Kant's IT/Vulnerability

고객 책임 하에 반드시 대응해야 할 5가지 AWS 보안 취약점

Kant Jo 2025. 5. 10. 22:49

5 Impactful AWS Vulnerabilities You're Responsible For

 

  • AWS 공유 책임 모델 이해
    • AWS는 인프라(하드웨어, 네트워크, 데이터센터) 보안을 담당하지만, 클라우드 환경 내 보안은 고객이 책임짐
    • 고객은 애플리케이션, 데이터, IAM 구성, OS 패치, 네트워크 방화벽 등 전반적인 내부 구성 보안을 직접 관리해야 함
    • 보안을 건물로 비유하면 AWS는 건물의 벽과 지붕을 제공하고, 고객은 자물쇠, 경보 시스템, 귀중품 보호를 책임져야 함
  • 고객이 반드시 책임져야 할 취약점 5가지
    • 서버측 요청 위조(SSRF, Server-Side Request Forgery)
      • 공격자가 내부 리소스에 서버를 통해 간접 요청하도록 유도
      • EC2 인스턴스의 메타데이터 접근, 내부 서비스 스캔 등이 가능
      • 방어 방안: IMDSv2 활성화, 애플리케이션 레벨의 입력 검증, 웹방화벽 도입
    • 접근제어 구성 오류(IAM Misconfigurations)
      • 과도한 권한 부여, S3 버킷 퍼블릭 설정, 역할 재사용 등으로 인해 정보 유출 가능
      • 방어 방안: 최소 권한 원칙 적용, IAM Policy 검토, CloudTrail 기반 감사
    • 데이터 노출(Unauthorized Data Exposure)
      • RDS, DynamoDB, S3 등의 데이터 접근 권한 오남용으로 인한 정보 유출
      • 예: Insecure Direct Object Reference(IDOR) 취약점을 통한 데이터 접근 우회
      • 방어 방안: 접근 통제 강화, 인증/인가 정책 검토, 데이터 마스킹 적용
    • 패치 관리 미흡(Patch Management Failure)
      • EC2 인스턴스, 컨테이너 기반 환경의 OS 및 미들웨어 패치는 고객 책임
      • AWS는 하드웨어 및 Hypervisor 수준만 관리
      • 방어 방안: 자동 패치 구성, 취약점 스캐닝 도입, 지원 종료 버전 사용 금지
    • 방화벽 및 공격면 통제 미흡
      • VPC, Security Group, NACL 등을 통한 네트워크 보안 설정은 고객 몫
      • 예: 인터넷에 노출된 GitLab 인스턴스, 무보호의 관리 포털
      • 방어 방안: 비인가 포트 차단, VPN 구성, 외부 노출 자산 정기 점검
  • 결론
    • AWS의 보안 인프라는 강력하지만, 실제 클라우드 상 구성 요소에 대한 보안은 고객의 몫임
    • SSRF, IAM 권한 구성, 데이터 노출, 패치 누락, 네트워크 공격면 확장 등 주요 위협에 대한 책임은 고객이 직접 대응해야 함
    • Intruder와 같은 클라우드 보안 스캐너를 통해 지속적 취약점 탐지, 우선순위 기반 대응, 과잉 경고 방지 등으로 클라우드 보안 수준을 체계적으로 향상시킬 수 있음