지난 사흘은 탐지 계층의 개별 도구를 봤다. GuardDuty(위협 탐지), Detective(조사), Inspector(취약점). 그런데 실제 보안 운영에서 이들은 따로 쓰이지 않는다 — 각자 핀딩을 쏟아내면 분석가는 네 개의 콘솔을 오가며 같은 사건을 네 번 본다. 오늘의 주제는 이 도구들을 하나의 일관된 탐지 아키텍처로 묶는 것이다. 그 접착제가 AWS Security Hub다.
핵심 통찰: GuardDuty·Inspector·Detective·Macie·IAM Access Analyzer 등은 각자 전문 탐지기이고, Security Hub는 이들의 출력을 표준 형식으로 모아 한 화면에서 우선순위화·상관·자동화하는 집계·오케스트레이션 허브다. 시험은 "이 신호들을 어떻게 단일 운영 창으로 통합하는가"를 반복해서 묻는다.
Security Hub의 두 가지 기능:
1) 표준 검사(Security Standards): CIS, AWS FSBP, PCI DSS, NIST 등의
규정 준수 컨트롤을 자동 평가 → "구성이 모범에 맞나"
2) 핀딩 집계(Findings aggregation): 통합된 서비스들의 핀딩을
ASFF(AWS Security Finding Format)로 표준화해 한곳에 모음