AWS Continuum 소개: 코드 취약점을 다루는 새로운 보안 시스템
AWS가 코드 취약점을 대상으로 하는 새로운 보안 시스템인 AWS Continuum을 게이트 프리뷰(gated preview)로 공개했습니다. 취약점을 찾아 대시보드에 쌓아두고 사람이 들여다보던 기존 방식 대신, 발견부터 우선순위 판단, 검증, 완화와 조치까지 취약점의 전체 수명주기를 연속된 단계로 처리하는 것이 골자입니다.
왜 새로운 접근이 필요했는가
지난 10년간 보안 운영 모델은 텔레메트리를 수집하고, 저장하고, 질의하고, 대시보드로 지켜보는 형태였습니다. AWS는 이 모델이 더 이상 속도를 따라가지 못한다고 봅니다. Claude Mythos 같은 최신 사이버보안 프런티어 모델이 소프트웨어 취약점을 찾아내고 복잡한 공격 경로를 기계 속도로 추론할 수 있게 되면서, 처리해야 할 취약점 백로그가 기하급수적으로 늘어나는 상황이 생겼습니다. 취약점을 찾는 쪽이 빨라진 만큼, 그것을 확인하고 해결하는 쪽도 같은 속도로 움직여야 한다는 문제의식입니다.
Continuum은 텔레메트리, 컨텍스트, 추론, 조치를 묶어 결과를 만들어내는 방향으로 설계되었습니다. AWS와 Amazon.com의 보안 운영에서 얻은 경험을 바탕으로 하며, 일률적인 규칙을 적용하는 대신 비즈니스 컨텍스트를 이해하도록 만들어졌습니다.
어떤 컨텍스트를 활용하는가
Continuum for code vulnerabilities는 환경 전체를 대상으로 추론합니다. 여기에는 AWS 안에 이미 존재하는 구조화된 데이터와, 조직의 운영 방식과 리스크 프로파일을 담은 비구조화 데이터가 모두 포함됩니다.
구조화된 데이터는 인프라, 권한, 네트워크 토폴로지, 코드 같은 것을 말합니다. 비구조화 데이터는 문서, 커뮤니케이션, 비즈니스 우선순위처럼 조직이 실제로 어떻게 돌아가는지를 보여주는 정보입니다. 두 종류의 데이터를 함께 보기 때문에 단순히 취약점이 존재하는지를 넘어, 그것이 이 조직에서 어떤 의미를 갖는지까지 판단할 수 있습니다.
네 단계로 도는 루프
Continuum for code vulnerabilities는 네 개의 연속된 단계로 동작합니다.
발견(Discovery) 단계에서는 이미 쌓여 있는 취약점 백로그를 받아들이고, 동시에 환경에 대한 자체 취약점 스캔을 수행합니다. 많은 보안팀이 이미 프런티어 모델로 취약점을 찾고 있는데, Continuum은 그 결과를 흡수하면서 자체 스캔을 더해 취약점과 연관 공격 경로에 대한 더 포괄적인 그림을 만듭니다.
우선순위(Prioritization) 단계에서는 컨텍스트를 활용해 모든 발견 항목을 평가하고 보강한 뒤 순위를 매깁니다. 영향을 받는 컴포넌트가 실제로 배포되어 있는지, 도달 가능한지, 프로덕션 경로에 있는지, 악용될 경우 비즈니스에 어떤 영향이 있는지를 따집니다. 결과물은 근거가 뒷받침된 우선순위 목록입니다.
검증(Validation) 단계는 팀의 시간을 낭비시키기 전에 오탐을 걸러냅니다. 취약점을 환경에 비추어 맥락화한 다음, 샌드박스 환경에서 실제로 동작하는 익스플로잇 예시를 구성합니다. 이를 통해 재현 가능한 구체적 증거를 확보합니다.
완화와 조치(Mitigation and remediation) 단계에서는 검증된 문제 주변의 기존 방어 수단을 평가합니다. 차단 제어, 보완 제어, 탐지 메커니즘이 여기에 포함됩니다. 그런 다음 코드베이스와 컨텍스트, 발견 내용에 대한 이해를 바탕으로 네트워크 변경, 정책 변경, 코드 패치 중 적절한 완화 또는 조치 방법을 권고합니다. 패치 권고안은 앞서 취약점을 확인할 때 썼던 것과 동일한 시스템으로 다시 검증됩니다. 가능한 경우 영향 범위(blast radius)에 대한 가시성과 롤백 경로도 함께 제공합니다.
Continuum은 여러 프런티어 모델을 각각 가장 잘하는 영역에 쓰는 모델 비종속(model agnostic) 구조입니다. 새롭고 더 뛰어난 모델이 나오면 그것을 받아들이도록 만들어졌습니다.
신뢰는 단계적으로 부여된다
Continuum은 사람이 루프 안에 있는 학습 모드(learn mode)로 시작합니다. 모든 권고에는 그 판단에 이른 추론 과정이 함께 제시됩니다. 운영하면서 신뢰가 쌓이면 시행 모드(enforce mode)로 올릴 수 있고, 이때 사용자가 정의한 카테고리와 리스크 프로파일에 따라 조치를 점점 더 자동화할 수 있습니다.
자동화 범위를 한 번에 넘기는 것이 아니라, 어떤 카테고리를 어느 정도 위험 수준까지 자동으로 처리할지 직접 정하면서 점진적으로 넓혀가는 방식입니다.
함께 묶인 기능들
Continuum에는 이미 알려진 기능들도 포함됩니다. AWS Security Agent의 침투 테스트와 코드 스캔 기능은 이제 Continuum pen testing, Continuum code scanning(프리뷰)으로 Continuum의 일부가 되었습니다.
여기에 Continuum threat modeling이 프리뷰로 추가됩니다. 설계 문서나 소스 코드에서 위협 모델을 자동으로 생성하고, 결과를 STRIDE 형식으로 출력합니다. 이런 기능들은 탐지와 분석 소스로서, 발견-우선순위-검증-조치로 이어지는 Continuum의 전체 루프에 데이터를 공급하는 역할을 합니다.
대상 워크로드와 적용 범위
현재 다루는 대상은 코드 취약점이며, 자사(1st party) 코드와 외부(3rd party) 코드를 모두 포함합니다. AWS는 코드에서 시작해 다른 보안 영역으로 확장할 계획임을 밝혔고, 지금 단계는 시작점이라고 설명합니다.
개발 파트너로는 금융 서비스, 자동차, 기술 분야의 고객들이 참여하고 있습니다. AWS는 이들의 피드백을 통해 보안팀이 신뢰를 얻고 실제로 조치를 취하는 도구를 원한다는 방향을 확인했다고 합니다.
도입 전 확인할 사항
AWS Continuum for code vulnerabilities는 현재 게이트 프리뷰로 제공됩니다. 사용하려면 접근 권한을 신청해야 합니다. Continuum pen testing과 Continuum code scanning, Continuum threat modeling은 프리뷰 상태입니다.
지원 리전, 요금, 세부 제약 등은 이번 공개 내용에 구체적으로 담겨 있지 않으므로, 해당 사항은 AWS 공식 문서와 Continuum 페이지에서 확인할 수 있습니다. 접근 신청과 추가 정보는 AWS Continuum 페이지(aws.amazon.com/ko/blogs/security/introducing-aws-continuum-security-at-machine-speed)에서 확인할 수 있습니다.
원문: Introducing AWS Continuum: Security at machine speed · 발행일 2026-06-17