Amazon Web Services 한국 블로그

Amazon GuardDuty, Amazon S3를 위한 맬웨어 방지 기능 출시

Amazon S3 버킷에 악성 파일 업로드를 탐지하는 GuardDuty 맬웨어 방지 기능을 정식 출시합니다. 이전에는 GuardDuty 맬웨어 방지가 에이전트 없는 스캔 기능을 제공하여 Amazon Elastic Compute Cloud(Amazon EC2) 및 컨테이너 워크로드에 연결된 Amazon Elastic Block Store(Amazon EBS) 볼륨에서 악성 파일을 식별했습니다.

이제 S3 버킷에 업로드된 새 객체에 맬웨어가 있는지 지속적으로 평가하고 발견된 맬웨어를 격리하거나 제거하기 위한 조치를 취할 수 있습니다. Amazon GuardDuty 맬웨어 방지는 Amazon S3의 규모, 지연 시간 및 복원력 프로파일 저하 없이 여러 Amazon Web Services(AWS) 개발 맬웨어 검사 엔진과 업계 최고의 타사 맬웨어 검색 엔진을 사용하여 맬웨어 탐지 기능을 제공합니다.

Amazon S3용 GuardDuty 맬웨어 방지를 사용하면 지정된 S3 버킷에 내장된 맬웨어 및 바이러스 방지 기능을 통해 대규모 악성 파일 평가를 자동화하는 데 따른 운영 복잡성과 비용 오버헤드를 제거할 수 있습니다. 맬웨어 분석에 사용되는 기존의 많은 도구와 달리 GuardDuty의 이 관리형 솔루션을 사용하면 맬웨어 분석을 수행하려는 각 AWS 계정 및 AWS 리전에서 자체 격리된 데이터 파이프라인 또는 컴퓨팅 인프라를 관리할 필요가 없습니다.

개발팀과 보안팀이 협력하여 신뢰할 수 없는 주체가 새로 업로드한 데이터를 대상으로 맬웨어 검사를 받아야 하는 특정 버킷에 대해 조직 전체에서 맬웨어 방지를 구성하고 감독할 수 있습니다. GuardDuty에서 객체 태그 지정과 같은 스캔 후 작업을 구성하여 다운스트림 처리를 알리거나 Amazon EventBridge를 통해 제공된 스캔 상태 정보를 사용하여 악의적으로 업로드된 객체를 격리할 수 있습니다.

S3 버킷용 GuardDuty 맬웨어 방지 시작하기
시작하려면 GuardDuty 콘솔에서 S3용 맬웨어 방지를 선택하고 활성화를 선택합니다.

S3 버킷 이름을 입력하거나 S3 찾아보기를 선택하여 현재 선택한 리전에 속한 버킷 목록에서 S3 버킷 이름을 선택합니다. GuardDuty가 선택한 버킷에 새로 업로드된 모든 객체를 검사하도록 S3 버킷의 모든 객체를 선택할 수 있습니다. 또는 특정 접두사에 속하는 새로 업로드된 객체를 검사하려는 경우 특정 접두사로 시작하는 객체를 선택할 수도 있습니다.

새로 업로드된 S3 객체를 스캔한 후 GuardDuty는 키를 GuardDutyMalwareScanStatus로, 값을 스캔 상태로 사용하여 사전 정의된 태그를 추가할 수 있습니다.

  • NO_THREATS_FOUND – 스캔된 객체에서 위협이 발견되지 않았습니다.
  • THREATS_FOUND – 스캔 중 잠재적인 위협이 탐지되었습니다.
  • UNSUPPORTED – GuardDuty에서 크기 때문에 이 객체를 스캔할 수 없습니다.
  • ACCESS_DENIED – GuardDuty에서 객체에 액세스할 수 없습니다. 권한을 확인하세요.
  • FAILED – GuardDuty에서 객체를 스캔할 수 없습니다.

GuardDuty가 스캔된 S3 객체에 태그를 추가하도록 하려면 객체에 태그 지정을 선택합니다. 태그를 사용하면 맬웨어 스캔이 완료되기 전에 객체에 액세스하지 못하도록 하고 애플리케이션에서 악성 객체에 액세스하지 못하도록 하는 정책을 생성할 수 있습니다.

이제 먼저 필요한 권한이 포함된 AWS Identity and Access Management(IAM) 역할을 생성하고 연결해야 합니다.

이러한 권한을 추가하려면 권한 보기를 선택하고 정책 템플릿과 신뢰 관계 템플릿을 복사합니다. 이러한 템플릿에는 버킷 및 AWS 계정과 관련된 적절한 값으로 바꿔야 하는 자리 표시자 값이 포함되어 있습니다. AWS KMS 키 ID의 자리 표시자 값도 바꿔야 합니다.

이제 권한 연결을 선택합니다. 그러면 새 탭에 IAM 콘솔이 열립니다. 새 IAM 역할을 생성하거나 복사한 템플릿의 권한으로 기존 IAM 역할을 업데이트하도록 선택할 수 있습니다. IAM 역할을 미리 생성하거나 업데이트하려면 AWS 설명서의 사전 조건 – IAM PassRole 정책 추가를 참조하세요.

마지막으로 IAM 콘솔이 열려 있는 GuardDuty 브라우저 탭으로 돌아가서 생성하거나 업데이트한 IAM 역할을 선택하고 활성화를 선택합니다.

이제 이 보호된 버킷의 보호 상태 열에 활성이 표시됩니다.

스캔된 S3 버킷과 관련하여 생성된 GuardDuty 조사 결과를 보려면 모든 S3 맬웨어 조사 결과 보기를 선택합니다. 조사 결과 유형이 S3Object:S3/MaliciousFile인 경우 GuardDuty는 나열된 S3 객체를 악성으로 탐지한 것입니다. 조사 결과 세부 정보 패널에서 탐지된 위협 섹션을 선택하고 권장 문제 해결 단계를 따릅니다. 자세히 알아보려면 AWS 설명서의 S3 조사 결과에 대한 맬웨어 방지 수정을 참조하세요.

주요 사항
AWS 계정에 대해 GuardDuty를 활성화하지 않아도 S3 버킷에 대해 GuardDuty 맬웨어 방지를 설정할 수 있습니다. 그러나 계정에서 GuardDuty를 활성화하면 AWS CloudTrail 관리 이벤트, Amazon Virtual Private Cloud(VPC) Flow Logs, DNS 쿼리 로그와 같은 기본 소스의 전체 모니터링은 물론 맬웨어 방지 기능도 사용할 수 있습니다. 추가 조사를 위해 보안 조사 결과를 AWS Security HubAmazon Detective로 전송할 수도 있습니다.

GuardDuty는 S3 Standard, S3 Intelligent-Tiering, S3 Standard-IA, S3 One Zone-IA 및 Amazon S3 Glacier Instant Retrieval과 같은 동기식 Amazon S3 스토리지 클래스에 속하는 파일을 스캔할 수 있습니다. 또한 맬웨어를 유포하거나 포함하는 데 사용되는 것으로 알려진 파일 형식을 스캔합니다. 출시 당시 이 기능은 최대 5개 레벨의 아카이브 파일과 압축 해제 후 레벨당 1,000개의 파일을 포함하여 최대 5GB의 파일 크기를 지원합니다.

앞서 말했듯이 GuardDuty는 보호된 각 S3 버킷에 대한 스캔 지표를 EventBridge로 전송합니다. 경보를 설정하고, 객체에 태그를 지정하거나 악성 객체를 격리 버킷으로 옮기는 등 스캔 후 작업을 정의할 수 있습니다. Amazon CloudWatch 지표 및 S3 객체 태그 지정과 같은 기타 모니터링 옵션에 대해 자세히 알아보려면 AWS 설명서의 맬웨어 스캔 상태 모니터링을 참조하세요.

정식 출시
Amazon S3용 Amazon GuardDuty 맬웨어 방지를 중국 리전과 GovCloud(미국) 리전을 제외한, GuardDuty가 제공되는 모든 AWS 리전에서 정식 버전으로 사용할 수 있습니다.

요금은 스캔된 객체의 GB 용량과 월별 평가된 객체 수를 기준으로 합니다. 이 기능은 제한된 AWS 프리 티어와 함께 제공됩니다. 여기에는 새 AWS 계정의 경우 계정 생성 후 처음 12개월 동안 또는 기존 AWS 계정의 경우 2025년 6월 11일까지 조건에 따라 매월 1,000건의 요청과 1GB가 포함됩니다. 자세한 내용은 Amazon GuardDuty 요금 페이지를 참조하세요.

GuardDuty 콘솔에서 Amazon S3용 GuardDuty 맬웨어 방지를 사용해 보세요. 자세한 내용은 Amazon GuardDuty 사용자 설명서를 참조하고, Amazon GuardDuty용 AWS re:Post 또는 평소 이용하는 AWS Support 담당자를 통해 피드백을 보내주세요.

Channy