협·취약점 탐지 추가
- EventBridge + Lambda 자동 교정 → 대응 시간 단축
클라우드 보안에서 가장 위험한 것은 알려진 취약점이 아니라 아무도 모르는 잘못된 설정입니다. CSPM은 그 알 수 없음을 가시성으로 바꾸는 도구입니다.