불필요한 Security Hub 알람을 제어해 봤습니다.

2025.12.19
안녕하세요 클래스메소드 김재욱(Kim Jaewook) 입니다. 이번에는 불필요한 Security Hub 알람을 제어해 봤습니다.
 문제 발생AWS를 사용하다 보면 Security Hub에서 다양한 항목이 검지·검출됩니다.

이러한 항목에 대해 알람까지 설정해 두면, 다수의 알림 메일을 받게 될 가능성이 있습니다.
하지만 설계서에 따라 정상적으로 구축·운영하고 있음에도 불구하고, Security Hub에서 문제가 검출되는 경우가 있습니다.

이와 같은 경우에는 설계상 문제가 없기 때문에, 해당 검출 결과나 알람을 수신하고 싶지 않을 때도 있을 것입니다.
이러한 상황에서는 어떻게 해야 하는지 확인해 봅시다.
 문제 해결 1첫 번째 방법으로는 해당 컨트롤 자체를 비활성화 하는 방법입니다.
비활성화 하고자하는 컨트롤을 선택하고 [제어 비활성화]를 클릭합니다.
마지막으로 비활성화 이유를 선택하고 컨트롤 비활성화를 실시합니다.
Security Hub 컨트롤 비활성화에 대한 고려 사항은 다음과 같습니다.
해당 컨트롤에 대해 기존 리소스뿐만 아니라, 향후 신규로 생성되는 리소스에 대해서도 대응하지 않기로 결정된 경우
설계 및 운영 정책상 보안상 문제가 없다고 판단된 항목인 경우
주의사항은 다음과 같습니다.
해당 컨트롤에 대한 보안 검사는 더 이상 실행되지 않습니다.
새로 생성되는 리소스에 대해서도 검지가 이루어지지 않습니다
예외로는 아래와 같은 서비스 설정이 이미 적용되어 있다면, 글로벌 리소스 관련 컨트롤을 비활성화하는 것을 검토할 수 있습니다.
AWS CloudTrail에서 다중 리전 로그 집계 설정을 사용하는 경우
Amazon GuardDuty를 사용하는 경우
이러한 환경에서는 단일 리전을 제외한 글로벌 리소스 로깅 컨트롤이 중복 검사가 될 수 있습니다.
 문제 해결 2두 번째 해결 방법은 해당 컨트롤의 상태를 변경하는 방법입니다.
먼저 상태를 변경할 컨트롤을 클릭합니다.
상태를 변경할 검사 결과를 선택하고 [워크플로 상태] → [억제됨]을 클릭합니다.
워크플로 상태 변경으로 대응하는 경우의 고려 사항은 다음과 같습니다.
기존 리소스에 대해서는 당장 대응하지 않기로 결정된 경우
문제의 원인과 내용은 이미 파악되어 있으며,향후 대응 계획이 명확하게 정해져 있는 경우
주의사항은 다음과 같습니다.
워크플로 상태를 변경하더라도 보안 스캔 자체는 계속 실행됩니다.
스캔이 중지되지 않기 때문에 소량이지만 지속적인 비용이 발생합니다.
비용에 대한 부분도 함께 고려해야 합니다
워크플로 상태를 NOTIFIED(알림) 또는 RESOLVED(해결됨)으로 변경하더라도, 항상 해당 상태가 유지되는 것은 아닙니다.

상황에 따라 다시 NEW(신규) 상태로 재설정될 수 있으므로 주의가 필요합니다.
워크플로 상태가 NEW(신규)로 재설정되는 경우
Security Hub에서는 다음과 같은 변경이 발생할 경우,워크플로 상태가 NOTIFIED(알림) 또는 RESOLVED(해결됨) 였더라도 자동으로 NEW 상태로 재설정됩니다.
RecordState가 ARCHIVED에서 ACTIVE로 변경된 경우
Compliance.Status가 PASSED에서
FAILED, WARNING, NOT_AVAILABLE 중 하나로 변경된 경우
 마무리Security Hub에서 발생하는 모든 검출 결과가 반드시 즉시 대응해야 할 보안 이슈인 것은 아닙니다.

설계와 운영 정책에 따라 의도적으로 허용된 항목이라면,

불필요한 알람과 노이즈를 줄이기 위한 제어가 필요합니다.
해당 항목에 대해 장기적으로 대응할 계획이 없다면

→ 컨트롤 비활성화를 통해 근본적으로 검출을 중지하는 것이 적합합니다.
일시적으로 대응을 보류하거나 추후 조치가 예정되어 있다면

→ 워크플로 상태 변경을 통해 관리하는 방식이 유효합니다.
각 방법에는 장단점이 존재하므로,

보안 요구 사항과 운영 방침, 비용 요소를 종합적으로 고려하여

환경에 맞는 방식을 선택하는 것이 중요합니다.
이번 정리를 통해 Security Hub의 알람을 보다 효율적으로 관리하는 데 도움이 되었으면 합니다.