온프렘 보안 장비와 클라우드 연결 구성

Sat, 02 May 2026 00:00:00 +0000

온프렘 사무실 네트워크 보안 장비

일반적인 기업 사무실에서 사용하는 보안 장비를 바깥에서 안쪽 순서로 정리한다.

[인터넷]
 ↓
[① 방화벽 (Firewall)] ← 외부/내부 경계, L3/L4 필터링
 ↓
[② IDS/IPS] ← 침입 탐지/차단
 ↓
[③ VPN Gateway] ← 외부 접속 암호화 터널
 ↓
[④ WAF] ← 웹 애플리케이션 방화벽 (L7)
 ↓
[⑤ NAC] ← 네트워크 접근 제어 (단말 인증)
 ↓
[내부 네트워크 / 서버]

① 방화벽 (Firewall)

항목	설명
역할	외부/내부 트래픽 필터링, IP/Port 기반 허용/차단
위치	인터넷과 내부 네트워크 경계
장비 예시	Fortinet FortiGate, Palo Alto, Cisco ASA, Juniper SRX
클라우드 대응	Security Group + NACL

차세대 방화벽(NGFW)은 L7까지 검사하며, 애플리케이션 식별/사용자 식별/SSL 복호화까지 수행한다.

침투테스트 인프라 취약점 발견 및 보완 조치

Wed, 15 Apr 2026 00:00:00 +0000

개요

KT Cloud TechUp 사이버보안 훈련에서 레드팀(4개 팀)이 72시간 동안 PlayBall 플랫폼을 대상으로 침투테스트를 수행했다. 인프라 영역에서 발견된 취약점에 대해 28건의 보완 조치를 수행했다.

항목	내용
기간	2026-04-02 ~ 04 (72시간)
대상	goormgb.space (Dev), staging.playball.one (Staging)
레드팀	4개 팀 (5팀, 1팀, 4팀, 7팀)
인프라 조치	28건 완료

주요 공격 성공 사례

공격	심각도	설명
Kiali/kafka-ui 장악	CRITICAL	무인증 관리도구 외부 노출 → 클러스터 정보 탈취
EKS API 서버 외부 노출	HIGH	0.0.0.0/0 공개 → 누구나 API 접근 가능
Rate Limiting 미적용	HIGH	10회 연속 로그인 성공, Brute Force 가능
ALB 직접 접근	HIGH	CloudFront/WAF 우회하여 ALB에 직접 요청

발견된 인프라 취약점

CRITICAL

ID	취약점	조치
C-10	Kiali prod 무인증 쓰기 접근	Admin Tools IP Whitelist (#25)
C-11	kafka-ui 무인증, readOnly:false	Admin Tools IP Whitelist (#25)

HIGH

ID	취약점	조치
H-02	K8s API 서버 외부 노출 (0.0.0.0/0)	EKS Control Plane 접근 제한 (#4)
H-03	K8s 내부 서비스 DNS 노출	NetworkPolicy default-deny (#13)
H-05	Actuator 전체 노출	내부 경로 차단 AuthorizationPolicy (#24)
H-06	내부 라우트 + K8s URI 노출	Actuator 제거로 해소 (#24)
H-08	서버 리소스 정보 노출	Actuator 제거로 해소 (#24)
H-09	Thread Pool 무제한 DoS	Kyverno Require Resource Limits (#17)
H-10	IP 블랙리스트 우회 (ALB 직접 접근)	CloudFront 전환 + ALB SG 제한 (#1, #2, #3)
H-11	SQLi 앱 레벨 필터 우회 가능성	Istio WAF EnvoyFilter (#21)
H-12	OS Command Injection 의심	Istio WAF EnvoyFilter (#21)

MEDIUM

ID	취약점	조치
M-01	Staging ALB 직접 노출 (CDN 미적용)	CloudFront 전환 (#1)
M-02	Swagger UI 외부 노출	404 처리 완료
M-05	Admin 엔드포인트 존재 확인	JWT AuthorizationPolicy (#23)
M-07	Actuator RBAC 불일치	내부 경로 차단 (#24)
M-08	Gateway 라우트 수 노출	Actuator 제거로 해소 (#24)
M-12	Origin 미검증 + Rate Limiting 미설정	Rate Limiting (#22)

인프라 보완 조치 (28건)

네트워크 / 접근 제어

#	조치	대응 취약점	전	후
1	Staging API → CloudFront 전환	M-01, H-10	ALB 직접 노출	CloudFront Alias
2	Prod API → CloudFront 전환	M-01, H-10	ALB 직접 / Cloudflare 단일	CloudFront Distribution
3	Staging ALB SG 제한	H-10, M-01	443 ← 0.0.0.0/0	CloudFront PL + 팀원 IP만
4	EKS Control Plane 접근 제한	H-02	public_access 0.0.0.0/0	bastion SG + 팀원 IP, private_access=true
25	Admin Tools IP Whitelist	C-10, C-11	무인증 외부 접근	팀 IP 외 DENY (kiali/kafka-ui/grafana 등)

Istio Service Mesh 보안

#	조치	대응 취약점	전	후
14	mTLS STRICT	일반 암호화	PERMISSIVE 혼합	Mesh-wide STRICT
21	WAF (EnvoyFilter + Lua)	H-11, H-12	L7 탐지 없음	10종 탐지 (SQLi/XSS/CmdInj 등) + 자동 IP 블랙리스트
22	Rate Limiting (Local + Global)	M-12	제한 없음	/auth 10/s, /payment 5/s, /signup 3/s
23	JWT RequestAuthentication + AuthZ	M-05	앱만 JWT 검증	Istio 엣지 JWKS 검증 (미인증 → 401)
24	내부 경로 차단	H-05, H-06, H-08, M-07	/actuator, /metrics 접근 가능	DENY 정책 적용

IAM / 권한 관리

#	조치	대응 취약점	전	후
5	Node IMDSv2 강제	SSRF 대비	IMDSv1 허용	IMDSv2 전용
11	IAM IRSA 최소 권한	C-02	장기 Access Key	OIDC 기반 SA별 IAM Role, 정적 키 폐기
12	SSO Permission Set 분리	권한 최소화	Admin-Full 단일	DevOps/Developer/Security/ReadOnly 4종

Kubernetes 정책 (Kyverno)

#	조치	대응 취약점	효과
13	NetworkPolicy default-deny	H-03	네임스페이스 간 측면 이동 차단
15	Disallow Privileged	Pod 격리	privileged=true 차단
16	Disallow :latest Tag	버전 추적	image:latest 사용 금지
17	Require Resource Limits	H-09	CPU/Memory limits 필수
18	Require ArgoCD Management	GitOps 강제	라벨 없는 리소스 차단
19	Protect Critical Namespaces	C-10, C-11	kube-system/argocd/istio-system 무단 변경 차단
20	Policy Reporter	위반 가시화	위반 수집 + Discord 알림

감사 / 모니터링

#	조치	효과
6	EKS Control Plane 로깅	api/audit/authenticator/scheduler 전부 CloudWatch
7	CloudTrail Multi-Region + Log Validation	감사 증적 강화
8	감사 로그 S3 보안 정책	AES256 + Versioning + Lifecycle
9	보안 이벤트 실시간 알람	EventBridge → Lambda → Discord
10	S3 감사 이벤트 요약 알람	S3 API 감시 → Discord

데이터 보호

#	조치	대응 취약점	전	후
26	RDS 암호화 + Deletion Protection	C-05	기본값	storage_encrypted=true, deletion_protection=true
27	RDS 자격증명 Secrets Manager 이관	C-05	.env 평문	Secrets Manager + External Secrets

조치 결과

인프라 조치 전후 비교

항목	조치 전	조치 후
EKS API	0.0.0.0/0 공개	bastion + 팀원 IP만
ALB 접근	직접 노출	CloudFront 경유만 허용
관리도구 (Kiali, kafka-ui)	무인증 외부 접근	IP Whitelist + 인증
내부 통신	mTLS PERMISSIVE	mTLS STRICT
L7 공격 방어	없음	WAF 10종 탐지 + 자동 IP 차단
Rate Limiting	없음	경로별 제한 (/auth 10/s 등)
IAM 키 관리	장기 Access Key	IRSA (OIDC 기반 임시 자격증명)
DB 크리덴셜	.env 평문	Secrets Manager
감사 로그	미구성	CloudTrail + EventBridge → Discord 실시간 알림
Pod 보안 정책	없음	Kyverno 6종 정책 + Policy Reporter

Istio ext_authz Adapter 설계 및 구현

Fri, 10 Apr 2026 00:00:00 +0000

배경

AI 방어팀이 실시간 봇 탐지와 사후 분석 처리 두 가지를 구현해야 했는데, 앱 코드에 직접 넣으면 모든 서비스에 SDK를 심어야 하고 유지보수가 어려웠다. Istio의 ext_authz 확장 포인트를 활용하면 앱 코드 수정 없이 Mesh 레벨에서 투명하게 요청을 가로채서 AI로 보낼 수 있어서, 이 방식을 AI 팀에 제안했고 합작으로 개발했다.

역할 분담

담당	작업
인프라 (본인)	Istio ext_authz 연동 설계, Go gRPC 어댑터 개발, EnvoyFilter 작성, Helm 배포 구성
AI 팀	Critical API 선정, 판정 스펙 설계, AI Defense API(Python FastAPI) 개발, 행동 분석 엔진

핵심 아이디어: Envoy가 모든 요청을 이미 프록시하고 있으니까, 거기에 ext_authz hook을 걸어서 AI 판정을 받자.

Notes on blog.212clab