IAM — 인증과 권한의 기초

2019년 7월, 전직 AWS 엔지니어 한 명이 Capital One의 서버에 침입하여 1억 600만 명의 개인정보를 유출했습니다. 이름, 주소, 신용 점수, 사회보장번호까지 포함된 대규모 데이터 유출 사건이었습니다. Capital One은 8천만 달러의 벌금을 부과받았고, CEO는 공개 사과문을 발표해야 했습니다.

이 사건의 근본 원인은 무엇이었을까요? 정교한 해킹 기법이 아니었습니다. 과도하게 부여된 IAM 역할 권한 — 바로 이것이 1억 명의 개인정보를 노출시킨 열쇠였습니다.

IAM(Identity and Access Management)은 AWS 보안의 시작이자 끝입니다. 클라우드에서 발생하는 보안 사고의 대부분은 잘못된 IAM 설정에서 시작됩니다.

이 레슨을 마치면 다음을 이해할 수 있습니다:

• 인증(Authentication)과 권한 부여(Authorization)의 차이
• IAM의 4가지 핵심 구성 요소: 사용자, 그룹, 역할, 정책
• IAM 정책 JSON을 읽고 해석하는 방법
• 왜 액세스 키 대신 역할을 사용해야 하는지
• 최소 권한 원칙을 실무에서 적용하는 전략