보안 그룹과 NACL은 트래픽을 막는다. 하지만 "지금 무슨 트래픽이 흐르고 있는가", "누가 우리 DB에 접근을 시도했는가", "방금 막힌 연결이 정상인가 공격인가"라는 질문에는 답하지 못한다. 통제(control)는 막기만 할 뿐, 보지는 못한다. 본다는 것 — 가시성(visibility)은 별도의 능력이다.
VPC Flow Logs가 그 눈이다. VPC 안에서 흐른(혹은 막힌) IP 트래픽의 메타데이터를 기록한다. 페이로드는 아니고, "누가 누구에게, 어떤 포트로, 얼마나, 허용됐는지 거부됐는지"를 남긴다. 오늘은 Flow Logs의 구조를 정확히 읽고, 이 로그로 침해 징후와 오구성을 탐지하는 분석 기법을 본다. SCS-C03 도메인 1(Threat Detection)과 도메인 3(Infrastructure Security)에 동시에 걸치는 핵심이다.
| 기록함 | 기록 안 함 |
|---|---|
| 출발지/목적지 IP·포트 | 패킷 페이로드(실제 데이터) |
| 프로토콜, 바이트/패킷 수 | DNS 쿼리 내용(별도 Resolver 로그) |
| ACCEPT / REJECT | DHCP, Amazon DNS(169.254.169.253) 트래픽 등 일부 |
| 시작/종료 시각 | Windows 라이선스 활성화 트래픽 등 |
| ENI ID, 계정·서브넷·VPC | 메타데이터 서비스(169.254.169.254) 일부 |