Amazon Bedrock 보안 자동화 워크샵 (4편)
— Security Hub 에이전틱 자동 교정

1. 모듈 개요

이 모듈은 반응형 보안 관리에서 에이전틱 워크플로를 사용한 선제적·자동화 방어로의 전환을 다룹니다. AWS Security Hub 발견에 대한 자동화된 컴플라이언스 교정에 집중하며, Amazon Bedrock으로 구동되는 autobotAI의 에이전틱 기능을 활용합니다. Security Hub를 통해 심각한 보안 미설정을 식별하고 AWS 환경 전반에 걸쳐 지속적인 컴플라이언스를 유지하는 지능형 자동 수정을 구현합니다.

항목	내용
리전	us-west-2 (오레곤)
예상 시간	약 45분
섹션	4.1 Security Hub 발견 이해 (20분) + 4.2 자동 교정 구현 (25분)

이 모듈에서 배우는 것

• Security Hub 발견을 탐색해 심각한 보안 미설정 식별
• 일반적인 보안 발견의 비즈니스 영향과 위험 수준 이해
• 보안 문제를 대규모로 자동 수정하는 autobotAI 교정 워크플로 실행
• Amazon Bedrock 파운데이션 모델로 구동되는 지능형 교정 설정
• 컴플라이언스 점수 개선을 통한 교정 효과 검증
• 컴플라이언스 트렌드 모니터링으로 시스템적 보안 문제 식별
• 감사 및 규제 요건을 위한 컴플라이언스 보고서 생성
• 미래 보안 미설정을 방지하는 예방적 제어 구현

2. 에이전틱 교정이 중요한 이유

장점	설명
속도 (Speed)	교정 시간을 수 시간에서 수 초로 단축
일관성 (Consistency)	표준화된 워크플로로 인적 오류 제거
규모 (Scale)	수백 개 리소스에 동시 수정 적용
지능 (Intelligence)	환경을 이해하는 컨텍스트 인식 교정

3. 아키텍처 개요

Security Hub 교정 아키텍처는 6개 레이어로 구성됩니다.

레이어	구성 요소	역할
탐지 레이어	AWS Security Hub	보안 표준에 대해 AWS 리소스를 지속 모니터링. GuardDuty·Inspector·Config 등에서 발견 집계. 비준수 리소스에 대한 발견 생성
AI 분석 레이어	autobotAI + Amazon Bedrock	Bedrock 파운데이션 모델로 Security Hub 발견 분석. 발견 심각도 및 비즈니스 영향 AI 기반 평가. Bedrock 추론으로 적절한 교정 액션 지능적 결정. 수정 적용 전 컨텍스트 기반 위험 평가
교정 레이어	autobotAI + AWS APIs	컴플라이언스 수정 자동 실행. 보안 그룹 수정 및 접근 제어 업데이트. 데이터 서비스 암호화 활성화. EC2·IAM 등 다양한 서비스 구성 변경
승인 레이어	Amazon SES + autobotAI	고위험 변경에 대한 Human-in-the-loop. SES로 상세 분석이 포함된 승인 요청 발송. 승인 결정 감사 추적
알림 레이어	Amazon SES	보안팀에 상세 경보 발송. AI 분석 결과 및 취해진 액션 포함. 완전한 교정 요약 제공
감사 레이어	CloudWatch + CloudTrail	CloudWatch Logs로 포괄적인 감사 추적 유지. CloudTrail로 모든 API 활동 로깅. 모든 교정 액션에 대한 완전한 가시성 확보

4. 4.1 Security Hub 발견 이해

AWS Security Hub는 여러 AWS 서비스에 걸쳐 지속적인 모니터링과 컴플라이언스 평가를 제공해 공격자가 악용하기 전에 보안 미설정을 식별합니다.

Security Hub 컴플라이언스 모니터링

Security Hub는 다음 산업 표준에 대해 자동화된 지속적인 보안 검사를 수행합니다.

• AWS Foundational Security Best Practices (FSBP)
• CIS AWS Foundations Benchmark
• PCI DSS
• NIST 프레임워크

Infrastructure Security — EC2 & VPC

발견	설명	심각도
Security Groups - Remote Admin Ports	SSH(22), RDP(3389)에 대한 무제한 접근 (0.0.0.0/0)	High
Security Groups - High Risk Ports	데이터베이스 및 관리자 포트에 대한 무제한 접근	High
Security Groups - Authorized Ports	비인가 포트에 대한 퍼블릭 접근	Medium-High
[EC2.2] VPC Default Security Groups	기본 보안 그룹이 인바운드/아웃바운드 트래픽 허용	Medium-High
[EC2.8] IMDSv2	인스턴스가 Instance Metadata Service v2를 사용하지 않음	High
[EC2.15] Public IP Auto-Assignment	서브넷이 퍼블릭 IP를 자동 할당	Medium

Identity & Access Management

발견	설명	심각도
Suspicious IAM Activity	GuardDuty가 비정상적인 IAM 사용자 행동 탐지	Medium-High
[IAM.7] Password Policies	취약한 IAM 패스워드 정책 설정	Medium

Data Protection

발견	설명	심각도
[S3.1] S3 Public Access	S3 버킷에 퍼블릭 접근 활성화	Critical
[SNS.2] SNS Encryption	SNS 토픽이 저장 시 암호화되지 않음	Medium
[SQS.1] SQS Encryption	SQS 큐에 서버 측 암호화 없음	Medium
[DynamoDB.6] Deletion Protection	DynamoDB 테이블에 삭제 방지 기능 없음	Medium

5. Security Hub 콘솔에서 발견 확인

Step 1. Security Hub 콘솔로 이동

AWS 계정에서 Security Hub CSPM 서비스를 엽니다. Security Hub는 이미 활성화되어 있으며 Summary 페이지로 이동합니다.

Step 2. 발견(Findings) 보기

왼쪽 메뉴에서 Findings를 클릭합니다. 다양한 AWS 서비스에서 집계된 모든 보안 발견을 볼 수 있습니다.

Step 3. 심각도별 필터링

즉각적인 주의가 필요한 심각하고 높은 심각도의 발견에 집중하기 위해 심각도 필터를 사용합니다.

심각도	의미
Critical	즉각적인 액션 필요
High	신속한 주의 필요
Medium	단기적으로 처리해야 함
Low	정기 유지보수 시 처리

Step 4. 발견 세부 정보 검토

발견을 클릭하면 다음 세부 정보를 확인할 수 있습니다.

• Resource Details: 어떤 AWS 리소스가 영향받는지
• Compliance Status: 어떤 보안 표준이 위반됐는지
• Remediation Steps: AWS 권장 수정 방법
• Related Findings: 동일 리소스에 영향을 미치는 다른 발견

Step 5. 컴플라이언스 점수 이해

Security Hub는 각 활성화된 표준에 대한 컴플라이언스 점수를 제공합니다: AWS Foundational Security Best Practices, CIS AWS Foundations Benchmark, PCI DSS, NIST 프레임워크.

주요 관찰 사항

관찰 항목	의미
발견 심각도	위험 및 높은 심각도 발견 우선순위화
리소스 유형	유사한 리소스 전반의 패턴 식별
컴플라이언스 프레임워크	어떤 표준이 위반됐는지 파악
교정 복잡도	일부 수정은 간단하고 일부는 아키텍처 변경 필요
비즈니스 영향	수정 적용 전 운영 영향 고려
발견 나이	오래된 발견은 시스템적 문제를 나타낼 수 있음
반복성	반복적으로 실패하는 검사는 예방적 제어 필요를 시사

6. Security Hub 보안 모범 사례

설정 모범 사례

1. 모든 표준 활성화: 포괄적인 커버리지를 위해 관련 보안 표준 모두 활성화
2. 멀티 계정 설정: AWS Organizations를 사용해 계정 전반에서 발견 집계
3. 커스텀 액션: 일반적인 발견 유형에 대한 자동화된 대응 설정
4. 통합: 워크플로 통합을 위해 SIEM 및 티켓팅 시스템과 연결
5. 정기 검토: 발견 및 컴플라이언스 점수의 정기적인 검토 일정 수립

교정 모범 사례

1. 위험 우선순위: 위험 및 높은 심각도 발견 먼저 처리
2. 변경 테스트: 비프로덕션 환경에서 수정 검증
3. 액션 문서화: 모든 교정 활동의 감사 추적 유지
4. 가능한 경우 자동화: 반복적이고 저위험 수정에 자동화 활용
5. 효과 모니터링: 시간 경과에 따른 컴플라이언스 점수 개선 추적

7. 4.2 autobotAI로 자동화된 교정 구현

이 봇은 autobotAI의 Agentic AI 프레임워크를 활용해 AWS Security Hub 발견을 자율적으로 분석·평가·교정합니다. Amazon Bedrock을 통해 AWS 네이티브 보안 데이터와 AI 추론을 결합해 지능형 트리아지를 수행하고, 교정 작업을 실행하며, 구조화된 알림을 발송해 완전히 자율적이고 설명 가능한 보안 대응 워크플로를 구현합니다.

봇 핵심 기능

기능	설명
지능형 분석	Amazon Bedrock의 Claude Sonnet v2가 발견 컨텍스트 및 비즈니스 영향 분석
자동 교정	인적 개입 없이 비준수 리소스에 직접 수정 적용
위험 평가	교정 위험 및 운영 영향의 AI 기반 평가
승인 워크플로	고위험 변경에 대한 Human-in-the-loop
감사 추적	컴플라이언스를 위한 모든 액션 완전 문서화
알림 시스템	Amazon SES를 통한 실시간 경보

교정 대상 발견 유형 (12가지)

봇 가져오기 및 실행

Step 1. 라이브러리에서 봇 가져오기

1. autobotAI 라이브러리를 방문합니다.
2. "AWS Security Hub Agentic Remediation"으로 검색합니다.
3. 봇 카드를 클릭하고 Import를 선택합니다.

Step 2. 봇 설정

Step 3. "Threat Analyzer Agent" 노드 설정

이 노드는 발견의 상황적 분석을 위해 Amazon Bedrock (Anthropic Claude Sonnet v2)을 사용합니다.

항목	설정 값
Integration Type	Amazon Bedrock
Integration Account	이전에 추가한 Amazon Bedrock 통합 선택
AI Model	global.anthropic.claude-sonnet-4-5-20250929-v1:0
Agent Tools	여러 AWS 또는 GitHub 통합이 있는 경우 이 워크플로에 필요한 특정 통합 선택. 하나만 있다면 기본값 유지

Step 4. "Approval" 노드 설정

이 노드는 중요한 액션 실행 전에 사람 또는 자동화된 승인을 관리합니다.

항목	설정 값
Recipients (Approvers)	Approvers 섹션에서 SES 인증된 이메일 신원을 Static 옵션으로 선택
Service	AWS SES
Connection	이전에 설정한 Amazon SES 통합 선택

Step 5. "Remediation Agent" 노드 설정

이 노드는 분석된 발견과 승인 결과를 기반으로 실제 교정 액션을 수행합니다.

항목	설정 값
Integration Type	Amazon Bedrock
Integration Account	Amazon Bedrock 계정 선택
AI Model	global.anthropic.claude-sonnet-4-5-20250929-v1:0
Agent Tools	여러 통합이 있는 경우 각 도구에 올바른 AWS 통합 할당

Step 6. "Notification" 노드 설정

이 워크플로에는 분석 및 교정 진행 상황을 알려주는 다수의 알림 노드가 포함됩니다. 각 알림 노드를 다음과 같이 설정합니다.

항목	설정 값
Recipients	필드 우측 상단에서 Events 선택 후 SES에서 인증한 이메일 주소 입력 및 Enter
Service	Amazon SES
Connection	Amazon SES 통합

Step 7. 봇 저장 및 실행

1. Save를 클릭해 모든 설정 변경사항을 저장합니다.
2. Run을 클릭해 보안 교정 봇을 실행합니다.
3. 봇이 다음 작업을 순서대로 수행합니다:
   • 모든 Security Hub 발견 검색
   • 각 발견의 심각도 및 영향 분석
   • 교정 액션에 대한 승인 요청
   • 승인된 교정 실행
   • 결과와 함께 알림 발송

8. 교정 워크플로 5단계

[Phase 1: 발견 수집 (< 2분)]
지정된 리전에서 모든 활성 Security Hub 발견 검색
필터링 기준:
  - "FAILED" 컴플라이언스 상태의 발견
  - 워크플로에 구성된 지원 발견 유형
  - 자동 교정 가능한 리소스
    │
    ▼
[Phase 2: AI 분석 (2-5분)]
Amazon Bedrock Claude Sonnet v2가 각 발견 분석:
  - 심각도 및 비즈니스 영향 평가
  - 교정 복잡도 평가
  - 수정 적용 잠재적 위험 식별
  - 위험 및 영향 기반 발견 우선순위화
  - 교정 권장 사항 생성
    │
    ▼
[Phase 3: 승인 요청 (가변 — 고위험 변경 시)]
봇이 Amazon SES를 통해 상세 분석 발송
  - 발견 세부 정보, 제안된 수정, 위험 평가 포함
  - 진행 전 사람 승인 대기
  - 감사 추적을 위한 승인 결정 로깅
    │
    ▼
[Phase 4: 자동 교정 (1-3분)]
Remediation Agent가 승인된 수정 실행:
  - AWS API를 사용해 변경 적용
  - 성공적인 교정 검증
  - Security Hub 발견 상태 업데이트
  - 필요 시 오류 처리 및 롤백
    │
    ▼
[Phase 5: 검증 및 알림 (1-2분)]
봇이 교정 성공 여부 검증:
  - 발견 상태가 "PASSED"로 변경됐는지 확인
  - 결과와 함께 완료 알림 발송
  - 컴플라이언스 점수 업데이트
  - 감사 문서 생성
          

9. Module 4 완료 기준

완료 항목	확인
Security Hub 콘솔에서 발견 검토 완료	us-west-2에서 Findings 페이지 접근 및 확인
다양한 발견 유형 및 심각도 수준 이해	각 발견 유형의 의미 파악
Security Hub 교정 봇 라이브러리에서 가져오기 및 설정 완료	Threat Analyzer Agent, Approval, Remediation Agent 노드 구성
자동 교정 워크플로 실행	봇 Run 실행 및 완료 확인
이메일로 교정 액션 승인	SES 이메일에서 승인 요청 처리
Security Hub에서 컴플라이언스 개선 확인	발견 상태가 PASSED로 변경됐는지 확인

주요 문제 해결

문제	해결 방법
봇이 Security Hub 발견을 찾지 못함	리전이 us-west-2로 설정됐는지 확인. Security Hub에 FAILED 발견이 있는지 확인. AWS 통합에 적절한 권한이 있는지 확인
승인 이메일이 수신되지 않음	스팸 폴더 확인. SES 이메일 신원이 인증됐는지 확인. Approval 노드 설정 확인
권한 오류로 교정 실패	AWS 통합에 필요한 IAM 권한이 있는지 확인. 리소스가 존재하고 접근 가능한지 확인. 실행 로그에서 특정 오류 메시지 확인

다음 단계

Module 4에서 AWS Security Hub의 컴플라이언스 발견과 autobotAI의 에이전틱 교정을 연동해 EC2·IAM·S3·SNS·SQS·DynamoDB에 걸친 보안 미설정을 AI가 자율적으로 교정하는 환경을 구성했습니다.

다음 편에서는 Module 5: Amazon Inspector와 autobotAI를 이용한 코드 저장소 취약점 자동 수정을 다룹니다. Inspector Code Security로 코드 취약점을 탐지하고, AI가 자동으로 Pull Request를 생성해 수정하는 방법을 살펴봅니다.