Google Cloud 보안 강화: Security Command Center의 4가지 새로운 기능

해당 블로그의 원문은 2025년 6월 5일 Google Cloud 블로그(영문)에 게재되었습니다. 

오늘날의 클라우드 환경에서 보안 팀은 단순히 가시성만으로는 충분하지 않으며, 클라우드 워크로드를 안전하게 보호하기 위한 실행 가능한 인사이트가 필요합니다. 공개 API를 통해 얻을 수 있는 데이터에 의존하는 서드파티 클라우드 보안 도구와 달리, Security Command Center(SCC)는 Google Cloud에 직접 내장되어 있습니다. 이를 통해 클라우드 워크로드의 안전성에 대한 독보적인 가시성과 필요 시 문제 해결을 조율하는 능력을 제공합니다.

Google은 이 독점적인 시점을 활용하여 고객의 Google Cloud 환경을 보호하는 Security Command Center의 기능을 더욱 향상시키고 있습니다. 다음은 보안 팀을 돕기 위해 새롭게 추가된 4가지 기능입니다.

취약점 관리 간소화: Compute Engine 및 GKE를 위한 에이전트리스(agentless) 스캐닝 도입

소프트웨어 취약점 악용은 사이버 공격에서 흔히 관찰되는 초기 침투 벡터입니다. M-Trends 2025에 따르면, 초기 침투 벡터의 33%가 취약점 악용으로 시작되었습니다.

보안 팀에게 이러한 취약점을 사전에 식별하고 해결하는 것은 매우 중요합니다. 하지만 기존의 에이전트 기반 소프트웨어 스캐닝은 상당한 관리 부담과 배포의 어려움을 초래할 수 있습니다.

이제 Security Command Center는 강력한 대안을 제공합니다. 바로 Google Compute Engine 및 GKE(Google Kubernetes Engine)를 위한 에이전트리스 취약점 스캐닝입니다. 이는 각 자산에 소프트웨어를 배포하고 관리할 필요가 없습니다. 현재 프리뷰로 제공되는 이 새로운 기능은 가상 머신 인스턴스, GKE 쿠버네티스 객체 및 GKE 클러스터의 소프트웨어 및 OS 취약점을 추가 비용 없이 발견할 수 있도록 돕습니다.

에이전트리스 취약점 스캐닝의 세 가지 주요 이점은 다음과 같습니다.

• 운영 오버헤드 감소: 에이전트 배포, 구성, 업데이트 및 잠재적인 성능 영향을 제거하여 보안 워크플로우를 간소화합니다.

• 적용 범위 확장: 에이전트 설치가 어렵거나 제한적인 가상 머신(VM) 및 공격자에 의해 무단으로 프로비저닝된 VM까지 스캔합니다.

• 데이터 상주 유지: 스캔 결과 및 데이터에 대해 설정한 Google Cloud 환경 경계를 유지합니다.

Security Command Center는 수십억 명의 사용자를 보호하고 수십만 시간 동안 사건을 조사하며 얻은 Google Threat Intelligence의 데이터를 통해 취약점 보고서를 더욱 풍부하게 합니다. 이러한 인사이트는 식별된 취약점의 영향과 악용 가능성을 파악하고, 이를 집계하여 보안 팀이 위협 환경을 더 잘 이해하고 어떤 취약점을 먼저 해결해야 할지 우선순위를 정하는 데 도움을 줍니다. 전반적인 분석 결과는 히트맵 형태로 시각화되어 제공됩니다.

Artifact Analysis 통합으로 컨테이너 이미지 취약점 찾기

오늘날 클라우드 네이티브 환경에서 컨테이너 이미지는 현대적 애플리케이션의 핵심 빌딩 블록입니다. 이러한 이미지에 알려진 소프트웨어 취약점이 없는지 확인하는 것은 가장 중요한 첫 번째 방어선입니다. 이제 Security Command Center는 Google Cloud의 Artifact Analysis 서비스 결과를 통합하여 컨테이너 이미지에 대한 취약점 스캐닝을 지원합니다.

이 통합 기능은 보안 팀이 배포된 컨테이너 이미지에서 발견된 잠재적 취약점과 다른 모든 Google Cloud 보안 결과를 함께 볼 수 있게 합니다. 또한 가상 레드팀을 사용하여 악용으로 인해 발생할 수 있는 더 광범위한 위험을 발견할 수 있습니다. 이 통합된 보기는 위험 평가를 간소화하고, 문제 해결을 효율적으로 하며, 경보 과부하(alert fatigue)와 도구 확산을 줄이는 데 도움이 됩니다.

Security Command Center와 Artifact Analysis의 통합은 이제 정식 출시되었습니다.

서버리스 애플리케이션 보호: Cloud Run 위협 탐지

Google Cloud Run과 같은 서버리스 컴퓨팅 플랫폼을 사용하면 조직이 기본 인프라를 관리할 필요 없이 애플리케이션과 웹사이트를 구축할 수 있습니다.

Security Command Center는 이제 Cloud Run 서비스 및 작업에 대한 위협 탐지를 통합하여 프리뷰로 제공합니다. 이는 잠재적으로 악의적인 활동에 대해 Cloud Run 배포를 지속적으로 분석하는 16개의 특화된 탐지기를 사용합니다. 이러한 탐지 범위는 서드파티 제품으로는 불가능하며, 다음과 같은 내용을 포함합니다.

• 행동 분석: 예상치 못한 바이너리 실행, 알려진 악성 URL에 대한 연결, 리버스 셸(reverse shell) 구축 시도와 같은 활동을 식별합니다.

• 악성 코드 탐지: 런타임에 사용되는 알려진 악성 바이너리 및 라이브러리를 탐지합니다.

• NLP 기반 분석: 자연어 처리(NLP) 기술을 사용하여 Bash 및 Python 코드 실행 패턴을 분석하여 악성 의도를 파악합니다.

• 컨트롤 플레인 모니터링: Google Cloud Audit Logs(특히 IAM 시스템 이벤트 및 관리자 활동 로그)를 분석하여 Cloud Run 작업에서 실행된 알려진 암호화폐 채굴 명령어나, Compute Engine 기본 서비스 계정이 Cloud Run 서비스의 IAM 정책을 수정하는 데 사용된 경우와 같은 잠재적인 보안 위협을 식별합니다. 이는 공격 후 권한 상승 시도일 수 있습니다.

이러한 다중 계층 탐지 전략은 코드 실행부터 컨트롤 플레인 활동에 이르기까지 Cloud Run 애플리케이션을 표적으로 하는 잠재적 위협에 대한 포괄적인 가시성을 제공합니다.

기본 로그 분석으로 네트워크 이상 감지

Security Command Center는 Google Cloud 인프라에 내장되어 있기 때문에, 이상하고 악의적인 활동을 찾기 위해 분석할 수 있는 로그 소스에 직접 접근할 수 있습니다. 예를 들어, Security Command Center는 내부 네트워크 트래픽을 분석하여 Google Threat Intelligence가 의심스럽거나 악의적인 행동으로 분류한 알려진 악성 IP 주소로의 연결을 자동으로 탐지할 수 있습니다.

이제 정식 출시된 이 내장 기능은 독보적인 이점을 제공합니다. 서드파티 클라우드 보안 제품은 유사한 네트워크 인사이트를 얻기 위해 고객이 VPC Flow Logs를 구매, 수집, 저장 및 분석하는 비용이 많이 들고 복잡한 프로세스를 거쳐야 하지만(종종 추가 비용 발생), Security Command Center는 로그를 내보낼 필요 없이 이 중요한 분석을 네이티브 방식으로 제공합니다.

다음 단계로 나아가세요

Security Command Center의 기능을 평가하고 구독 옵션을 알아보려면 Google Cloud 영업 담당자 또는 공인 파트너에게 문의하세요. 또한 여기에서 Security Command Center를 활성화하는 방법을 배울 수 있습니다.

제품 소식과 기술 자문을 얻으려면 Security Command Center 사용자 커뮤니티에 가입해 주세요.