Trusted Advisor 권고 사항: IAM Access Analyzer 외부 액세스 설정 방법
안녕하세요 클래스메소드 김재욱(Kim Jaewook) 입니다. 이번 블로그에서는 Trusted Advisor 권고 사항인 IAM Access Analyzer 외부 액세스 설정 방법에 대해 정리해 봤습니다.
Trusted Advisor 조치 권고
Trusted Advisor에서 확인할 수 있는 권고 사항 중 하나로 IAM Access Analyzer - 외부 액세스가 있습니다.
현재 계정 수준에서 외부 액세스 분석기가 활성화되어 있지 않기 때문에, 이를 활성화하라는 보안 권고입니다.
그렇다면 왜 외부 액세스 분석기를 활성화해야 할까요?
그 이유는 AWS 리소스가 외부에 어떻게 노출되어 있는지 자동으로 탐지할 수 있는 기능이 비활성화되어 있기 때문입니다.
아래와 같은 상황들은 외부 액세스 분석기가 없으면 직접 확인하기 어렵습니다.
| 상황 | 예시 |
|---|---|
| S3 버킷이 퍼블릭으로 열려있음 | 고객 데이터, 로그 파일 외부 노출 |
| IAM Role이 다른 계정에서 Assume 가능 | 외부 계정에서 내 계정 리소스 접근 |
| Lambda 함수가 외부에 공개됨 | 무단 실행 가능 |
| KMS 키가 외부 계정과 공유됨 | 암호화 데이터 복호화 가능 |
| SQS 큐가 외부에서 접근 가능 | 메시지 탈취 또는 주입 가능 |
이러한 설정이 존재하더라도 별도의 분석 기능이 없으면 탐지 자체가 어렵기 때문에, 보안 사고로 이어질 가능성이 있습니다.
설정 실수로 S3 퍼블릭 공개
↓
Access Analyzer 없음 → 탐지 안 됨
↓
외부에서 데이터 접근/유출
↓
보안 사고 발생 후에야 인지
외부 액세스 분석기를 활성화하면 다음과 같은 효과를 얻을 수 있습니다.
| 항목 | 내용 |
|---|---|
| 자동 탐지 | 외부 공개된 리소스 자동으로 찾아줌 |
| 중앙 대시보드 | 외부 노출 리소스 한눈에 확인 |
| 비용 | 무료 |
| 대응 속도 | 문제 발생 즉시 인지 가능 |
특히 대규모 계정 환경에서는 필수적으로 활성화하는 것이 일반적인 보안 베이스라인입니다.
외부 액세스 분석기?
외부 액세스 분석기는 AWS 리소스에 대한 공개 및 교차 계정 액세스 조사 결과를 생성합니다. 이 기능은 추가 비용 없이 제공됩니다.
AWS 공식 문서에서 설명하는 것처럼 외부 액세스 분석기는 추가 비용 없이 사용할 수 있는 기능입니다.
IAM Access Analyzer의 외부 액세스 분석기를 활성화하면 계정 내 리소스가 외부에 공개되어 있거나 다른 AWS 계정과 공유되고 있는지를 자동으로 분석할 수 있습니다.
| 항목 | 내용 |
|---|---|
| 목적 | 외부 엔터티와 공유되는 리소스 식별 |
| 감지 대상 | 퍼블릭 액세스 / 교차 계정 액세스 |
| 비용 | 무료 |
| 분석 대상 리소스 | S3, IAM Role, KMS, Lambda, SQS 등 |
특히 AWS 환경을 운영하다 보면 의도하지 않게 리소스가 외부에 노출되는 경우가 발생할 수 있습니다. 외부 액세스 분석기는 이러한 설정을 지속적으로 분석하여 잠재적인 보안 위험을 빠르게 파악할 수 있도록 도와줍니다.
추가 비용이 발생하지 않기 때문에 Trusted Advisor에서 권고하는 것처럼 계정당 하나의 외부 액세스 분석기를 생성하여 사용하는 것을 권장합니다.
외부 액세스 분석기 활성화
외부 액세스 분석기는 AWS 콘솔 또는 AWS CLI를 사용하여 간단하게 활성화할 수 있습니다.
콘솔
IAM 콘솔에서 다음 순서로 생성합니다.
→ Access Analyzer
→ 분석기 생성
→ 결과 유형: "리소스 분석 - 외부 액세스" 선택
→ 생성
분석기를 생성하면 계정 내 리소스에 대한 퍼블릭 액세스 및 교차 계정 액세스를 자동으로 분석하기 시작합니다.
CLI
AWS CLI를 사용하는 경우 다음 명령으로 계정 수준의 외부 액세스 분석기를 생성할 수 있습니다.
ACCOUNT 타입은 계정 내 리소스에 대한 퍼블릭 액세스 및 교차 계정 액세스를 분석하는 외부 액세스 분석기를 생성합니다.
aws accessanalyzer create-analyzer \
--analyzer-name "external-access-analyzer" \
--type ACCOUNT \
--region ap-northeast-1
생성 후에는 다음 명령으로 분석기 생성 여부를 확인할 수 있습니다.
aws accessanalyzer list-analyzers \
--region ap-northeast-1
정상적으로 생성된 경우 분석기 ARN, 상태(Status), 생성 시간 등의 정보를 확인할 수 있습니다.
이후 콘솔 화면에서는 외부에 공개되었거나 다른 AWS 계정과 공유된 리소스에 대한 조사 결과(Finding)를 확인할 수 있습니다.
다른 리전은?
여기서 한 가지 의문이 생길 수 있습니다.
외부 액세스 분석기는 ACCOUNT 타입으로 생성하는데, 그렇다면 하나만 생성하면 되는 것일까요?
실제로는 IAM Access Analyzer가 리전 단위로 생성되기 때문에 사용 중인 리전마다 별도로 생성해야 합니다.
Trusted Advisor에서도 외부 액세스 분석기 활성화 여부를 리전별로 확인하며, 분석기가 생성되지 않은 리전은 권고 항목으로 표시됩니다.
따라서 단일 리전만 사용하는 환경이라면 해당 리전에만 생성해도 되지만, 여러 리전을 사용하는 환경이라면 각 리전에 외부 액세스 분석기를 생성하는 것이 좋습니다.
예를 들어 ap-northeast-1와 ap-northeast-2을 사용한다면 두 리전에 모두 분석기를 생성해야 Trusted Advisor 권고를 해소할 수 있습니다.
마무리
이번 글에서는 AWS Trusted Advisor의 권고 사항 중 하나인 IAM Access Analyzer - 외부 액세스 항목에 대해 살펴보고, 외부 액세스 분석기를 활성화하는 방법을 정리해 보았습니다.
처음에는 단순히 "분석기를 활성화하라"는 권고 사항으로 보일 수 있지만, 실제로는 AWS 계정의 보안 상태를 지속적으로 점검하기 위한 중요한 기능입니다. AWS 환경에서는 S3 버킷, IAM Role, KMS 키, Lambda 함수, SQS 큐 등 다양한 리소스가 정책 기반으로 권한을 제어합니다. 이러한 정책은 잘못 설정될 경우 의도치 않게 외부에 공개되거나 다른 AWS 계정에 접근 권한을 부여할 수 있으며, 운영 중인 리소스가 많아질수록 이를 수동으로 확인하는 것은 사실상 어려워집니다.
IAM Access Analyzer의 외부 액세스 분석기는 이러한 문제를 해결하기 위해 AWS 리소스의 정책을 지속적으로 분석하고, 퍼블릭 액세스 또는 교차 계정 액세스가 발생하는 리소스를 조사 결과(Finding)로 제공합니다. 특히 추가 비용 없이 사용할 수 있기 때문에 활성화하지 않을 이유가 거의 없는 기능이라고 볼 수 있습니다.
또한 이번에 확인해 본 것처럼 외부 액세스 분석기는 리전 단위로 생성되며, Trusted Advisor 역시 리전별 활성화 상태를 기준으로 권고 사항을 표시합니다. 따라서 여러 리전을 사용하는 환경이라면 특정 리전에만 생성하는 것이 아니라 실제로 사용하는 리전에 분석기를 생성하여 관리하는 것이 좋습니다.
결국 외부 액세스 분석기의 핵심 가치는 "문제가 발생한 이후 대응하는 것"이 아니라 "문제가 발생할 수 있는 설정을 미리 발견하는 것"에 있습니다. 보안 사고의 상당수는 복잡한 공격 기법보다는 단순한 권한 설정 실수나 잘못된 정책 구성에서 시작되는 경우가 많습니다. IAM Access Analyzer는 이러한 위험 요소를 조기에 발견할 수 있도록 도와주는 AWS의 기본 보안 기능 중 하나입니다.
AWS 계정을 운영하고 있다면 Trusted Advisor 권고 사항을 해소하는 차원을 넘어, 보안 베이스라인 구축의 일부로 외부 액세스 분석기를 활성화해 두는 것을 권장합니다. 몇 분 정도의 설정만으로도 계정 내 리소스의 외부 노출 현황을 지속적으로 확인할 수 있으며, 향후 발생할 수 있는 보안 위험을 사전에 식별하는 데 큰 도움이 될 수 있습니다.
