[Paper] CIS 벤치마크 스캔 결과 시각화

Source: arXiv - 2512.11316v1

Overview

이 논문은 GraphSecure 라는 웹 기반 플랫폼을 소개한다. 이 플랫폼은 Amazon Web Services (AWS) 환경에 대해 Center for Internet Security (CIS) 벤치마크에 맞는 보안 스캔 결과를 자동으로 수집·검증·시각화한다. 원시 컴플라이언스 데이터를 직관적인 차트와 알림으로 변환함으로써, 개발자·DevOps 엔지니어·보안 팀이 지속적인 보안 자세 모니터링을 실용적으로 수행할 수 있도록 한다.

Key Contributions

• End‑to‑end scanning workflow – 사용자의 AWS 계정에서 CIS‑벤치마크 스캔을 원클릭으로 시작한다.
• Graph‑oriented data model – 보안 발견 사항을 노드와 엣지로 저장하여 리소스 간 관계(예: EC2 인스턴스, IAM 역할, VPC)를 보존한다.
• Interactive visualisations – 대시보드 위젯(히트맵, 막대 차트, 의존성 그래프)을 통해 가장 중요한 오구성을 한눈에 파악한다.
• Risk‑based alerting – 실시간 경고가 발견 사항을 심각도와 전체 계정 건강에 미치는 잠재적 영향을 기준으로 순위화한다.
• Open‑source prototype – 구현(프론트엔드 + 백엔드)이 MIT 라이선스로 공개되어 커뮤니티 확장을 장려한다.

Methodology

1. Credential onboarding – 사용자는 읽기 전용 권한을 가진 AWS IAM 역할을 제공한다. GraphSecure는 AWS STS를 통해 이 역할을 가정하고 구성 데이터를 가져온다.
2. Data collection – 백엔드는 AWS API(Config, IAM, EC2, S3 등)를 쿼리하고 응답을 통합 JSON 스키마로 정규화한다.
3. Benchmark mapping – 각 CIS 제어는 규칙 술어 집합(예: “S3 버킷은 서버‑사이드 암호화를 활성화해야 함”)으로 표현된다. 수집된 데이터는 Python으로 작성된 규칙 엔진을 사용해 이러한 술어와 비교 평가된다.
4. Graph construction – 발견 사항은 Neo4j 그래프 데이터베이스에 삽입되며, 리소스는 노드가 되고 관계(예: “인스턴스 → 연결 → 보안‑그룹”)는 엣지가 된다. 이 표현은 “특정 제어에 영향을 받는 모든 리소스 표시”와 같은 하위 쿼리를 가능하게 한다.
5. Visualization layer – React/Redux 프론트엔드는 GraphQL API를 통해 그래프를 소비하고 다음을 렌더링한다:
   • Statistical overviews (통과/실패 제어 비율).
   • Resource‑centric heatmaps (가장 비컴플라이언스인 서비스 강조).
   • Interactive dependency graphs (제어에서 정확히 오구성된 리소스로 드릴다운).
6. Alert generation – 경량 스코어링 모델이 심각도, 악용 가능성, 자산 중요도를 집계해 실시간 경고를 생성한다. 이 경고는 대시보드에 표시되며 필요에 따라 이메일이나 Slack으로 전송될 수 있다.

Results & Findings

• Speed – 평균 규모의 AWS 계정(≈ 150 리소스) 스캔을 2분 미만에 완료했으며, 이는 수동 CIS‑Benchmark 스크립트 대비 4배 빠른 속도다.
• Detection coverage – GraphSecure는 공식 CIS‑Benchmark 도구가 보고한 오구성의 98 %를 식별했으며, 그래프 기반 의존성 분석을 통해 추가로 12 %의 “교차‑리소스” 문제를 발견했다.
• Usability – 소규모 사용자 연구(n = 12)에서 원시 JSON 출력에 비해 실패한 제어의 근본 원인을 찾는 데 필요한 시간이 35 % 감소했다.
• Alert effectiveness – 참가자들은 위험 기반 알림을 “매우 실행 가능”하다고 평가했으며, 83 %가 대시보드를 일일 워크플로에 통합할 의향이 있다고 답했다.

Practical Implications

• Continuous compliance – 팀은 GraphSecure를 CI/CD 파이프라인에 삽입(예: 매 Terraform 적용 시 스캔 트리거)하여 드리프트를 프로덕션에 도달하기 전에 포착할 수 있다.
• Rapid triage – 인터랙티브 그래프를 통해 엔지니어는 오구성을 의존성 체인을 따라 추적함으로써 평균 복구 시간(MTTR)을 크게 단축한다.
• Audit readiness – 내보낼 수 있는 컴플라이언스 보고서와 시각적 증거가 외부 감사 및 내부 거버넌스 검토를 간소화한다.
• Cross‑team collaboration – 보안 자세를 공유 시각 형식으로 제공함으로써 개발자, 운영, 보안 전문가가 로그를 파헤치지 않고도 개선 우선순위를 논의할 수 있다.
• Extensibility – 오픈소스 스택(React, Neo4j, Python) 덕분에 맞춤형 벤치마크(예: 내부 하드닝 가이드) 추가나 추가 데이터 수집기를 통해 다른 클라우드 제공자를 지원하는 것이 용이하다.

Limitations & Future Work

• AWS‑only scope – 현재 프로토타입은 AWS만 지원한다; Azure, GCP 또는 하이브리드 환경으로 확장하려면 추가 데이터 어댑터가 필요하다.
• Static benchmark set – 현재 GraphSecure는 CIS Benchmarks에만 검증한다; 사용자 정의 또는 산업별 제어 지원은 향후 계획에 있다.
• Scalability – 그래프 데이터베이스는 중간 규모 계정에서는 충분히 동작하지만, 수천 개 리소스를 가진 대규모 기업은 샤딩이나 보다 분산된 스토리지 백엔드가 필요할 수 있다.
• Automated remediation – 현재 도구는 탐지와 알림에 머물며, 향후 릴리스에서는 AWS Systems Manager 또는 Terraform과 연동해 “원클릭” 수정을 제공할 예정이다.

GraphSecure는 클라우드 구성에 대한 그래프 중심 시각이 컴플라이언스 데이터를 잡음이 많은 덤프에서 실행 가능한 인사이트로 전환할 수 있음을 보여준다—이는 현대 DevSecOps 툴체인에서 핵심이 될 접근 방식이 될 수 있다.

Authors

• Zhenshuo Zhao
• Maria Spichkova
• Duttkumari Champavat
• Juilee N. Kulkarni
• Sahil Singla
• Muhammad A. Zulkefli
• Pradhuman Khandelwal

Paper Information

• arXiv ID: 2512.11316v1
• Categories: cs.CR, cs.SE
• Published: December 12, 2025
• PDF: Download PDF