퍼블릭 클라우드 관련/AWS
ECR 기본 스캐닝 vs Amazon Inspector 통합 스캐닝 비교
호레
2025. 10. 14. 23:49
반응형
구분 ECR 기본 스캐닝 (Basic Scanning) Amazon Inspector 통합 스캐닝 (Enhanced Scanning)
| 스캐닝 주체 | ECR 자체 기능 (내장된 CVE DB) | Amazon Inspector v2 엔진 사용 |
| 취약점 데이터 소스 | Amazon 자체 CVE 데이터베이스 (정적) | AWS Security Hub 통합용 Inspector 관리형 CVE DB (지속 업데이트) |
| 스캔 시점 | 이미지 푸시 시 1회 (On push) | 푸시 시 + 지속적(Continuous) 스캔 (베이스 이미지 업데이트 시 자동 재평가) |
| 스캔 방식 | 이미지 메타데이터 기반, 정적 분석 | 패키지 레벨·라이브러리 레벨의 심층 취약점 스캔 |
| 지원 범위 | ECR 이미지(푸시된 시점)만 | ECR 이미지 + EC2 인스턴스 + Lambda 함수 코드 레벨까지 |
| 정책 제어 (Include/Exclude) | ❌ 지원 안 함 | ✅ Include/Exclude 리포지토리 규칙 가능 |
| 결과 통합 (대시보드) | ECR 콘솔에서만 확인 가능 | ✅ AWS Security Hub 자동 통합 가능 |
| 알림 및 자동 대응 | CloudWatch 이벤트 직접 설정 필요 | ✅ Security Hub / EventBridge 통합으로 자동 알림, 자동 대응 가능 |
| 비용 모델 | 무료 | 유료 (스캔된 이미지 수 기준 과금) |
| 지속성 (Continuous monitoring) | ❌ 없음 (푸시 시점만) | ✅ 있음 (기존 이미지도 베이스 이미지 갱신 시 자동 재평가) |
| 정확도 / 최신성 | 낮음 (CVE 데이터 정적 업데이트) | 높음 (Inspector의 지속 업데이트 DB 기반) |
🔍 요약
항목권장 사용
| ECR 기본 스캐닝 | 테스트 환경, 간단한 CVE 확인 (개발 단계) |
| Amazon Inspector 통합 스캐닝 | 프로덕션 환경 / 보안팀이 중앙 관리·모니터링해야 하는 경우 |
🧠 실무 팁
- 기본 스캐닝은 ECR 콘솔에서 “Enable image scanning on push” 체크박스 하나로 설정 가능하지만,
이후 자동 재평가는 없음. - Inspector 스캐닝은 활성화 후 ECR 전체 리포지토리를 탐색하며,
새 이미지뿐 아니라 이미 존재하던 이미지 + 베이스 이미지 업데이트 시점까지 자동 반영됩니다. - Security Hub 통합, EventBridge 알림, 지속적 컴플라이언스 대시보드를 구축하려면 Inspector 통합 스캐닝이 필수입니다.
✅ 결론
- ECR 기본 스캐닝 → 1회성, 개발용, 단일 리포지토리 수준
- Amazon Inspector 통합 스캐닝 → 지속적, 조직 단위 관리, Security Hub 연동 가능
→ 보안팀·운영 환경에서는 Inspector 스캐닝이 필수 표준입니다.
반응형