SCC Enterprise란?

• 클라우드 보안 + 보안 운영(SecOps) 통합 플랫폼
• Google Cloud + Mandiant + AI 기반 보안 분석 및 대응

핵심 기능 요약

• 자산 가시성 확보 (에이전트 설치 필요 없음)
• 위험 탐지 및 분석 (취약점, 구성 오류)
• 위험 우선순위 부여 (공격 노출 점수 기반)
• 멀티 클라우드 통합 보안 지원 (AWS, Azure, GCP)

주요 구성요소 및 기능

• Risk Engine: 공격자 시뮬레이션, 우선순위 분석
• SOAR 통합: 자동 대응, 워크플로 자동화
• Gemini AI: 복잡한 위협 요약 및 설명 제공

SCC의 3가지 버전 비교

보안 개념 비유 : "도시"로 본 클라우드 보안

• 건물 = 워크로드, 도로 = 데이터 흐름, 구역 = 클라우드 환경
• 도시가 커질수록 보안 통제는 더 복잡해짐 → SCC 필요성 증가

보안 모델 핵심 개념

• Shift-Left: 개발 초기 단계에서 보안 적용
• CIEM: IAM을 넘는 세부 권한 추적
• CNAPP: 전체 애플리케이션 보호 플랫폼
• 코드형 인프라: IaC 기반 보안 통합

위협 탐지 vs 취약점 관리

대표적인 사례 기반 대응

• 암호화폐 채굴 탐지 → VM 중지
• 악성 URL 탐지 → 자동 경고 및 분석
• 서비스 계정 이상 행동 → 과거 사례 조회 및 분석

SCC 활성화 및 과금 구조

• 조직 단위로 활성화 가능
• 구독 + 사용량 기반 요금 (Enterprise)
• 스탠다드는 무료 제공

위협 탐지 vs 취약성 관리

클라우드 위협 유형

1. 데이터 유출 – 민감 정보 탈취
2. 무단 접근 – 자격 증명 탈취 또는 취약점 악용
3. 악성코드 – 시스템 감염, 백도어 설치 (트로이 목마나 독화살 같은 디지털 형태의 악성코드)
4. 크립토재킹 – 리소스 불법 사용 (암호화폐를 채굴)
5. 서비스 거부(DoS) – 정상적인 사용자가 중요 서비스에 접근할 수 없음

클라우드 트위스트

• 잘못된 구성 : 작은 설정 실수가 큰 보안 문제로 약용될 수 있음
• 취약한 API : 애플리케이션이 서로 통신하는 데 사용하는 API가 공격 통로로 이용될 수 있음
• 클라우드 자체 공격 : 공급자 인프라의 취약점 악용

위협 탐지 방법 및 데이터

① 서명 기반 탐지 (Signature-based Detection)

• 알려진 공격 패턴을 찾아서 식별
• 예: 랜섬웨어 코드, 맬웨어 특성

② 이상 기반 탐지 (Anomaly-based Detection)

• 정상 동작과 비교하여 이상 행위 감지
• 예: 비정상적인 로그인, 데이터 다운로드 급증

위협 탐지에 사용되는 데이터 소스

SCC Enterprise에서 위협 사례(Threat Cases) 관리

• SCC Enterprise UI에서 사례(case) 조회 → 조사 → 조치 → 탐지 규칙 관리까지 가능.
• Chronicle SIEM과 SOAR와 통합되어 있어 SOC 분석가나 보안 엔지니어가 사용하기 용이.

사용자 인터페이스 시작

• 대부분의 사용자는 SOAR 대시보드보다 Case View에서 시작.
• Case View
  • 열려 있는 사례 목록 확인
  • 자신에게 할당된 사례 확인
  • 우선순위(priority)별 정렬 가능
  • 작업 순서를 높은 우선순위 → 낮은 우선순위로 진행

사례 처리 예시

(1) 암호화폐 채굴(Crypto Mining) 탐지

• 사례 특징
  • 높은 정확도(high fidelity) 탐지
  • 관련 알림(alerts) 그룹화
• 조치
  • Compute Instance 중지
  • 실행 결과(case wall에 기록)
• 효과
  • Mean Time to Resolve(MTTR) 단축
  • 빠른 대응으로 조직 손실 최소화

(2) 악성 URL 탐지

• 여러 알림(alert) 그룹화 → AI 요약 제공
  • 악성 URL 확인 → 리버스 셸 감지 → 실행되지 않은 바이너리 실행
• False Positive 최소화
• 사례 단계
  • 조사(Investigation)
  • 팀 배정(Tier 3) → 심층 조사(IR)
• 플레이북 활용
  • 자동 이메일 발송
  • 조직 내 다른 사용자로부터 확인(Confirm/Deny) 가능

서비스 계정(Service Account) 관련 사례

• 경고: 자기 권한(self-investigation) 확인 후 리소스 생성
  • 일반적이지 않은 행동
• 사례 조사 과정
  • 관련 서비스 계정 컨텍스트 확인
  • 이전 33개 사례 모두 악성 아님 → 시간 절약
  • 엔티티 로그(Entity Log) 참고 가능
• SIEM 활용
  • YARA-L 또는 영어 문장으로 쿼리 작성 가능
  • 탐지 시간, 연관 엔티티, IP 주소 등 심층 분석 가능

취약성(취약점) 관리란?

• 취약점(Vulnerability) : 시스템, 소프트웨어, 네트워크, 또는 사람의 실수로 인해 공격자가 악용할 수 있는 약점
• 취약점 관리(Vulnerability Management) : 이런 약점을 미리 찾아내고, 평가하고, 수정하는 과정
  → 공격자가 악용하기 전에 예방

취약점 관리의 수명주기 : 끊임없이 변화하는 과정

1. 식별(Identify)
   • 모든 시스템, 네트워크, 애플리케이션을 점검하여 약점을 찾음
   • 도구: 취약점 스캐너(Vulnerability Scanner)
     • 네트워크 기반: 전체 네트워크 점검
     • 호스트 기반: 개별 기기 점검
     • 애플리케이션 기반: 특정 소프트웨어/웹앱 점검
2. 분석(Analyze)
   • 발견된 취약점의 위험도와 영향을 평가
   • CVSS(공통 취약점 점수 체계) 사용: 낮음/보통/높음/심각
3. 우선순위(Prioritize)
   • 모든 문제를 한꺼번에 해결할 수 없으므로 위험도가 높은 것부터 처리
   • 예: 고객 데이터에 직접 영향을 주는 취약점 먼저
4. 수정(Remedy/Fix)
   • 취약점을 보완
   • 방법:
     • 패치(Patch): 소프트웨어 결함을 고침
     • 구성 변경(Configuration Change): 보안 설정 강화
     • 코드 업데이트: 프로그램 자체 수정
5. 보고(Report)
   • 발견, 조치, 진행 상황을 문서화
   • 이해관계자에게 투명하게 공유

💡 중요: 취약점 관리는 한 번으로 끝나는 게 아니라 계속 반복되는 과정

취약점 스캐닝 및 평가

• 취약점 스캐너 : 자동화 도구로 약점을 찾아주는 탐조등
  1. 네트워크 기반: 전체 네트워크 점검
  2. 호스트 기반: 개별 서버/PC 점검
  3. 애플리케이션 기반: 특정 프로그램/웹 점검
• 취약점 점수(CVSS)
  • 기술적 세부 정보를 심각도 점수로 변환
  • 낮음 / 보통 / 높음 / 심각
• 위험 평가
  
  • 실제 비즈니스 영향과 결합해 우선순위 결정

우선순위 지정 및 수정 전략

1. 위험 기반 우선순위
   • CVSS 점수 + 비즈니스 영향 → 어떤 취약점을 먼저 해결할지 결정
2. 패치 전략
   • 중요 패치 : 위험한 취약점이므로 즉시 해결 필요
   • 정기 패치 : 예정된 유지보수 시 적용
3. 수정 워크플로
   • 보안팀 + 운영팀 협력
   • Security Command Center(SCC)를 통해 작업 할당, 진행 상황 추적 가능
4. 보완 통제(보조 수단)
   • 바로 패치 불가 시 임시 방어
   • 예:
     • 네트워크 세분화
     • 강화된 모니터링
     • 접근 권한 제한

[참고 영상] 

https://www.youtube.com/watch?v=oL8nB5GHbd0&t=132s

SCC 위험 개요 메뉴

• Google Cloud Console의 SCC에서 시작되는 CNAPP 표준 워크플로의 출발점
• 조직 내 모든 보안 문제(취약점과 위협)를 한눈에 보여주는 개요판
• 상단 패널에는 가장 시급한 발견 사항이 표시됨
• Mandiant에서 평가한 CVE(취약점 정보)와 영향, 악용 가능성도 함께 확인 가능

위험 수준 분류

SCC는 각 발견 사항에 심각도를 매김

중요(Critical)	즉각적인 주의가 필요한 심각한 취약점/위협
높음(High)	악용 가능성이 큰 위험
중간(Medium)	위험은 있지만 직접적 영향은 제한적, 해결 필요
낮음(Low)	정보 수준, 사소한 구성 문제
미지정(Unspecified)	중요도 미결정 (흔치 않음)

 

 

 

• 공격 노출 점수에 따른 취약성 결과도 함께 제공
  • 공격자가 특정 리소스에 얼마나 쉽게 접근 가능한지 시뮬레이션하여 산출
  • 점수 계산에 고려되는 요소
    1. 리소스 수와 가치
    2. 공격자가 취할 수 있는 가능한 경로 수
    3. 경로 끝에 있는 리소스 접근 성공 확률

리소스 유형별로 취약점을 분석할 수 있음 (영향을 받은 리소스의 유형과 개수, 각 발견 사항의 중요도가 표시)

사례(Case) 분석

• 위험 개요에서 중요한 발견 사항을 사례 단위로 검토
• 사례 = 디지털 “파일 폴더”처럼 조사에 필요한 정보 보관
  • 알림(Alerts) : 탐지된 경고
  • 이벤트(Events) : 원시 보안 데이터
  • 개체(Entities) : 사용자, IP 등 조사 대상
  • 아티팩트(Artifacts) : 파일 경로, 레지스트리 키 등
  • 참고사항(Notes) : 분석가 관찰, 가설
  • 업무(Tasks) : 조사 실행 항목

공격 경로 시뮬레이션

• 공격자가 취약점, 구성 오류, IAM 권한을 통해 중요 리소스에 접근하는 실제 공격 시나리오를 모델링
• 공개 인터넷에서 공격 시작 시나리오 기준
• AI 요약(Gemini)을 통해 수정 방법 안내 가능
• 잘못된 발견(거짓 양성)은 음소거(Mute) 가능

전체 워크플로 요약

1. SCC 위험 개요 메뉴 확인 → 시급한 발견 사항 확인
2. 위험 평가 → 심각도, 공격 노출 점수 확인
3. 사례(Case) 검토 → 취약점 세부 분석
4. 공격 경로 시뮬레이션 → 현실적 공격 시나리오 확인
5. 대응 결정 → 수정, 보완 통제, 음소거 등

🧾 목 차

1. SCC Enterprise 소개
2. SCC Enterprise 핵심 기능
3. SCC Enterprise 추가 기능
4. 자주 사용되는 용어
5. SCC Enterprise와 다른 요소들과의 관계
6. Enterprise Cloud Security와의 연결
7. SCC의 3가지 버전 비교 (Enterprise, Premium, Standard)
8. 사용 사례와 시나리오
9. 활성화 및 가격 책정

도시로 비유한 클라우드 보안

▪️ 조직은 ‘도시’처럼 복잡하게 성장

• 건물 = 클라우드 워크로드 (애플리케이션, 서비스)
• 도로 = 데이터 흐름
• 지역 = 다양한 클라우드 환경
• 도시가 커질수록 보안을 관리하는 것이 더 어려워짐
  → 내부의 위험뿐 아니라 외부(경계 바깥)의 위협도 커짐

클라우드 보안을 어렵게 만드는 주요 원인

1. 공격 표면의 확장
   • 멀티 클라우드 환경일수록 모든 지점을 지키는 건 어렵고 부담이 큼
2. 사일로화된 팀
   • 보안도 부서들이 협력하지 않으면 정보 단절과 비효율 발생
3. 수정이 어려움
   • 문제를 알아도 누가 책임져야 할지 명확하지 않음
   • 대응이 늦고 복잡해짐

필요성

1. 사전 예방 보안: 설정, 권한, 데이터 보호 등 (Cloud Security Team)
2. 사후 대응 보안: 위협 탐지, 알림 대응 등 (SecOps Team)

SCC Enterprise란 ?

“보안 팀을 통합하고, 클라우드 위험을 완전한 흐름으로 관리하는 솔루션”

• SCCEnterprise는 클라우드 보안 + 보안 운영(SecOps)을 하나로 합친 도구
  • Google의 AI 기술과 보안 전문가 그룹 Mandiant의 전문성을 결합한 전방위적 위험 관리 플랫폼

잘못된 구성, 취약점 및 위협 발견

SCC의 핵심 기능: 클라우드 환경을 지키는 방법

• CMS(Cloud Security Posture Management) 역할: 잘못된 설정, 오래된 소프트웨어, 규정 위반을 자동으로 탐지

클라우드 가시성 확보

• 에이전트 설치 없이도 멀티 클라우드 환경 전체를 스캔
• 마치 전체 도시를 보여주는 고화질 지도처럼 클라우드 자산을 파악

위험에 집중

• 단순 탐지 아닌, 해커가 악용할 수 있는 ‘진짜 위험’을 찾음
• 설정 오류, 보안 허점, 취약 소프트웨어 등을 자동 분석

우선순위 지정

• 공격 노출 점수 부여 → 중요한 것부터 대응

지속적인 위험 분석 엔진 (Risk Engine)

하는 일

• 중요 자산 우선 표시 : 해커가 노릴 만한 고가치 자산 식별
• 공격자 시뮬레이션 : 실제 공격자가 침투할 경로를 가상 실험
• 리스크 스코어링 : 위험 점수화로 대응 순서 자동 설정
• 리스크 대시보드 제공 : 실시간 보안 상태 한눈에 파악

공격 경로 시뮬레이션

• 클라우드 자산 간 연결 구조(그래프)를 분석
• 해커처럼 생각하고 공격 시나리오를 실행
  → 실제 침입 전 취약 경로를 미리 확인

멀티 클라우드 위협 탐지

AWS, Azure, GCP 모두 지원

• 멀티 클라우드에 걸쳐 위험을 통합적으로 탐지

위협 인텔리전스 + Google AI

• IOC(침해 지표), 이상 행동 탐지, 규정 위반 포착
• 과거 공격 패턴 분석 + AI 추천으로 빠른 대응

Mandiant Hunt

• MITRE ATT&CK 프레임워크 기반 위협 분석
• VirusTotal, Google Threat 데이터와 연계

SOAR (자동 대응) 기능

사고 대응 프로세스의 자동화 시스템

Chronicle SOAR 통합

• 자동 플레이북 실행 (예 : 악성 경고 자동 차단)
• 보안 전문가가 직접 코드 없이 대응 흐름 설정 가능

응답 워크플로 정리

• 사건 그룹화 + 우선순위 부여
• 팀/전문가에 따라 자동 분배
• Jira, ServiceNow 등과 연동 가능 → 기존 도구 통합

Gemini AI: 당신의 보안 비서

역할

• 엄청난 데이터를 빠르게 읽고 요약
• 복잡한 공격 흐름도 한눈에 파악 가능
• 보안 용어를 비전문가도 이해할 수 있는 말로 번역

코드로서의 인프라 

• 인프라(Infrastructure) : 서버, 네트워크, 스토리지 등 클라우드에서 앱이 작동하는 기반 구조
• 코드형 인프라(IaC) : 이 인프라를 문서처럼 ‘코드’로 작성해서 자동으로 만들고 관리하는 방식

📌 비유: 건물을 지을 때 사람 손으로 하나씩 짓는 게 아니라,
건축 도면(코드)을 주면 자동으로 도시가 만들어지는 것

SCC에서 하는 일

• 보안 규칙을 설계 단계에서부터 적용
  (→ 건물 도면에 소방 규칙, 출입 규정 같은 걸 미리 포함)
• 개발 도중에도 보안 위험 자동 알림
  (→ 공사 중 안전요원이 문제를 발견해 바로 알려주는 느낌)
• Terraform 등 도구와 연동
  (→ 자동화된 계획서 검토 + 수정 제안까지)

소프트웨어 공급망 보안

• 신뢰할 수 있는 공급 → 검증된 오픈소스 소프트웨어(OSS)
• 신속한 대응 → 구글의 첨단 스캐닝 기능으로 문제를 조기에 해결
• 서명 및 봉인 → 출처 보장, 변조 방지

Google Cloud 서비스 보안 통찰력

• Google Cloud의 내부 작동 방식까지 포착 
• 패턴에서 벗어난 행동도 포착 가능 → 다른 보안 도구보다 정밀한 탐지 가능

신원 기반 공격 방어 (IAM + 개인정보 보호)

• IAM (Identity and Access Management) 정책과 Google 그룹/정책 연동해서 내부자 위협도 감시
• 개인정보 보호 설계 포함
  (→ 시민 안전을 위한 보안 + 프라이버시 지침 동시 적용)

위협 인텔리전스 (Mandiant 통합)

• 위협 인텔리전스: 해커들이 어떤 수법을 쓰는지에 대한 정보 모음

민감한 데이터 보호

• AI로 자동 분류 (150개 이상 범주)
• PDF, 이미지, 비정형 데이터까지 분석
• 민감한 데이터를 찾고, 정리하고, 보호 규칙 적용

CIEM (Cloud Infrastructure Entitlement Management)

• CIEM은 IAM보다 한 단계 더 진화된 보안
  → “누가 어떤 권한을 얼마나 많이 갖고 있는지” 세세하게 분석

보안 태세 = 전반적인 상태 등급

• 클라우드 리소스가 안전하게 구성되어야함
• 보안태세가 좋다라는 것은 알려진 취약점을 최소화하고 위협을 사전에 식별하고 대응할 수 있는 적절한 도구와 프로세스를 갖추고 있음을 의미
• (방화벽, 암호화, 사용자 권한 요소로 포함)
• 보안 포스처 서비스를 사용하면 전반적인 상태를 정의, 평가 및 모니터링 할 수 있음 

취약성 관리

• 지속적으로 검사하여 오래된 소프트웨어, 잘못된 설정, 패치되지 않은 시스템 등의 취약점을 찾아내고 개선
  
  

위협 탐지

• 클라우드 내부에서 이상한 움직임, 해킹 시도, 악성 프로그램 등을 24시간 감시하는 시스템

SIEM (보안 사고 및 이벤트 관리)

• 클라우드 환경 전반의 다양한 보안 시스템에서 알림, 로그 데이터, 인텔리전스를 수집
• 사건의 상관관걔를 파악하고 패턴을 식별하고 위협을 평가, 대응 전략을 결정

SOAR (보안 자동화 및 대응)

• 보안 프로세스를 간소화하고 자동화하여 인적 개입을 최소화하고 대응 시간을 단축
• 의심스러운 활동을 차단하고 사고를 분류하여 적절한 팀에 할당하고 사전 구축된 워크플로를 사용하여 조사를 시작

CNAPP (클라우드 네이티브 애플리케이션 보호 플랫폼)

• 취약성 관리, 위협 탐지, 자동 대응 등을 한 번에 할 수 있도록 모아놓은 플랫폼

시프트-레프트 (Shift-Left)

• 클라우드 개발 프로세스의 시작 단계부터 보안을 강화하는 것
• 보안테스트를 통합하고 기본값을 설정하고 향후 취약점을 방지하기 위해 구성 검사를 자동화

SCC 엔터프라이즈 

• 무엇?
  멀티클라우드(AWS, Azure, Google Cloud)를 한 번에 다루는 가장 강력하고 포괄적인 보안 미션 컨트롤 센터

• 주요 기능
  • 여러 클라우드를 모두 커버
  • 보안 문제를 쉽게 해결하는 도구 내장
  • Mandiant라는 세계 최고 위협 분석 전문가와 연동
  • 마치 최고의 보안 전문가 팀이 항상 함께 있는 느낌

• 누가 쓰면 좋을까?
  • 여러 클라우드를 쓰면서 강력한 보안이 필요한 회사
  • 보안 대응을 쉽고 빠르게 하고 싶은 조직

• 가격
  • 구독 + 사용량 기반, 예측 가능한 비용 구조

SCC 프리미엄 

• 무엇?
  Google Cloud 환경을 중점적으로 안전하게 지키는 전문 도구
  (멀티클라우드보다 한정된 환경)

• 주요 기능
  • Google Cloud 보안 상태를 꼼꼼히 관리
  • 해커가 쓸 수 있는 공격 경로 시각화
  • Google의 뛰어난 위협 탐지 기능
  • 규정 준수 상황 모니터링

• 누가 쓰면 좋을까?
  • Google Cloud를 주로 쓰는 조직
  • 심층적인 보안 관리가 필요한 곳

• 가격
  • 사용량에 따라 비용 부과, 유연한 구조

SCC 표준(Standard)

• 무엇?
  Google Cloud 내에서 기본적인 보안 모니터링 도구

• 주요 기능
  • 기본적인 보안 설정 상태와 취약점 확인

• 누가 쓰면 좋을까?
  • Google Cloud 사용량이 적고 보안 요구가 간단한 곳
  • 처음 시작하는 조직에 적합

• 가격
  • 추가 비용 없이 무료 제공

내게 맞는 SCC 옵션 고르는 법