클라우드 사고 대응 플레이북에 꼭 들어가야 할 최소 항목
클라우드 계정 침해가 의심될 때 토큰 폐기, 스냅샷 보존, 권한 격리를 어떤 순서로 할지 정리했다. Cloud Incident·Playbook·IR 관점에서 구성 요소의 역할부터 적용 순서, 운영 확인 항목, 복구 기준까지 단계별로 설명한다.
핵심 요약
클라우드 사고 플레이북은 “토큰을 끈다”는 한 줄이 아니라 증거 보존, 세션·키 제한, 권한 격리, 네트워크 차단, 깨끗한 재배포, 고객·규제 판단의 순서를 정한 실행 문서다. 침해된 계정으로 조사하지 말고 별도 비상 접근 경로를 준비하며, 로그·스냅샷·IAM·배포 이력을 변경 불가 계정에 보존해야 한다. 계정·프로젝트·리전별 명령과 책임자를 실제로 연습해야 한다.
클라우드 사고에서는 대응 속도와 증거 보존이 충돌한다. 의심 계정을 즉시 삭제하면 공격을 멈출 수 있지만 세션·정책·키 연결을 잃고, 인스턴스를 종료하면 악성 프로세스와 네트워크 흔적이 사라질 수 있다. 반대로 조사만 하며 기다리면 공격자가 권한을 확대하거나 데이터를 외부로 보낼 수 있다.
플레이북의 목적은 모든 사고를 같은 순서로 처리하는 것이 아니라, 사건 유형과 위험에 따라 어떤 증거를 먼저 확보하고 어떤 통제를 즉시 적용할지 사전에 결정하는 것이다. 공급자 콘솔 화면이 아니라 조직의 실제 계정·프로젝트·구독, 로그 저장소, IAM 구조, 온콜 연락처가 들어 있어야 한다.
발동 조건과 초기 등급
다음 신호는 플레이북을 시작할 후보가 된다.
- 평소 사용하지 않는 지역·네트워크·기기에서 고권한 로그인
- 새 액세스 키, 서비스 계정, 역할 신뢰 정책, 연합 인증 공급자 생성
- 감사 로그 중지·보존 축소·저장소 정책 변경
- 대량 객체 읽기·내보내기·스냅샷 공유·비정상 KMS 복호화
- 외부 공개 방화벽·스토리지·데이터베이스 설정 변경
- CI/CD 자격 증명으로 운영 자원 변경 또는 새 이미지 배포
- 비용·GPU·컴퓨팅·네트워크 전송의 비정상 증가
- 미끼 자격 증명이나 존재하지 않는 역할 사용
초기 등급은 “경보 심각도”가 아니라 잠재 영향으로 정한다. 고권한 주체, 고객 데이터, 로그 삭제 능력, 여러 계정 접근, 지속성 생성 여부가 있으면 빠르게 상향한다.
사고 지휘와 비상 접근
최소 역할을 미리 정한다.
| 역할 | 책임 | 준비할 것 |
|---|---|---|
| 사고 지휘 | 우선순위·승인·타임라인 조정 | 대체 연락처, 의사결정 기준 |
| 클라우드 대응 | IAM·네트워크·리소스 격리 | 계정별 읽기·격리 권한 |
| 증거 담당 | 로그·스냅샷·메타데이터 보존 | 변경 불가 증거 계정과 절차 |
| 서비스 소유자 | 업무 영향·안전한 복구 판단 | 의존성, RTO/RPO, 롤백 방법 |
| 커뮤니케이션 | 고객·경영진·파트너 대응 | 승인된 템플릿과 연락망 |
| 법무·준법 | 통지·보존·계약 의무 판단 | 관할·계약별 에스컬레이션 |
침해가 의심되는 SSO와 같은 경로로만 대응할 수 있으면 공격자가 대응자를 막을 수 있다. 하드웨어 기반 강한 인증, 별도 보관된 비상 계정, 짧은 승격, 사용 즉시 경보, 정기 테스트를 준비한다. 비상 계정을 일상 관리에 쓰지 않는다.
첫 15분: 상황을 바꾸기 전에 기록한다
가능한 범위에서 다음을 먼저 확보한다.
- 경보 원문, 탐지 시각, 계정·프로젝트·리전, 최초 주체
- 활성 세션·토큰·키·역할과 최근 인증 이벤트
- IAM 정책, 역할 신뢰, 그룹·연합 공급자, 조직 정책의 현재 상태
- 감사 로그 설정, 저장 목적지, 최근 변경과 누락 구간
- 의심 리소스의 ID, 태그, 이미지·템플릿·사용자 데이터
- 네트워크 흐름, 방화벽·보안그룹, DNS, 로드밸런서 변경
- 스토리지·스냅샷·백업의 공유·복사·삭제 이벤트
- CI/CD 실행, 배포 산출물 다이제스트, 비밀 접근 기록
명령 출력과 콘솔 화면에는 수집 시각, 수집자, 계정, 도구 버전을 붙인다. 로컬 노트북 한 곳에만 저장하지 말고 증거 전용 위치에 복제한다.
격리 순서를 사건 유형별로 정한다
사용자 또는 관리자 계정 침해
- 의심 세션과 토큰을 폐기한다.
- 계정의 신규 인증을 제한하고 강한 재인증을 요구한다.
- 공격자가 만든 키·역할·연합 신뢰·자동화 규칙을 식별한다.
- 계정이 접근한 다른 프로젝트와 비클라우드 SaaS로 범위를 확장한다.
- 깨끗한 관리 계정으로 정책을 복구한다.
워크로드 자격 증명 침해
- 해당 워크로드의 권한을 임시 최소화하거나 격리 역할로 교체한다.
- 인스턴스·컨테이너의 네트워크 외부 통신을 제한한다.
- 메모리·디스크·런타임 증거 필요성을 판단하고 스냅샷을 만든다.
- 비밀값을 회전하되 의존 서비스의 중단과 순서를 관리한다.
- 수정된 골든 이미지와 IaC에서 새 워크로드를 배포한다.
데이터 접근·유출 의심
- 추가 읽기·복사·공유를 제한한다.
- 객체·쿼리·복호화·전송 로그를 보존한다.
- 데이터 분류, 고객·테넌트, 기간, 필드 범위를 계산한다.
- 키 폐기만으로 이미 복사된 데이터를 회수할 수 없음을 고려한다.
- 법무·준법 담당자가 통지·보고 여부와 기한을 판단한다.
무조건 리소스를 삭제하는 대신 “접근을 끊고 상태를 보존한 뒤 깨끗한 자원으로 교체”하는 전략이 조사와 복구를 함께 만족시키는 경우가 많다.
반드시 보존할 증거
| 영역 | 최소 증거 |
|---|---|
| IAM | 로그인, 토큰 발급, 키 생성·사용, 정책·역할·연합 변경 |
| 제어면 | 리소스 생성·수정·삭제, 감사 설정 변경 |
| 네트워크 | 흐름 로그, 방화벽·라우팅·DNS·프록시 기록 |
| 컴퓨팅 | 이미지·다이제스트, 프로세스·런타임, 디스크·메모리 스냅샷 필요성 |
| 데이터 | 객체 접근, 쿼리, 내보내기, 스냅샷 공유, KMS 사용 |
| CI/CD | 워크플로, 실행자, 비밀 접근, 산출물 프로비넌스, 배포 승인 |
| 비용 | 새 리소스, 지역별 사용량, 외부 전송, 결제 변경 |
로그 수집 구조와 필수 필드는 보안 로그 파이프라인의 최소 요건을 기준으로 미리 갖춘다. 사고가 난 뒤 비활성화된 로그를 소급 생성할 수는 없다.
지속성과 우회 경로를 찾는다
토큰 하나만 폐기하고 종료하면 재침해될 수 있다. 다음 항목을 점검한다.
- 새 사용자·서비스 계정·액세스 키·앱 비밀번호
- 역할 신뢰 정책과 외부 계정 위임
- SSO·SAML·OIDC 공급자와 인증서 변경
- 스케줄러·서버리스 함수·시작 스크립트·웹훅
- CI 러너·배포 키·레지스트리 자격 증명
- 스냅샷·이미지·템플릿·백업의 악성 변경
- 감사 로그 제외 필터와 별도 숨은 리전
- DNS·메일·도메인·지원 계정 같은 클라우드 밖 지속성
빌드 산출물 신뢰가 의심되면 SLSA 프로비넌스로 빌드 산출물 신뢰를 증명하는 법의 다이제스트·빌더 검증으로 배포 범위를 계산한다.
실패 모드와 탐지 신호
| 실패 모드 | 보이는 증상 | 확인할 항목 |
|---|---|---|
| 침해 계정으로 조사 | 명령·증거가 공격자에게 노출되거나 차단됨 | 별도 비상 접근 경로가 있는가 |
| 토큰만 폐기 | 새 역할·키·연합 신원으로 재접속 | 지속성 전체 체크리스트가 있는가 |
| 인스턴스 즉시 삭제 | 프로세스·디스크 증거와 타임라인 유실 | 격리·스냅샷·교체 순서를 정했는가 |
| 로그가 같은 계정에만 존재 | 공격자가 로그 삭제·보존 축소 | 중앙 변경 불가 계정에 복제하는가 |
| 무분별한 전체 키 회전 | 서비스 중단과 미완료 회전 발생 | 의존성 순서와 완료 검증이 있는가 |
| 수동 콘솔 대응만 존재 | 조치 누락·시간 지연·증거 불일치 | 계정별 자동화와 명령 검증이 있는가 |
| 복구 후 원인 미제거 | 취약 IaC·이미지로 다시 배포 | 깨끗한 소스와 구성에서 재배포하는가 |
복구 완료 기준
“서비스가 다시 켜졌다”가 완료가 아니다.
- 침해된 신원·세션·키·지속성 경로가 폐기됐다.
- 영향 리소스는 신뢰 가능한 소스·이미지·구성으로 교체됐다.
- 감사·네트워크·데이터 로그가 정상 수집된다.
- 공격 경로와 영향 범위를 설명할 타임라인이 있다.
- 임시 방화벽·권한·예외에 소유자와 만료가 있다.
- 고객·파트너·규제기관 통지 판단이 기록됐다.
- 탐지 규칙과 예방 통제가 배포되고 종단 테스트됐다.
- 비용·성능·업무 데이터의 이상이 기준선으로 돌아왔다.
플레이북 검증 훈련
분기 또는 중요 구조 변경 뒤 작은 테이블톱과 기술 훈련을 한다.
- 고권한 토큰 유출, 공개 스토리지, CI 키 침해 등 한 시나리오를 선택한다.
- 실제 계정·리전·명령·연락망을 사용하되 비운영 자원에서 실행한다.
- 비상 계정 로그인, 로그 보존, 네트워크 격리, 키 회전을 직접 수행한다.
- 첫 판단, 격리, 범위 계산, 복구까지 시간을 측정한다.
- 문서와 현실이 다른 부분을 즉시 수정한다.
미끼 자격 증명으로 훈련 신호를 만들고 싶다면 허니팟과 디셉션 기술의 격리 원칙을 따른다.
참고 기준
- NIST SP 800-61 Rev. 3
- AWS Security Incident Response Guide
- Google Cloud incident response
- Microsoft Azure incident response
최종 판단
클라우드 사고 플레이북은 공급자 기능 목록이 아니라 조직의 실제 계정과 책임 경계를 따라 움직이는 실행 문서다. 별도 비상 접근, 변경 불가 증거 보존, 사건 유형별 격리, 지속성 탐색, 깨끗한 재배포가 연결돼야 한다. 가장 먼저 할 일은 고권한 토큰 침해 시나리오로 비운영 훈련을 열어 15분 안에 어떤 로그를 확보하고 어떤 세션을 끊을지 실제 명령으로 검증하는 것이다.
전체 댓글 0개