GSP1164

개요

Security Command Center(SCC)는 다음과 같은 작업 수행에 유용한 보안 모니터링 플랫폼입니다.

• Google Cloud 리소스에서 보안 관련 구성 오류 탐색
• Google Cloud 환경에서 활성 위협 보고
• Google Cloud 애셋의 취약점 해결

이 실습에서는 서비스의 분석된 애셋과 내보내기 기능을 살펴봄으로써 Security Command Center에 대해 알아봅니다.

목표

이 실습에서는 다음 작업을 수행하는 방법을 알아봅니다.

• Pub/Sub로 지속적 내보내기 파이프라인 만들기
• BigQuery 테이블에서 SCC 발견 사항을 내보내고 분석

기본 요건

이 실습을 시작하기 전에 다음 사항을 숙지하는 것이 좋습니다.

• 클라우드 컴퓨팅 개념
• Google Cloud 콘솔
• 발견 사항의 심각도 분류(권장하지만 필수는 아님)
• Pub/Sub 및 BigQuery(권장하지만 필수는 아님)

설정 및 요건

실습 시작 버튼을 클릭하기 전에

다음 안내를 확인하세요. 실습에는 시간 제한이 있으며 일시중지할 수 없습니다. 실습 시작을 클릭하면 타이머가 시작됩니다. 이 타이머는 Google Cloud 리소스를 사용할 수 있는 시간이 얼마나 남았는지를 표시합니다.

실무형 실습을 통해 시뮬레이션이나 데모 환경이 아닌 실제 클라우드 환경에서 실습 활동을 진행할 수 있습니다. 실습 시간 동안 Google Cloud에 로그인하고 액세스하는 데 사용할 수 있는 새로운 임시 사용자 인증 정보가 제공됩니다.

이 실습을 완료하려면 다음을 준비해야 합니다.

• 표준 인터넷 브라우저 액세스 권한(Chrome 브라우저 권장)

참고: 이 실습을 실행하려면 시크릿 모드(권장) 또는 시크릿 브라우저 창을 사용하세요. 개인 계정과 학습자 계정 간의 충돌로 개인 계정에 추가 요금이 발생하는 일을 방지해 줍니다.

• 실습을 완료하기에 충분한 시간(실습을 시작하고 나면 일시중지할 수 없음)

참고: 이 실습에는 학습자 계정만 사용하세요. 다른 Google Cloud 계정을 사용하는 경우 해당 계정에 비용이 청구될 수 있습니다.

실습을 시작하고 Google Cloud 콘솔에 로그인하는 방법

1. 실습 시작 버튼을 클릭합니다. 실습 비용을 결제해야 하는 경우 결제 수단을 선택할 수 있는 대화상자가 열립니다. 왼쪽에는 다음과 같은 항목이 포함된 실습 세부정보 창이 있습니다.

   • Google Cloud 콘솔 열기 버튼
   • 남은 시간
   • 이 실습에 사용해야 하는 임시 사용자 인증 정보
   • 필요한 경우 실습 진행을 위한 기타 정보

2. Google Cloud 콘솔 열기를 클릭합니다(Chrome 브라우저를 실행 중인 경우 마우스 오른쪽 버튼으로 클릭하고 시크릿 창에서 링크 열기를 선택합니다).

   실습에서 리소스가 가동되면 다른 탭이 열리고 로그인 페이지가 표시됩니다.

   팁: 두 개의 탭을 각각 별도의 창으로 나란히 정렬하세요.

   참고: 계정 선택 대화상자가 표시되면 다른 계정 사용을 클릭합니다.

3. 필요한 경우 아래의 사용자 이름을 복사하여 로그인 대화상자에 붙여넣습니다.

   {{{user_0.username | "Username"}}}

   실습 세부정보 창에서도 사용자 이름을 확인할 수 있습니다.

4. 다음을 클릭합니다.

5. 아래의 비밀번호를 복사하여 시작하기 대화상자에 붙여넣습니다.

   {{{user_0.password | "Password"}}}

   실습 세부정보 창에서도 비밀번호를 확인할 수 있습니다.

6. 다음을 클릭합니다.

   중요: 실습에서 제공하는 사용자 인증 정보를 사용해야 합니다. Google Cloud 계정 사용자 인증 정보를 사용하지 마세요. 참고: 이 실습에 자신의 Google Cloud 계정을 사용하면 추가 요금이 발생할 수 있습니다.

7. 이후에 표시되는 페이지를 클릭하여 넘깁니다.

   • 이용약관에 동의합니다.
   • 임시 계정이므로 복구 옵션이나 2단계 인증을 추가하지 않습니다.
   • 무료 체험판을 신청하지 않습니다.

잠시 후 Google Cloud 콘솔이 이 탭에서 열립니다.

참고: Google Cloud 제품 및 서비스에 액세스하려면 탐색 메뉴를 클릭하거나 검색창에 제품 또는 서비스 이름을 입력합니다.

Cloud Shell 활성화

Cloud Shell은 다양한 개발 도구가 탑재된 가상 머신으로, 5GB의 영구 홈 디렉터리를 제공하며 Google Cloud에서 실행됩니다. Cloud Shell을 사용하면 명령줄을 통해 Google Cloud 리소스에 액세스할 수 있습니다.

1. Google Cloud 콘솔 상단에서 Cloud Shell 활성화 를 클릭합니다.

2. 다음 창을 클릭합니다.

   • Cloud Shell 정보 창을 통해 계속 진행합니다.
   • 사용자 인증 정보를 사용하여 Google Cloud API를 호출할 수 있도록 Cloud Shell을 승인합니다.

연결되면 사용자 인증이 이미 처리된 것이며 프로젝트가 학습자의 PROJECT_ID, (으)로 설정됩니다. 출력에 이 세션의 PROJECT_ID를 선언하는 줄이 포함됩니다.

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud는 Google Cloud의 명령줄 도구입니다. Cloud Shell에 사전 설치되어 있으며 명령줄 자동 완성을 지원합니다.

3. (선택사항) 다음 명령어를 사용하여 활성 계정 이름 목록을 표시할 수 있습니다.

gcloud auth list

4. 승인을 클릭합니다.

출력:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (선택사항) 다음 명령어를 사용하여 프로젝트 ID 목록을 표시할 수 있습니다.

gcloud config list project

출력:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} 참고: gcloud 전체 문서는 Google Cloud에서 gcloud CLI 개요 가이드를 참고하세요.

시나리오

Cymbal Bank는 50개 주에 2,000개 이상의 지점을 소유한 미국 소매 은행입니다. 이 은행은 강력한 결제 플랫폼을 기반으로 종합 입출금 서비스를 제공하고 있으며, 현재 기존의 금융 서비스 시스템을 디지털화하고 있습니다.

1920년 설립된 Troxler 은행이 Cymbal Group 소유 ATM에 집중 투자 후 1975년 Cymbal Group에 인수되어 Cymbal Bank로 재탄생했습니다. 이후 전국 선두 은행으로 성장했으며, 2014년 앱을 출시해 디지털 고객 경험 및 영업점 내 오프라인 고객 경험을 현대화하는 데 전략적으로 집중하고 있습니다. 현재 전국적으로 42,000명의 직원을 보유, 2019년 기준 매출은 240억 달러입니다.

Cymbal Bank는 중앙 집중식 보안 모니터링 플랫폼을 통합하여 기업 뱅킹 애플리케이션의 Google Cloud 리소스 전반에서 위협을 모니터링하고 취약점을 개선하고자 합니다. 여러분은 클라우드 보안 엔지니어로서 Security Command Center의 내보내기 및 분석 기능을 숙지하여 이 서비스의 이점을 CTO에게 발표하는 과제를 수행해야 합니다.

작업 1. Pub/Sub로 지속적 내보내기 파이프라인 만들기

Security Command Center는 다음을 비롯한 여러 가지 방법을 사용하여 보안 발견 사항을 외부 리소스로 내보낼 수 있습니다.

• BigQuery 데이터 세트로의 지속적 내보내기
• Pub/Sub로 지속적 내보내기
• CSV 파일로 일회성 내보내기
• JSON 파일로 Cloud Storage 버킷에 일회성 내보내기

이 작업에서는 Pub/Sub로 발견 사항을 지속적으로 내보내도록 구성하는 방법을 살펴봅니다.

참고: 발견 사항의 지속적 내보내기는 새로 생성된 발견 사항에만 적용됩니다.

Pub/Sub로의 연속 내보내기는 일반적으로 Splunk 또는 QRadar와 같은 외부 보안 관리 시스템으로 발견 사항을 전달하는 데 사용됩니다.

이 실습에서는 Pub/Sub 주제로 발견 사항을 내보낸 다음 Pub/Sub 구독에서 메시지를 가져와 애플리케이션을 시뮬레이션합니다.

참고: 문서 페이지에서 Pub/Sub란 무엇인가요?에 대해 자세히 알아볼 수 있습니다.

Pub/Sub 주제 및 구독 만들기

SCC 내보내기를 구성하기 전에 먼저 Pub/Sub 주제와 구독을 만들어야 합니다.

1. Google Cloud 콘솔 제목 표시줄의 검색창에 Pub/Sub를 입력하고 Enter 키를 누릅니다. 그런 다음 최상단의 검색 결과인 Pub/Sub를 클릭합니다.
2. 주제 페이지에서 주제 만들기 버튼을 클릭합니다.
3. 주제 ID에 export-findings-pubsub-topic을 입력합니다.
4. 나머지 모든 설정은 기본값으로 두고 만들기를 클릭합니다.

이렇게 하면 Pub/Sub 주제와 연결된 구독이 모두 자동으로 생성됩니다.

5. 왼쪽 메뉴에서 구독을 클릭합니다.

6. export-findings-pubsub-topic-sub를 클릭합니다. 구독이 표시되지 않으면 브라우저 페이지를 새로고침합니다.

이렇게 하면 이 구독에 게시된 메시지와 관련된 통계 및 측정항목의 대시보드가 제공됩니다.

발견 사항의 지속적 내보내기 만들기

1. Cloud 콘솔의 탐색 메뉴 ()에서 보안 > 위험 개요 > 취약점을 클릭한 후 페이지 상단의 설정을 클릭합니다.

2. 지속적 내보내기 탭을 클릭합니다.

3. Pub/Sub 내보내기 만들기 버튼을 클릭합니다.

4. 지속적 내보내기 이름에 export-findings-pubsub을 입력합니다.

5. 지속적 내보내기 설명에 Continuous exports of Findings to Pub/Sub and BigQuery를 입력합니다.

6. 프로젝트 이름에서 작업 중인 프로젝트의 프로젝트 ID인 를 선택합니다. (Qwiklabs 리소스는 선택하지 마세요).

7. Cloud Pub/Sub 주제 선택 필드에서 projects//topics/export-findings-pubsub-topic을 선택합니다.

8. 발견 사항 쿼리를 다음으로 설정합니다.

state="ACTIVE" AND NOT mute="MUTED"

이 쿼리는 새로 생성된 Pub/Sub 주제로 모든 새로운 ACTIVE 및 NOT MUTED 발견 사항이 전달되도록 합니다.

참고: 일치하는 발견 사항이 여러 개 있다는 메시지가 표시될 수 있습니다. 기존 발견 사항은 Pub/Sub 주제로 전달되지 않습니다.

9. 저장을 클릭합니다.

이제 Security Command Center에서 Pub/Sub로 지속적 내보내기를 만들었습니다.

Pub/Sub로 내보낼 새 발견 사항 만들기

이 섹션에서는 새로운 발견 사항을 만들고 어떻게 Pub/Sub로 내보내는지 확인합니다.

1. 새 Cloud Shell 세션()을 엽니다.

2. 다음 명령어를 실행하여 새 가상 머신을 만듭니다.

gcloud compute instances create instance-1 --zone={{{project_0.default_zone|lab zone}}} \ --machine-type e2-micro \ --scopes=https://www.googleapis.com/auth/cloud-platform

3. 다음과 비슷한 출력이 표시되어야 합니다.

출력:

NAME: instance-1 ZONE: us-central-a MACHINE_TYPE: e2-micro PREEMPTIBLE: INTERNAL_IP: 10.128.0.2 EXTERNAL_IP: 34.69.82.225 STATUS: RUNNING 참고: ERROR: (gcloud.compute.instances.create) You do not currently have an active account selected라는 오류 메시지가 표시되면 명령어를 다시 실행합니다.

이 명령어는 공개 IP 주소와 기본 서비스 계정이 연결된 새 VM 인스턴스를 만듭니다.

이 활동을 수행하면 즉시 3개의 새로운 취약점 발견 사항이 생성됩니다.

• 공개 IP 주소
• 기본 서비스 계정 사용됨
• 컴퓨팅 보안 부트 사용 중지됨

4. Google Cloud 콘솔 제목 표시줄의 검색창에 Pub/Sub를 입력하고 Enter 키를 누릅니다. 그런 다음 최상단의 검색 결과인 Pub/Sub를 클릭합니다. 그런 다음 왼쪽 메뉴에서 구독을 클릭합니다.

5. export-findings-pubsub-topic-sub 구독을 선택합니다.

6. 메시지 탭을 클릭합니다.

7. 확인 메시지 사용 설정 체크박스를 선택합니다.

8. 가져오기 버튼을 클릭합니다.

이 구독에 메시지 목록이 표시됩니다. 여기에는 공개 IP 주소, 사용된 기본 서비스 계정, 컴퓨팅 보안 부트 사용 중지 취약점과 관련되어 있습니다.

참고: 메시지 목록에서 열 표시 옵션 버튼을 클릭하여 body.finding.category를 포함한 메시지 세부정보를 표시하도록 수정할 수 있습니다.

Pub/Sub 구독에서 메시지를 가져옴으로써 이러한 메시지를 Splunk와 같은 다른 보안 모니터링 시스템으로 전달할 수 있는 애플리케이션의 동작을 시뮬레이션했습니다.

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. Pub/Sub로 지속적 내보내기 파이프라인 만들기

작업 2. BigQuery로 SCC 발견 사항 내보내기 및 분석

SCC 발견 사항을 BigQuery 데이터 세트로 내보낼 수도 있습니다. 이는 조직 내에서 어떤 유형의 발견 사항이 가장 자주 발생하는지 확인할 수 있는 분석용 대시보드를 빌드하는 데 유용합니다.

현재 지속적 내보내기 구성은 명령어를 사용해서만 설정할 수 있습니다(즉, 콘솔에서는 설정할 수 없음).

1. Cloud Shell 세션()을 엽니다.
2. Cloud Shell 세션에서 다음 명령어를 실행하여 새 BigQuery 데이터 세트를 만듭니다.

PROJECT_ID=$(gcloud config get project) bq --location={{{project_0.default_region|lab region}}} --apilog=/dev/null mk --dataset \ $PROJECT_ID:continuous_export_dataset

3. 이 프로젝트에서 아직 SCC 명령줄 인터페이스를 사용하지 않았으므로 SCC 서비스를 사용 설정해야 합니다. 다음 명령어를 실행하여 현재 프로젝트에서 서비스를 사용 설정합니다.

gcloud services enable securitycenter.googleapis.com

4. 이제 다음 명령어를 입력하여 새 내보내기를 만듭니다.

gcloud scc bqexports create scc-bq-cont-export --dataset=projects/{{{project_0.project_id}}}/datasets/continuous_export_dataset --project={{{project_0.project_id|PROJECT_ID}}}

다음과 비슷한 출력 메시지가 표시되어야 합니다.

출력:

Created. dataset: projects/qwiklabs-gcp-04-571fad72c1e8/datasets/continuous_export_dataset mostRecentEditor: student-03-fbc57ac17933@qwiklabs.net name: projects/102856953036/bigQueryExports/SCC-bq-cont-export principal: service-org-616463121992@gcp-sa-scc-notification.iam.gserviceaccount.com updateTime: '2023-05-31T15:44:22.097585Z'

새로운 발견 사항이 BigQuery로 내보내지면 SCC가 새 테이블을 만듭니다. 이제 새로운 SCC 발견 사항을 시작할 수 있습니다.

5. 다음 명령어를 실행하여 권한이 없는 새 서비스 계정을 3개 만들고, 해당 계정용 사용자 관리형 서비스 계정 키를 3개 만듭니다.

for i in {0..2}; do gcloud iam service-accounts create sccp-test-sa-$i; gcloud iam service-accounts keys create /tmp/sa-key-$i.json \ --iam-account=sccp-test-sa-$i@{{{project_0.project_id|PROJECT_ID}}}.iam.gserviceaccount.com; done

SCC에서 새로운 발견 사항이 생성되면 BigQuery로 내보내집니다. 내보내기 파이프라인은 이러한 발견 사항을 저장하기 위해 findings라는 새 테이블을 만듭니다.

6. 다음 명령어를 실행하여 새로 생성된 발견 사항에 대한 정보를 BigQuery에서 가져옵니다.

bq query --apilog=/dev/null --use_legacy_sql=false \ "SELECT finding_id,event_time,finding.category FROM continuous_export_dataset.findings"

잠시 후 다음과 비슷한 출력이 표시됩니다.

출력:

+----------------------------------+---------------------+------------------------------------------+ | finding_id | event_time | category | +----------------------------------+---------------------+------------------------------------------+ | c5235ebb04b140198874ce52080422b8 | 2024-11-27 08:08:08 | Persistence: Service Account Key Created | | 94d933ee9803d0f1c807551fd22a0269 | 2024-11-27 08:08:04 | USER_MANAGED_SERVICE_ACCOUNT_KEY | +----------------------------------+---------------------+------------------------------------------+ 참고: 이러한 발견 사항이 생성되는 데 10분 이상 걸릴 수 있습니다. 비슷한 출력이 표시되지 않으면 위 명령어를 다시 실행합니다.

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. BigQuery 데이터 세트로 발견 사항 내보내기

발견 사항을 Cloud Storage 버킷으로 내보내기 및 BigQuery 테이블 만들기

Security Command Center는 일반적으로 기존의 성숙한 Google Cloud 인프라에서 사용 설정됩니다. SCC가 사용 설정되는 즉시 기존 취약점을 스캔하며, 최종적으로 기존 인프라에 대한 수천 개의 발견 사항을 보고할 수도 있습니다.

SCC 인터페이스는 이러한 발견 사항을 정렬하고 필터링하는 데 최적의 방법을 제공하지 않을 수 있으므로 발견 사항을 BigQuery 데이터베이스로 내보내 분석을 실행하는 것이 일반적인 방법입니다.

발견 사항을 BigQuery로 직접 내보내는 기능은 아직 지원되지 않습니다. 대신 Google Cloud Storage 버킷을 임시 스토리지 솔루션으로 사용할 수 있습니다.

Cloud Storage 버킷 만들기

기존 발견 사항을 BigQuery 인터페이스로 내보내려면 먼저 Cloud Storage 버킷으로 내보내야 합니다. 이 섹션에서는 스토리지 버킷을 만듭니다.

1. Cloud 콘솔의 탐색 메뉴()에서 Cloud Storage > 버킷을 클릭합니다.

2. 만들기 버튼을 클릭합니다.

3. Google Cloud의 모든 버킷 이름은 고유해야 합니다. 버킷 이름을 scc-export-bucket-로 설정합니다.

4. 계속을 클릭합니다.

5. 위치 유형을 리전으로 설정합니다.

6. 위치로 을 선택합니다.

7. 다른 설정은 변경하지 마세요. 페이지를 아래로 스크롤하고 만들기를 클릭합니다.

8. 이 버킷에 '공개 액세스 방지 적용' 여부를 묻는 메시지가 표시되면 확인 버튼을 클릭합니다.

기존 발견 사항을 JSONL 데이터로 내보내기

이 섹션에서는 BigQuery 데이터베이스에서 사용할 발견 사항을 내보냅니다.

1. Cloud 콘솔의 탐색 메뉴()에서 보안 > 발견 사항을 클릭합니다.

2. 내보내기 버튼을 클릭합니다.

3. 드롭다운 목록에서 Cloud Storage를 선택합니다.

4. 프로젝트 이름의 경우 프로젝트 ID를 로 선택합니다(Qwiklabs 리소스는 선택하지 마세요).

5. 그런 다음 찾아보기 버튼을 클릭하여 내보내기 경로를 선택합니다.

6. scc-export-bucket- 버튼 옆에 있는 화살표를 클릭합니다.

7. 파일 이름을 findings.jsonl로 설정하고 선택을 클릭합니다.

8. 형식 드롭다운 목록에서 JSONL을 선택합니다.

9. 기간을 전체 기간으로 변경합니다.

   기본 발견 사항 쿼리를 수정하지 마세요.

   최종 '다음 위치에 내보내기' 양식은 다음과 같이 표시됩니다.

10. 내보내기 버튼을 클릭합니다.

BigQuery에서 테이블 만들기

이 섹션에서는 내보낸 발견 사항 데이터를 사용하여 BigQuery에서 테이블을 만듭니다.

1. Cloud 콘솔의 탐색 메뉴()에서 BigQuery > Studio를 클릭합니다.

2. 왼쪽 탐색 메뉴에서 + 데이터 추가 버튼을 클릭합니다.

3. 새로운 데이터 추가 창에서 가장 인기 있는 데이터 소스인 Google Cloud Storage를 클릭합니다.

4. 외부 또는 BigLake 테이블을 클릭하여 GCS 데이터에 대한 BigLake/외부 테이블을 수동으로 만들고 다음 파라미터를 설정합니다.

설정	값
테이블을 만들 소스	Google Cloud Storage
GCS 버킷에서 파일 선택	scc-export-bucket-/findings.jsonl
파일 형식	JSONL
데이터 세트	continuous_export_dataset
테이블	old_findings
테이블 유형	Native
스키마	'텍스트로 편집' 전환 사용 설정

5. 이제 다음 스키마를 붙여넣습니다.

[ { "mode": "NULLABLE", "name": "resource", "type": "JSON" }, { "mode": "NULLABLE", "name": "finding", "type": "JSON" } ]

6. 테이블 만들기 버튼을 클릭합니다.

7. 새 테이블이 생성되면 테이블로 이동이라고 표시된 알림의 링크를 클릭합니다.

8. 미리보기 탭을 클릭하고 기존 발견 사항이 표시되는지 확인합니다.

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. 발견 사항을 Cloud Storage 버킷으로 내보내기 및 BigQuery 테이블 만들기

수고하셨습니다

이 실습에서는 Security Command Center에 대해 알아보고 애셋을 분석했으며 발견 사항을 BigQuery로 내보냈습니다.

다음 단계/더 학습하기

• Security Command Center로 애플리케이션 취약점 파악 실습을 확인하세요.

Google Cloud 교육 및 자격증

Google Cloud 기술을 최대한 활용하는 데 도움이 됩니다. Google 강의에는 빠른 습득과 지속적인 학습을 지원하는 기술적인 지식과 권장사항이 포함되어 있습니다. 기초에서 고급까지 수준별 학습을 제공하며 바쁜 일정에 알맞은 주문형, 실시간, 가상 옵션이 포함되어 있습니다. 인증은 Google Cloud 기술에 대한 역량과 전문성을 검증하고 입증하는 데 도움이 됩니다.

설명서 최종 업데이트: 2025년 9월 11일

실습 최종 테스트: 2025년 9월 11일

Copyright 2026 Google LLC. All rights reserved. Google 및 Google 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표일 수 있습니다.