※ 본 가이드는 법적 강제력 또는 법적 효력이 존재하지 않습니다.

※ 본 가이드는 특정 기관이나 기업의 공식 입장을 나타내지 않으며, KITRI 화이트햇 스쿨 3기 구름수비대 팀의 경험을 바탕으로 작성된 것 입니다.

※ 본 가이드의 적용 결과로 인해 발생할 수 있는 서비스 장애나 비용 증가 등에 대해 대해 구름수비대 팀은 책임을 지지 않습니다. 실제 환경 반영 전 충분한 테스트 및 영향 분석을 진행해주시기 바랍니다.

목차

1. 가이드 개요

이 가이드는 기업의 AWS 클라우드 환경에서 보안 취약점을 점검하고, 국내 컴플라이언스 기준(ISMS-P, 개인정보보호법 등)을 준수하기 위한 자동화 시스템 구축 방법을 설명합니다. Prowler와 Cloud Custodian을 활용해 취약점 점검과 실시간 모니터링을 자동화하며, 비기술적 이해관계자도 이해할 수 있도록 상세히 안내합니다.

대상 독자

• 기술 팀원: DevOps, 보안 엔지니어
• 관리자 및 비기술적 이해관계자: 컴플라이언스 담당자
• 외부 감사자: ISMS-P 인증 심사원
• 학생: 클라우드 보안·컴플라이언스 학습자

목표

• 보안 취약점 식별: Prowler를 사용해 AWS 환경의 보안 취약점을 자동으로 점검
• 컴플라이언스 준수: 국내 규제(ISMS-P, 개인정보보호법)에 맞춘 취약점 조치 자동화
• 실시간 모니터링: Cloud Custodian으로 AWS 컴플라이언스 상태 지속 관리
• 효율성 향상: 수동 점검 대신 자동화로 시간과 비용 절감

주요 도구

• Prowler: AWS 보안 점검 오픈소스 도구. CIS, GDPR, ISMS-P 등 컴플라이언스 프레임워크 지원
• CloudCustodian: AWS 리소스 관리 및 컴플라이언스 정책 실행 도구
• AWS 서비스: Lambda, EventBridge, S3, CloudTrail, SQS, IAM, Access Analyzer

문의

• 잘못된 내용 또는 추가하면 좋을 내용은 언제든 메일 부탁 드립니다.

가이드 업데이트 내역

• 업데이트 예정

2. 사용 가이드

Prowler 사용 가이드

CloudCustodian 사용 가이드

[**isms-p-aws-custodian 사용 가이드**](https://shimmer-ease-6f0.notion.site/isms-p-aws-custodian-240c86faa56f8074a5f1d0a4378d6f24)

3. 화이트햇 스쿨 3기 프로젝트 소개 - 팀 구름수비대

프로젝트 배경

클라우드 시장이 빠르게 성장하면서 클라우드 환경을 대상으로 하는 보안 위협 역시 증가하고 있습니다. 많은 기업이 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 받고 있지만, 수동으로 모든 보안 규정을 점검하고 유지하는 데는 많은 시간과 비용이 소요되며, 이로 인해 발생하는 관리 부실은 대규모 데이터 유출 사고로 이어질 수 있습니다. 본 프로젝트는 이러한 문제점을 해결하기 위해 AWS 환경의 보안 컴플라이언스 점검 및 대응을 자동화하는 시스템을 구축하는 것을 목표로 합니다.