1. 워크샵 개요
이 워크샵은 AWS 네이티브 보안 서비스와 AI 에이전트 자동화 플랫폼인 autobotAI를 결합해 지능형 보안 자동화(Intelligent Security Automation) 환경을 직접 구성해보는 실습입니다. Amazon Bedrock의 파운데이션 모델을 활용해 AI가 보안 위협을 실시간으로 탐지·분석하고 자동으로 대응합니다.
| 항목 | 내용 |
|---|---|
| 총 시간 | 약 4시간 |
| 리전 | us-west-2 (오레곤) |
| 난이도 | 중급 (Intermediate) |
| 쿠폰 코드 | AWSAISECWS |
워크샵에서 배우는 것
지능형 위협 탐지
- AWS Security Hub — 모든 보안 결과를 한 곳에 모아 컴플라이언스 모니터링
- Amazon GuardDuty — 머신러닝으로 악성 활동·비인가 행위 탐지
- Amazon Inspector — 애플리케이션과 인프라의 취약점 자동 평가
- Amazon Bedrock — 파운데이션 모델로 지능형 판단과 자동 대응
에이전틱 보안 자동화 (autobotAI)
- 보안 결과를 처리해 적절한 대응을 자동 실행하는 인시던트 대응
- 머신러닝으로 위협 우선순위를 정하고 대응을 선택하는 지능형 의사결정
- 탐지 서비스와 대응 메커니즘 간 원활한 연동
- 과거 데이터를 기반으로 대응을 개선하는 적응형 학습
실제 보안 시나리오
- IAM 취약점 관리 및 접근 제어
- RDS 데이터베이스 보안 위협과 자동 보호
- EC2 인스턴스 보안 사고와 지능형 대응
- 취약점 관리와 자동 패치 워크플로
- 컴플라이언스 위반 탐지 및 교정
모듈 구성
| 모듈 | 주제 | 시간 |
|---|---|---|
| Module 0 | 환경 설정 및 서비스 소개 | 15분 |
| Module 0.1 | 준비 및 AWS 콘솔 접속 | 10분 |
| Module 1 | autobotAI 플랫폼 설정 및 통합 | 45분 |
| Module 2 | AI 기반 JIT 데이터베이스 접근 | 60분 |
| Module 3 | GuardDuty와 autobotAI로 위협 완화 | 45분 |
| Module 4 | Security Hub 에이전틱 자동 교정 | 45분 |
| Module 5 | Amazon Inspector 취약점 관리 | 45분 |
2. 워크샵 아키텍처
이 워크샵은 여러 AWS 보안 서비스가 하나의 중앙 autobotAI 시스템으로 보안 인텔리전스를 전달하는 현대적인 보안 운영 아키텍처를 보여줍니다.
| 레이어 | 구성 요소 | 역할 |
|---|---|---|
| 탐지 레이어 | Security Hub, GuardDuty, Inspector | 위협과 취약점을 지속적으로 모니터링 |
| 인텔리전스 레이어 | Amazon Bedrock | AI 기반 분석과 의사결정 |
| 자동화 레이어 | autobotAI | 교정 워크플로 오케스트레이션 및 대응 실행 |
| 알림 레이어 | Amazon SES | 실시간 경보 및 상세 인시던트 보고서 발송 |
autobotAI 배포 방식
autobotAI는 제로 트러스트 기반 자체 호스팅 아키텍처로 설계되어 있습니다. 실제 운영 환경에서는 고객의 AWS VPC 내에 직접 배포됩니다.
- 데이터 외부 유출 없음 — 모든 처리와 에이전틱 작업이 AWS 보안 경계 안에서 실행됩니다.
- 완전한 내부 통제 — AI 에이전트, 통합, 데이터 스토리지를 고객이 직접 관리합니다.
- AWS 네이티브 보안 — IAM, KMS, CloudWatch를 활용해 안전하게 운영합니다.
3. Module 0: 핵심 AWS 보안 서비스 이해
본격적인 실습에 앞서, autobotAI 지능형 보안 시스템의 세 가지 핵심 서비스를 살펴봅니다.
Amazon GuardDuty — 지능형 위협 탐지
Amazon GuardDuty는 AWS 환경을 지속적으로 모니터링해 악성 활동과 비인가 행위를 탐지하는 서비스입니다. 머신러닝, 이상 탐지, 통합 위협 인텔리전스를 사용해 인스턴스 침해, 암호화폐 채굴, 정찰, 데이터 유출 등의 위협을 식별합니다.
주요 기능
- 머신러닝으로 행동 분석을 통해 알려지지 않은 위협 식별
- AWS Security, CrowdStrike, Proofpoint의 위협 인텔리전스 피드 활용
- 5분 이내 알림 생성하는 실시간 지속 분석
- 활성화 즉시 보호 시작 — 별도 구성 불필요
- CloudTrail, VPC Flow Logs, DNS 로그에 걸친 다중 소스 분석
GuardDuty 심각도 기준
| 심각도 | 점수 범위 | 설명 | 대응 시간 |
|---|---|---|---|
| CRITICAL | 9.0 – 10.0 | 공격 진행 중 | 즉시 |
| HIGH | 7.0 – 8.9 | 침해된 리소스 탐지 | 1시간 이내 |
| MEDIUM | 4.0 – 6.9 | 조사가 필요한 의심 활동 | 24시간 이내 |
| LOW | 1.0 – 3.9 | 차단된 의심 활동 시도 | 72시간 이내 |
데이터 소스
| 기본 데이터 소스 | 선택적 보호 플랜 |
|---|---|
| CloudTrail Events — 관리 API 호출 | EKS Audit Logs — Kubernetes API 활동 |
| VPC Flow Logs — 네트워크 트래픽 패턴 | S3 Data Events — 객체 수준 작업 |
| DNS Query Logs — Route53 리졸버 활동 | RDS Login Activity — 데이터베이스 접근 패턴 |
| Lambda Network Logs, EBS Volume Scanning, 런타임 모니터링 |
통합 엔드포인트
- Security Hub — 중앙 집중식 결과 집계 (ASFF 형식)
- EventBridge — 자동화를 위한 실시간 이벤트 스트리밍
- SNS/SQS — 맞춤형 알림 및 큐 시스템
- 서드파티 SIEM — 엔터프라이즈 보안 플랫폼 연동
AWS Security Hub — 중앙 보안 대시보드
AWS Security Hub는 여러 곳에 흩어진 보안 데이터를 실행 가능한 인텔리전스로 바꾸는 중앙 보안 지휘 센터입니다. 모든 보안 결과가 한 곳으로 모여 지능형 분석과 조율된 대응이 이루어집니다.
주요 기능
- 모든 보안 결과를 위한 단일 대시보드
- 100개 이상의 AWS 및 파트너 통합
- 보안 표준에 따른 자동 컴플라이언스 평가
- AWS Security Finding Format(ASFF) 정규화
- ML 기반 위험 점수 부여 및 상관 분석
지원 보안 표준
| 표준 | 통제 수 | 중점 영역 |
|---|---|---|
| AWS Foundational | 200+ | AWS 모범 사례 종합 |
| CIS Benchmark | 100+ | 업계 강화 구성 |
| PCI DSS | 50+ | 결제 카드 산업 컴플라이언스 |
| NIST CSF | 150+ | 사이버보안 프레임워크 정렬 |
자동화 워크플로
| 통합 | 트리거 | 액션 | 이점 |
|---|---|---|---|
| EventBridge | 새 결과 발생 | Lambda 실행 | 실시간 대응 |
| SNS | Critical 심각도 | 팀 알림 | 즉시 경보 |
| 서드파티 SIEM | 모든 결과 | SIEM 수집 | 중앙 로깅 |
| autobotAI 에이전트 | 패턴 탐지 | 지능형 교정 | 사전 예방적 보안 |
Amazon Inspector — 자동 취약점 관리
Amazon Inspector는 AWS 워크로드를 보안 취약점으로부터 지속적으로 보호하는 자동 취약점 관리 시스템입니다. 인프라와 애플리케이션을 끊임없이 스캔하고 지능형 교정 가이드를 제공합니다.
워크로드별 평가 방식
| 워크로드 | 평가 방식 | 스캔 트리거 | 커버 범위 |
|---|---|---|---|
| EC2 인스턴스 | SSM Agent 연동 | 상시 + 온디맨드 | OS 패키지 및 종속성 |
| ECR 이미지 | 레이어별 분석 | 푸시 + 지속 탐색 | 모든 컨테이너 레이어 |
| Lambda 함수 | 런타임 종속성 스캔 | 배포 + 주기적 | 애플리케이션 종속성 |
위험 점수 체계
Amazon Inspector의 위험 점수는 단순 CVSS 점수를 넘어 네트워크 노출도, 익스플로잇 가용성, 비즈니스 컨텍스트까지 반영합니다.
| 요소 | 중요도 | 설명 |
|---|---|---|
| 네트워크 도달성 | 높음 | 인터넷 접근 가능 여부 분석 |
| 익스플로잇 가용성 | 높음 | 실제 공격에 사용되는 익스플로잇 존재 여부 |
| CVSS 기본 점수 | 중간 | 업계 표준 심각도 |
| 비즈니스 컨텍스트 | 중간 | 자산 중요도 및 환경 |
Inspector 통합 포인트
| 통합 대상 | 기능 | 자동화 이점 |
|---|---|---|
| Security Hub | 결과 중앙 집계 | 통합 보안 운영 |
| Systems Manager | 자동 패치 관리 | 무인 교정 |
| EventBridge | 실시간 결과 알림 | 즉각적인 대응 트리거 |
| ECR/ECS | 컨테이너 배포 차단 | 기본 보안 파이프라인 |
| CI/CD 파이프라인 | 빌드 시 취약점 게이트 | 시프트-레프트 보안 |
4. 환경 준비
워크샵 환경을 구성하는 방법은 두 가지입니다. 상황에 맞는 옵션을 선택하세요.
| 옵션 | 적합한 경우 | 시간 | 비용 |
|---|---|---|---|
| 옵션 A: AWS 이벤트 | AWS 주관 이벤트 참석 | 5분 | 무료 |
| 옵션 B: 자체 계정 | 개인 AWS 계정에서 독립 실습 | 30분 | 약 $10–15/일 |
옵션 A — AWS 이벤트 (Workshop Studio)
- 이벤트 주최자로부터 로그인 URL을 받습니다.
- Email One-Time Password (OTP)를 클릭합니다.
- 이메일 주소를 입력하고 Send passcode를 클릭합니다.
- 받은 편지함에서 일회용 패스코드를 확인해 입력하고 Sign in을 클릭합니다.
- 이벤트 액세스 코드가 자동 입력되면 Next를 클릭합니다.
- 이용 약관에 동의하고 Join event를 클릭합니다.
- 왼쪽 메뉴에서 Open AWS Console을 클릭합니다.
옵션 B — 자체 AWS 계정 (Self-Paced)
| 리소스 | 예상 비용 |
|---|---|
| EC2 인스턴스 (2× t3.micro) | 약 $0.50/일 |
| RDS PostgreSQL (db.t3.micro) | 약 $0.50/일 |
| Aurora MySQL Serverless v2 | 약 $2–5/일 |
| NAT Gateway | 약 $1.50/일 |
| 기타 서비스 | 약 $1–2/일 |
| 합계 예상 | 약 $10–15/일 |
배포되는 리소스 구조
[ 보안 서비스 ]
GuardDuty | Security Hub | Inspector | AWS Config | Detective
| |
v v
[ 메인 VPC ] [ RDS VPC ]
Attacker EC2 (Red Team) ──► PostgreSQL (GuardDuty)
Vulnerable EC2 (SSH Target) MySQL (Security Hub)
[ JIT VPC (Module 2) ]
Aurora MySQL Serverless
(JIT 접근 데모)
단계별 설정 절차
Step 1. Amazon Bedrock 모델 접근 권한 활성화 (먼저 수행)
- Amazon Bedrock 콘솔을 엽니다.
- Manage model access를 클릭합니다.
- 다음 모델을 활성화합니다: Anthropic - Claude 3.5 Sonnet v2, Meta - Llama 3.1 70B Instruct
- Request model access를 클릭하고 상태가 Access granted로 바뀔 때까지 기다립니다.
Step 2. CloudFormation 스택 배포
- 워크샵 사이트에서
cfn-self-paced.yaml템플릿을 다운로드합니다. - AWS CloudFormation 콘솔을 엽니다.
- Create stack → With new resources (standard)를 클릭합니다.
- Upload a template file을 선택하고 다운로드한 파일을 업로드합니다.
- 스택 이름을
autobotai-security-workshop으로 입력합니다. - 검토 페이지 하단에서 IAM 리소스 생성 관련 확인란 2개를 모두 체크합니다.
- Create stack을 클릭합니다.
Step 3. 배포 완료 대기 (~25–30분)
CloudFormation 콘솔 → Events 탭에서 진행 상황을 모니터링합니다. 상태가 CREATE_COMPLETE로 바뀌면 완료입니다.
Step 4. 배포 확인
| 서비스 | 확인 방법 |
|---|---|
| GuardDuty | 콘솔에서 "Enabled" 상태 확인 |
| Security Hub | 콘솔에서 대시보드 표시 확인 |
| Inspector | 콘솔에서 "Activated" 상태 확인 |
| Config | 콘솔에서 레코더 실행 중 확인 |
Step 5. 보안 결과 생성 대기 (~15–30분)
- GuardDuty: 공격 시뮬레이션이 자동 실행되어 15–30분 내 결과 생성
- Security Hub: 컴플라이언스 검사가 즉시 실행되어 FAILED 결과 표시
- Inspector: EC2 취약점 스캔이 10–15분 내 완료
사용 후 정리 (자체 계정 전용)
- CloudFormation 콘솔을 엽니다.
autobotai-security-workshop스택을 선택합니다.- Delete를 클릭하고 삭제를 확인합니다.
- 완료까지 약 15–20분 소요됩니다.
autobotai-workshop-으로 시작하는 버킷을 찾아 모두 비운 후 다시 삭제를 시도하세요.5. Module 1: autobotAI 플랫폼 설정 및 통합
이 모듈에서는 autobotAI 계정을 만들고 AWS 서비스와 안전하게 통합해 지능형 보안 자동화를 활성화합니다.
| 섹션 | 내용 |
|---|---|
| 1.1 | autobotAI 계정 생성 및 MFA 설정, 쿠폰 코드로 구독 활성화 |
| 1.2 | AWS, Amazon Bedrock, Amazon SES 통합 설정 |
| 1.3 | GitHub 및 AbuseIPDB 통합, 전역 AI 설정 |
1.1 autobotAI 가입
Step 1. 가입 페이지 방문
https://autobot.live/app#/start에 접속합니다.
Step 2. 계정 생성
Sign Up을 클릭하고 다음 정보를 입력합니다.
- 이름
- 이메일 (공식 이메일만 허용)
- 전화번호
- 비밀번호 — 소문자, 대문자, 숫자, 특수문자 각 1개 이상, 8자 이상
Step 3. 이메일 인증 및 MFA 설정
- Create Account를 클릭합니다.
- 등록한 이메일로 받은 OTP를 입력합니다.
- 인증 완료 후 MFA(다단계 인증) 설정 화면이 표시됩니다.
- Zoho OneAuth, Authy, Google Authenticator 등의 앱으로 QR 코드를 스캔합니다.
- 앱에서 생성된 인증 코드를 입력하고 Confirm을 클릭합니다.
Step 4. 쿠폰 코드로 구독 활성화
- 로그인 후 구독 팝업이 표시되면 Apply Coupon Code를 클릭합니다.
- 10자리 쿠폰 코드를 대문자로 입력합니다:
AWSAISECWS - Apply를 클릭해 체험 구독을 활성화합니다.
1.2 AWS 통합 설정
세 가지 핵심 통합을 설정합니다: AWS(인프라), Amazon Bedrock(AI), Amazon SES(알림)
AWS 통합 추가
AWS 통합은 autobotAI가 AWS 서비스와 리소스에 안전하게 접근해 자동화를 실행하는 기반입니다.
- autobotAI 홈페이지에서 Integrations를 클릭합니다.
- + Add Integration → Cloud Service Providers → AWS를 선택합니다.
- 다음 정보를 입력합니다:
- Alias: 통합 이름
- Group Name: 통합 그룹 (예: aws)
- Permission Set: Full Access
- Acknowledgement 확인란 체크
- Next를 클릭합니다.
- Launch Stack을 클릭해 AWS 콘솔로 이동합니다.
- 리전을 Oregon (us-west-2)으로 변경합니다.
- 스크롤 내려 확인란을 체크하고 Create Stack을 클릭합니다.
- 스택 생성 완료 후 autobotAI 창으로 돌아와 5–10초 기다립니다.
- Test Connection 버튼이 나타나면 클릭합니다.
- Integrations 탭에서 AWS 통합이 Active 상태로 표시되면 완료입니다.
Amazon Bedrock 통합 추가
autobotAI가 Claude, Titan, Llama 등의 생성형 AI 모델을 사용해 AI 기반 보안 결정을 내릴 수 있게 합니다.
- + Add Integration → AI Services → Amazon Bedrock을 선택합니다.
- 다음 정보를 입력합니다:
- Alias: 통합 이름
- Group: bedrock
- Integration ID: 앞서 생성한 AWS 통합 선택
- Region: Oregon - us-west-2
- Create를 클릭합니다.
Amazon SES 통합 추가
autobotAI가 AI 생성 알림, 경보, 보고서를 이메일로 전송할 수 있게 합니다.
- + Add Integration → Notifications and Communications → Amazon SES를 선택합니다.
- 다음 정보를 입력합니다:
- Alias: 통합 이름
- Group: notifications
- Integration ID: 앞서 생성한 AWS 통합 선택
- Region: SES 서비스가 구성된 리전 선택
- Create를 클릭합니다.
Amazon SES 이메일 자격 증명 인증
- AWS 콘솔에서 SES 서비스를 엽니다 (통합에 사용한 리전과 동일).
- 왼쪽 패널에서 Identities를 선택합니다.
- Create Identity를 클릭합니다.
- Email Address를 선택하고 autobotAI에 사용한 이메일을 입력해 Create Identity를 클릭합니다.
- 추가 개인 이메일(Gmail 권장)에 대해서도 동일한 과정을 반복합니다.
- AWS에서 발송한 인증 이메일을 열고 인증 링크를 클릭합니다.
1.3 GitHub 및 AbuseIPDB 통합
GitHub 통합 추가
AI 기반 코드 분석, 자동 수정, Pull Request 생성을 위해 코드 저장소와 연결합니다. Amazon Inspector 코드 보안 봇에 필요합니다.
GitHub Personal Access Token 생성:
- https://github.com/settings/tokens에 접속합니다.
- Generate new token → Generate new token (classic)을 클릭합니다.
- 토큰 이름을 입력합니다.
- Select scopes에서 repo 권한을 체크합니다.
- 스크롤 내려 Generate token을 클릭합니다.
- 생성된 토큰을 안전한 곳에 복사해 저장합니다 (다시 볼 수 없습니다).
autobotAI에 GitHub 통합 추가:
- + Add Integration → Code Repository → GitHub를 선택합니다.
- 다음 정보를 입력합니다:
- Alias: 통합 이름
- Group: github
- GitHub Token: 복사한 토큰 붙여넣기
- Create를 클릭합니다.
AbuseIPDB 통합 추가
autobotAI 에이전트가 GuardDuty 교정 워크플로와 함께 악성 IP를 자동으로 확인하고 대응할 수 있게 합니다.
AbuseIPDB API 키 생성:
- https://www.abuseipdb.com/register?plan=free에서 무료 계정을 만듭니다.
- 인증 이메일을 확인하고 링크를 클릭합니다.
- 로그인 후 우측 상단 사용자명을 클릭하고 My API를 선택합니다.
- Create Key를 클릭해 이름을 입력하고 생성합니다.
- 생성된 API 키를 복사합니다.
autobotAI에 AbuseIPDB 통합 추가:
- + Add Integration → Security Tools → AbuseIPDB를 선택합니다.
- 다음 정보를 입력합니다:
- Alias: 통합 이름
- Group: threat-detection
- API Key: 복사한 API 키 붙여넣기
- Create를 클릭합니다.
전역 AI 설정
플랫폼 전체에서 사용할 기본 AI 모델을 설정합니다.
- autobotAI에서 설정(Slider) 아이콘을 클릭합니다 (벨 아이콘 옆).
- AI Configuration으로 이동합니다.
- 다음을 선택합니다:
- Integration Type: Amazon Bedrock
- Integration: 앞서 설정한 Bedrock 통합
- LLM Model: Meta Llama 70B
Module 1 완료 기준
| 통합 | 목적 | 확인 상태 |
|---|---|---|
| AWS | 인프라 접근 및 보안 서비스 통합 | Active 상태 확인 |
| Amazon Bedrock | AI 기반 위협 분석 및 대응 생성 | 생성 완료 확인 |
| Amazon SES | 자동 보안 알림 및 경보 발송 | 이메일 인증 완료 |
| GitHub | AI 기반 코드 분석 및 자동 보안 수정 | Active 상태 확인 |
| AbuseIPDB | 악성 IP 위협 인텔리전스 검증 | API 키 설정 확인 |
주요 문제 해결
| 문제 | 해결 방법 |
|---|---|
| OTP 이메일 미수신 | 스팸 폴더 확인. 2–3분 후 OTP 재요청 |
| MFA QR 코드 스캔 불가 | 인증 앱 카메라 권한 확인. 설정 키 수동 입력 시도 |
| 쿠폰 코드 오류 | 대문자로 입력: AWSAISECWS |
| CloudFormation 스택 생성 실패 | us-west-2 리전 확인, IAM 확인란 체크 여부 확인, Events 탭에서 오류 확인 |
| AWS 통합이 Active로 전환 안 됨 | 스택 생성 후 30–60초 대기, Integrations 페이지에서 수동으로 Test 클릭 |
| SES 인증 이메일 미수신 | 스팸 폴더 확인, 이메일 주소 정확성 확인 |
| GitHub 토큰 오류 | repo 스코프 선택 여부 확인, 토큰 만료 여부 확인 |
| Meta Llama 70B 모델 드롭다운에 없음 | Bedrock 콘솔 → Model access에서 Meta Llama 모델 접근 요청 |
마무리 및 다음 단계
Module 1이 완료되면 autobotAI 플랫폼이 AWS 보안 서비스 전체와 완전히 통합된 상태가 됩니다. 5가지 통합(AWS, Bedrock, SES, GitHub, AbuseIPDB)이 모두 활성화되어 있어야 다음 모듈에서 AI 에이전트를 배포할 준비가 됩니다.
다음 편에서는 Module 2: AI 기반 Just-In-Time 데이터베이스 접근 제어를 다룹니다. Aurora MySQL Serverless v2 인프라를 배포하고, AI가 위험을 평가해 임시 자격 증명을 발급하는 자동화 워크플로를 구성합니다.