인프라 설계부터 침해 대응 및 컴플라이언스까지 주니어들의 깊이 있는 연구 성과
[보안뉴스 조재호 기자] 정부 지원이나 기업 후원 없이, 보안에 대한 순수한 관심과 열정으로 뭉친 주니어들과 현업자들이 클라우드 보안 연구 성과를 공유했다.
▲최은소 K8RVIS PM이 발표를 진행하고 있다. [출처: 비버댐]
비영리 클라우드 보안 커뮤니티 비버 댐은 예비 보안 전문가 양성 과정 ‘베이비 비버스’(Baby Beavers) 1기 최종발표회를 성공적으로 마쳤다고 26일 밝혔다.
최종발표회에서 눈길을 끈 발표는 최진형 티빙 보안 엔지니어가 리드한 K8RVIS(카비스) 팀의 세션이었다. 이 팀은 기업들이 AWS EKS 기반 컨테이너 플랫폼을 도입할 때 직면하는 문제들에 대해 ‘EKS 보안 성숙도 모델: Quick Wins부터 단계별 확장까지 실전 적용 가이드’를 제시했다.
K8RVIS가 제시한 성숙도 모델은 구조 변경 없이 즉각적인 가시성을 확보하는 Quick Wins 단계를 시작으로, 안전한 운영 구조를 구축하는 Foundational, 세부 정책 및 모니터링을 강화하는 Efficient, 자동화 및 이상 탐지 기반의 고도화된 운영이 요구되는 Optimized 단계 등 총 5단계 난이도로 구성됐다. 단순 가이드에 그치지 않고 네트워크 방화벽과 CoreDNS, 파드(Pod) 보안 항목을 직접 구현했으며, 클로드 코드 등을 활용해 보안 위반 사항을 자동 검사하는 도구까지 시연해 주목받았다.
▲K8RVIS의 PoD 보안 파이프라인 가이드 제안 [출처: K8RVIS]
이외에도 클라우드 보안의 전 생애주기를 다룬 다각적인 아키텍처들이 소개됐다. △‘4aaS’ 팀은 EHR 의료 시스템의 멀티테넌시(Multi-tenancy) 환경에서 테넌트 간 데이터 격리 및 규제 준수 가이드라인을, △‘뭉살흩죽’ 팀은 조직 규모에 맞는 보안 아키텍쳐 제시 및 문서화 IAC 코드, 웹 방화벽(WAF) 정책 중앙화 구조를 규명했다.
또 △‘저스틴 비버스’ 팀은 공격자 관점의 클라우드 보안 실습 오픈소스 GnawLab과 GitHub 내 오픈소스들을 스캐닝해 OIDC 신뢰 정책 오설정 취약점 관련 프로젝트를, △‘우아한 비버’ 팀은 오픈소스 보안 솔루션을 결합해 고비용 상용 장비 없이 멀티 어카운트 환경의 침해사고를 실시간 탐지·대응하는 SOC 파이프라인을 구현했다.
이번 프로젝트를 총괄 주도한 권현준 화이트햇스쿨 멘토는 “아무런 물질적 보상 없이 주니어 양성을 위해 기꺼이 시간과 노하우를 내어준 멘토들의 순수한 열정과 멘티들의 노력이 결합되어 민간 주도 협업의 가능성을 증명했다”며 “비영리 커뮤니티인 Beaver Dam은 이번 1기의 성공을 발판 삼아 향후에도 보안 분야의 발전과 건강한 주니어 생태계 조성을 위해 꾸준히 노력을 이어갈 것”이라고 포부를 밝혔다.
[조재호 기자(zephyr@boannews.com)]
[보안뉴스 조재호 기자] 정부 지원이나 기업 후원 없이, 보안에 대한 순수한 관심과 열정으로 뭉친 주니어들과 현업자들이 클라우드 보안 연구 성과를 공유했다.
▲최은소 K8RVIS PM이 발표를 진행하고 있다. [출처: 비버댐]
비영리 클라우드 보안 커뮤니티 비버 댐은 예비 보안 전문가 양성 과정 ‘베이비 비버스’(Baby Beavers) 1기 최종발표회를 성공적으로 마쳤다고 26일 밝혔다.
최종발표회에서 눈길을 끈 발표는 최진형 티빙 보안 엔지니어가 리드한 K8RVIS(카비스) 팀의 세션이었다. 이 팀은 기업들이 AWS EKS 기반 컨테이너 플랫폼을 도입할 때 직면하는 문제들에 대해 ‘EKS 보안 성숙도 모델: Quick Wins부터 단계별 확장까지 실전 적용 가이드’를 제시했다.
K8RVIS가 제시한 성숙도 모델은 구조 변경 없이 즉각적인 가시성을 확보하는 Quick Wins 단계를 시작으로, 안전한 운영 구조를 구축하는 Foundational, 세부 정책 및 모니터링을 강화하는 Efficient, 자동화 및 이상 탐지 기반의 고도화된 운영이 요구되는 Optimized 단계 등 총 5단계 난이도로 구성됐다. 단순 가이드에 그치지 않고 네트워크 방화벽과 CoreDNS, 파드(Pod) 보안 항목을 직접 구현했으며, 클로드 코드 등을 활용해 보안 위반 사항을 자동 검사하는 도구까지 시연해 주목받았다.
▲K8RVIS의 PoD 보안 파이프라인 가이드 제안 [출처: K8RVIS]
이외에도 클라우드 보안의 전 생애주기를 다룬 다각적인 아키텍처들이 소개됐다. △‘4aaS’ 팀은 EHR 의료 시스템의 멀티테넌시(Multi-tenancy) 환경에서 테넌트 간 데이터 격리 및 규제 준수 가이드라인을, △‘뭉살흩죽’ 팀은 조직 규모에 맞는 보안 아키텍쳐 제시 및 문서화 IAC 코드, 웹 방화벽(WAF) 정책 중앙화 구조를 규명했다.
또 △‘저스틴 비버스’ 팀은 공격자 관점의 클라우드 보안 실습 오픈소스 GnawLab과 GitHub 내 오픈소스들을 스캐닝해 OIDC 신뢰 정책 오설정 취약점 관련 프로젝트를, △‘우아한 비버’ 팀은 오픈소스 보안 솔루션을 결합해 고비용 상용 장비 없이 멀티 어카운트 환경의 침해사고를 실시간 탐지·대응하는 SOC 파이프라인을 구현했다.
이번 프로젝트를 총괄 주도한 권현준 화이트햇스쿨 멘토는 “아무런 물질적 보상 없이 주니어 양성을 위해 기꺼이 시간과 노하우를 내어준 멘토들의 순수한 열정과 멘티들의 노력이 결합되어 민간 주도 협업의 가능성을 증명했다”며 “비영리 커뮤니티인 Beaver Dam은 이번 1기의 성공을 발판 삼아 향후에도 보안 분야의 발전과 건강한 주니어 생태계 조성을 위해 꾸준히 노력을 이어갈 것”이라고 포부를 밝혔다.
[조재호 기자(zephyr@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
