[AWS-Security] 7.1. 데이터 보호 개요

1. 데이터 보호의 3가지 핵심 원칙

• 기밀성 (Confidentiality) : 승인된 사용자(권한이 있는 사람)만 데이터를 읽을 수 있도록 접근을 통제한다.
• 무결성 (Integrity) : 데이터가 승인 없이 변조되거나 손상되는 것을 방지하고, 원본 그대로 유지됨을 보장한다.
• 심층 방어 (Defense in Depth) : 데이터 보안 제어는 관리자의 실수로 인해 언제든 구멍이 생길 수 있다. 따라서 하나의 방어막에만 의존하지 않고, 여러 계층의 방어 수단을 다중으로 구성하는 것이 중요하다.

2. 데이터 보호 프로세스의 2가지 범주

• 저장 데이터 (Data at rest) : Amazon S3에 저장된 파일, 데이터베이스의 레코드처럼 디스크나 스토리지에 가만히 ‘보관되어 있는’ 데이터이다.
• 전송 데이터 (Data in transit) : 서버와 서버 사이, 혹은 서버와 S3 사이의 네트워크를 통해 ‘이동 중인’ 데이터이다.

3. 사후 대응 및 데이터 분류

• 상세 로그 수집 : 침해가 발생했을 때 공격자가 어떻게 접근했고 어떤 데이터가 손상되었는지 정확히 파악하기 위해 상세한 데이터 접근 로그를 수집하고 보관하는 것이 중요하다.
• Amazon Macie 활용 : AWS에 저장된 수많은 데이터 중 무엇이 민감한 개인정보인지 자동으로 분류하고, 비정상적인 접근 패턴을 탐지하여 데이터 유출을 막아주는 보안 서비스인 ‘Amazon Macie’를 활용하는 것도 가능하다.