중요:

이 실습은 데스크톱/노트북에서만 완료해야 합니다.

실습당 5회만 시도할 수 있습니다.

첫 시도에 모든 문제를 맞히지 못하거나 학습을 다시 해야 하는 것은 흔한 일이며 학습 과정의 일부입니다.

실습이 시작되면 타이머를 일시중지할 수 없습니다. 1시간 30분이 지나면 실습이 종료되므로 다시 시작해야 합니다.

자세한 내용은 실습에 관한 기술적 도움말을 참고하세요.

활동 개요

거짓양성은 위협을 잘못 식별하는 알림입니다. 거짓양성은 적법한 사용자 활동에 의해서도 트리거될 수 있습니다. 보안 담당팀이 거짓양성 알림을 조사하는 데 많은 시간과 리소스를 할애해도 실제 위협이 존재하지 않을 수도 있습니다.

이 실습에서는 거짓양성 알림이 생성되는 활동을 재현해 봅니다. 그런 다음 Security Command Center(SCC)를 활용하여 거짓양성 위협에 액세스하고 분석하며 필요한 조치를 취합니다. 이 실습에서는 두 개의 별도 계정을 사용합니다. 하나는 거짓양성을 트리거하는 계정이고 다른 하나는 거짓양성을 분석하고 해결하는 계정입니다.

시나리오

팀장인 클로이에게 낮은 심각성의 보안 알림이 전송되었습니다. 이 알림은 사용자 관리 키를 통한 안전하지 않은 키 관리 관행의 광범위한 권한을 보유한 서비스 계정을 식별했습니다. 추가 조사 결과 클라우드 설계자인 행크가 의도치 않게 이 알림을 트리거한 것으로 밝혀졌습니다. 행크는 새 서비스 계정을 테스트하다가 실수로 테스트 사용자 계정의 키를 만들었습니다. 이 알림은 거짓양성으로 처리되어 종료되었습니다.

클로이는 이 알림이 거짓양성 알림의 좋은 예라고 생각합니다. 이에 귀하에게 거짓양성 알림을 트리거한 활동을 재현해 달라고 요청했습니다. 따라서 알림 분석 후 문제 해결의 순서로 작업을 수행할 예정입니다. 거짓양성을 재현하는 과정은 알림이 트리거된 방식과 이유를 이해하고 효과적인 보안 정책을 구현하여 추가적인 거짓양성 알림을 완화하는 방법을 파악하는 데 도움이 되는 귀중한 학습 경험이 됩니다.

이 작업을 수행하는 방법은 다음과 같습니다. 먼저 서비스 계정을 만들고, 역할을 할당하고, 키를 제공하고, 서비스 계정을 활성화하여 거짓양성을 재현합니다. 그런 다음 Security Command Center(SCC)를 사용하여 트리거한 활동과 관련된 취약점 발견 항목에 액세스합니다. 마지막으로 취약점 발견 결과를 해결하기 위한 조치를 취하고 거짓양성을 해결하기 위한 조치를 취합니다.

설정

'실습 시작'을 클릭하기 전에

다음 안내를 확인하세요. 실습에는 시간 제한이 있으며 일시중지할 수 없습니다. 실습 시작을 클릭하면 타이머가 시작됩니다. 이 타이머는 Google Cloud 리소스를 사용할 수 있는 시간이 얼마나 남았는지를 표시합니다.

이 실무형 실습을 통해 시뮬레이션이나 데모 환경이 아닌 실제 클라우드 환경에서 직접 실습 활동을 진행할 수 있으며, 이를 위해 실습 시간 동안 Google Cloud에 로그인하고 액세스하는 데 사용할 수 있는 새로운 임시 사용자 인증 정보가 제공됩니다.

이 실습을 완료하려면 다음을 준비해야 합니다.

• 표준 인터넷 브라우저 액세스 권한(Chrome 브라우저 권장)

참고: 이 실습을 실행하려면 시크릿 모드 또는 시크릿 브라우저 창을 사용하세요. 개인 계정과 학습자 계정 간의 충돌로 개인 계정에 추가 요금이 발생하는 일을 방지해 줍니다.

• 실습을 완료하기에 충분한 시간. 실습을 시작하고 나면 일시중지할 수 없습니다.

참고: 계정에 추가 요금이 발생하지 않도록 하려면 개인용 Google Cloud 계정이나 프로젝트가 이미 있어도 이 실습에서는 사용하지 마세요.

실습을 시작하고 Google Cloud 콘솔에 로그인하는 방법

1. 실습 시작 버튼을 클릭합니다. 왼쪽에는 다음과 같은 항목이 포함된 실습 세부정보 패널이 있습니다.

   • 남은 시간
   • Google Cloud 콘솔 열기 버튼
   • 이 실습에 사용해야 하는 임시 사용자 인증 정보
   • 필요한 경우 실습 진행을 위한 기타 정보
   참고: 실습 비용을 결제해야 하는 경우 결제 수단을 선택할 수 있는 팝업이 열립니다.

2. Google 콘솔 열기를 클릭합니다(Chrome 브라우저를 실행 중인 경우 마우스 오른쪽 버튼으로 클릭하고 시크릿 창에서 링크 열기를 선택합니다). 실습 로그인 페이지가 새 브라우저 탭에서 열립니다.

   팁: 두 개의 탭을 각각 별도의 창으로 나란히 정렬하면 탭 간에 쉽게 전환할 수 있습니다.

   참고: 계정 선택 대화상자가 표시되면 다른 계정 사용을 클릭합니다.

3. 필요한 경우 아래의 Google Cloud 사용자 이름 1을 복사하여 로그인 대화상자에 붙여넣습니다. 다음을 클릭합니다.

{{{user_0.username | "Google Cloud username 1"}}}

실습 세부정보 패널에서도 Google Cloud 사용자 이름 1을 확인할 수 있습니다.

4. 아래의 Google Cloud 비밀번호를 복사하여 시작하기 대화상자에 붙여넣습니다. 다음을 클릭합니다.

{{{user_0.password | "Google Cloud password"}}}

실습 세부정보 패널에서도 Google Cloud 비밀번호를 확인할 수 있습니다.

중요: 왼쪽 패널에 표시된 사용자 인증 정보를 사용해야 합니다. Google Cloud 계정 사용자 인증 정보를 사용하지 마세요. 참고: 이 실습에 자신의 Google Cloud 계정을 사용하면 추가 요금이 발생할 수 있습니다.

5. 이후에 표시되는 페이지를 클릭하여 넘깁니다.
   • 이용약관에 동의하세요.
   • 임시 계정이므로 복구 옵션이나 2단계 인증을 추가하지 마세요.
   • 무료 체험판을 신청하지 마세요.

잠시 후 Cloud 콘솔이 이 탭에서 열립니다.

참고: 왼쪽 상단에 있는 탐색 메뉴를 클릭하면 Google Cloud 제품 및 서비스 목록이 있는 메뉴를 볼 수 있습니다.

작업 1. 서비스 계정 만들기

참고: 사용자 이름1: Google Cloud 콘솔탭이 표시되었는지 확인합니다.

이 작업에서는 서비스 계정을 만들고 SCC에서 비정상적인 위협 발견을 트리거할 수 있는 충분한 권한을 부여합니다.

1. Google Cloud 콘솔의 탐색 메뉴()에서 IAM 및 관리자 > 서비스 계정을 클릭합니다.

2. 작업 모음에서 서비스 계정 만들기를 클릭합니다.

3. 서비스 계정 세부정보 섹션에서 다음을 수행합니다.

   • 서비스 계정 이름 필드에 test-account를 입력합니다.

     서비스 계정 ID가 자동으로 채워지는 것을 확인합니다.

   • 만들고 계속하기를 클릭합니다.

     '서비스 계정이 생성되었습니다'라는 팝업 메시지가 표시됩니다.

4. 이 서비스 계정에 프로젝트에 대한 액세스 권한 부여 섹션에서 역할 선택 드롭다운 메뉴를 펼치고 기본을 선택한 다음 소유자를 선택합니다.

5. 계속을 클릭한 다음 완료를 클릭합니다.

서비스 계정 목록에 test-account 서비스 계정이 나열되어 있습니다.

내 진행 상황 확인하기를 클릭하여 이 작업을 올바르게 완료했음을 확인합니다. 서비스 계정 만들기

작업 2. 서비스 계정의 JSON 키를 만듭니다.

참고: 사용자 이름1: Google Cloud 콘솔탭이 표시되었는지 확인합니다.

이 작업에서는 이전 작업에서 만든 새 서비스 계정의 JSON 인증 키를 만들고 다운로드합니다. 그런 다음 Cloud Shell을 사용하여 해당 키를 Google Cloud 계정에 업로드합니다. 이렇게 하면 SCC에서 위협 발견 항목이 트리거됩니다.

1. 서비스 계정 페이지에서 test-account 서비스 계정의 인라인으로 작업() > 키 관리를 클릭합니다. test-account 페이지가 열립니다.

2. 키 섹션에서 키 추가 > 새 키 만들기를 클릭합니다.

3. 비공개 키 만들기 대화상자에서 키 유형을 JSON으로 설정합니다.

4. 만들기를 클릭합니다.

   콘솔에서 키를 로컬 기기에 다운로드하라는 메시지가 표시됩니다. 다운로드한 후에는 Cloud Shell을 사용하여 키를 Google Cloud(학생) 계정에 업로드합니다.

5. 로컬 기기에서 방금 다운로드한 키 파일로 이동하여 이름을 test-account로 바꿉니다.

6. Google Cloud 콘솔에서 Cloud Shell 활성화() 아이콘을 클릭합니다.

7. 계속을 클릭합니다.

   Cloud Shell 환경을 프로비저닝하고 연결하는 데 몇 분 정도만 걸립니다.

8. Cloud Shell 제목 표시줄에서 더보기() > 업로드 > 파일 선택을 클릭합니다.

9. 로컬 머신에서 파일을 찾아서 선택한 다음 업로드 대화상자에서 업로드를 클릭합니다.

10. 다음 명령어를 Cloud Shell 터미널에 복사합니다.

    ls

이 명령어는 방금 업로드한 키 파일을 나열합니다.

11. Enter 키를 누릅니다.

test-account 페이지의 키 목록에서 키 생성 날짜가 현재 날짜인 키를 확인합니다.

내 진행 상황 확인하기를 클릭하여 이 작업을 올바르게 완료했음을 확인합니다. 서비스 계정의 JSON 인증 키 만들기

작업 3. 거짓양성 발견 항목 트리거

참고: 사용자 이름1: Google Cloud 콘솔탭이 표시되었는지 확인합니다.

이 작업에서는 작업 1에서 만든 새 test-account 서비스 계정을 사용하도록 Cloud Shell 환경을 재구성합니다. 이렇게 하면 SCC에서 위협 발견 항목이 트리거됩니다. 그런 다음 실습 프로젝트에 과도한 권한을 할당합니다.

1. 다음 명령어를 Cloud Shell 터미널에 복사합니다.

   export PROJECT_ID=$(gcloud info --format='value(config.project)') export SA_NAME="test-account@${PROJECT_ID}.iam.gserviceaccount.com" gcloud auth activate-service-account ${SA_NAME} --key-file=test-account.json

이 명령어는 새 서비스 계정을 활성화합니다.

2. Enter 키를 누릅니다.

3. 다음 명령어를 Cloud Shell 터미널에 복사합니다.

   gcloud auth list

이 명령어는 서비스 계정을 활성화했으며 gcloud가 이 서비스 계정을 사용하고 있음을 확인합니다.

4. Enter 키를 누릅니다.

   출력에서 다음은 서비스 계정이 활성 상태임을 확인합니다.

   출력:

   ACTIVE: * ACCOUNT: test-account@{{{project_0.project_id | "Google Cloud project ID"}}}.iam.gserviceaccount.com

5. 다음 명령어를 Cloud Shell 터미널에 복사합니다.

   export STUDENT2={{{user_1.username | "Google Cloud username 2"}}} gcloud projects add-iam-policy-binding $PROJECT_ID --member user:$STUDENT2 --role roles/editor

이 명령어는 다음 작업에서 거짓양성 발견 항목에 액세스하고 수정할 수 있도록 사용자 2에게 편집자 역할을 부여합니다.

6. Enter 키를 누릅니다.

내 진행 상황 확인하기를 클릭하여 이 작업을 올바르게 완료했음을 확인합니다. 과도한 권한을 할당하여 위협 감지 트리거

작업 4. 두 번째 사용자로 로그인

실습 세부정보 패널에 제공된 두 번째 사용자 계정을 사용하여 Google Cloud 콘솔에 로그인하여 Google Cloud 계정을 전환해야 합니다. 이 사용자 계정을 사용하여 나머지 작업을 수행합니다.

1. Google Cloud 콘솔에서 화면의 오른쪽 상단에 있는 사용자 아이콘을 클릭한 다음 계정 추가를 클릭합니다.

2. 실습 세부정보 패널로 돌아가서 Google Cloud 사용자 이름 2: 와 비밀번호를 복사합니다. 그런 다음 사용자 이름과 비밀번호를 Google Cloud 콘솔 로그인 대화상자에 붙여넣습니다.

작업 5. SCC에서 위협 발견 항목 보기

참고: 사용자 이름 2: Google Cloud 콘솔 탭이 표시되었는지 확인합니다.

이 작업에서는 서비스 Event Threat Detection에서 생성된 SCC 발견 항목을 찾아서 검사합니다. 이 발견 항목은 작업 1~3에서 생성한 활동으로 인해 트리거된 거짓양성입니다.

SCC에서 Event Threat Detection 발견 항목을 확인하는 방법은 다음과 같습니다.

1. 탐색 메뉴()에서 보안 > 발견 항목을 클릭합니다.

2. 빠른 필터 창에서 카테고리 섹션을 찾은 다음 사용자 관리 서비스 계정 키를 선택합니다. 필요한 경우 더보기를 클릭하여 찾습니다.

   발견 항목 쿼리 결과 패널이 업데이트되어 선택한 발견 항목 카테고리만 표시됩니다.

3. 발견 항목 쿼리 결과 패널에서 카테고리 열의 가장 최근(이벤트 시간 참고) 사용자 관리 서비스 계정 키를 클릭하여 발견 항목의 세부정보를 표시합니다. 발견 사항의 세부정보 패널이 열리고 요약 탭이 표시됩니다.

사용자 관리 서비스 계정 키 페이지를 열어 둔 채 다음 질문에 답합니다.

작업 6. 발견 항목 수정

참고: 사용자 이름 2: Google Cloud 콘솔 탭이 표시되었는지 확인합니다.

이 작업에서는 test-account 서비스 계정의 JSON 인증 키를 삭제하여 거짓양성을 해결합니다.

1. Google Cloud 콘솔의 탐색 메뉴()에서 IAM 및 관리자 > 서비스 계정을 클릭합니다.

2. 서비스 계정 페이지에서 test-account 서비스 계정의 이메일 주소를 클릭합니다.

3. 키 탭을 클릭합니다.

4. 키 목록에서 서비스 계정 키 삭제() 아이콘을 클릭하여 키를 삭제합니다. 작업을 확인하라는 팝업이 표시됩니다. 삭제를 클릭합니다.

내 진행 상황 확인하기를 클릭하여 이 작업을 올바르게 완료했음을 확인합니다. 키 삭제

결론

수고하셨습니다.

실습을 완료했습니다. SCC를 사용하여 거짓양성을 조사하고 이를 해결하기 위한 조치를 취했습니다. 클라우드 보안 분석가는 거짓양성 알림을 접할 가능성이 높습니다. 거짓양성 알림이 트리거되는 방식과 이유를 이해하고 이를 해결하기 위해 어떤 조치를 취할 수 있는지 파악하는 것이 중요합니다.

실습 종료하기

실습을 종료하기 전에 모든 작업을 완료했는지 확인하세요. 준비가 되면 실습 종료를 클릭한 다음 제출을 클릭합니다.

실습을 종료하면 실습 환경에 대한 액세스 권한이 삭제되며, 실습에서 완료한 작업에 다시 액세스할 수 없습니다.

Copyright 2026 Google LLC All rights reserved. Google 및 Google 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표일 수 있습니다.