보안과 규정 준수는 AWS와 고객의 공동 책임입니다. 이 공유 모델은 AWS가 호스트 운영 체제 및 가상화 계층에서 서비스가 운영되는 시설의 물리적 보안에 이르기까지 구성 요소를 운영, 관리 및 제어하므로 고객의 운영 부담을 경감할 수 있습니다. 고객은 게스트 운영 체제(업데이트 및 보안 패치 포함) 및 다른 관련 애플리케이션 소프트웨어를 관리하고 AWS에서 제공한 보안 그룹 방화벽을 구성할 책임이 있습니다. 고객은 서비스를 선택할 때 신중하게 고려해야 합니다. 고객의 책임이 사용되는 서비스, IT 환경에서 이러한 서비스의 통합, 그리고 관계 법규에 다라 달라지기 때문입니다. 또한, 이러한 공동 책임의 특성은 배포를 허용하는 고객 제어권과 유연성을 제공합니다. 아래 차트에서 볼 수 있듯이 이러한 책임의 차이를 일반적으로 클라우드'의' 보안과 클라우드'에서의' 보안이라고 부릅니다.

• 공동 책임 모델 https://aws.amazon.com/ko/compliance/shared-responsibility-model

Step 1. 의심되는 즉시 보안 사고 신고 합니다.

고객은 AWS 계정 침해가 되지 않도록 AWS 계정을 안전하게 구성하는 것이 가장 중요합니다. AWS에서도 계정 이상 징후를 모니터링 하고는 있지만 고객의 AWS 계정을 안전하게 지키는 것은 1차적으로는 고객 책임 영역에 포함됩니다. 사용 중 계정 이상 징후가 있거나, 보안 사고가 의심되는 즉시 아래 링크로 신고하시기 바랍니다.

• Report Amazon AWS abuse https://support.aws.amazon.com/#/contacts/report-abuse

Step 2. AWS Abuse report 안내 절차를 따릅니다.

1. 유출/노출된 IAM Root 및 IAM User 비밀번호, IAM access key 를 변경/삭제 합니다.

2. CloudTrail log에서 임의로 생성된 IAM User, Role, Policy, 임시 패스워드 등이 있는지 확인 후 삭제 합니다.

3. CloudTrail log에서 임의로 생성된 AWS 리소스(EC2, VPC 등)를 확인 후 삭제합니다. 평소에 사용하지 않는 리전에서도 AWS 리소스가 생성되어 있을 수 있습니다.

4. 가능한 경우 Billing, Cost Explorer에서 비용을 확인 합니다. 계정이 파트너사와 연계하여 사용하는 경우, 파트너사를 통해서 비용 확인 방법을 확인하시기 바랍니다.

5. Report 혹은 case 안내 절차에 따른 대응 조치를 완료 하였음을 업데이트 합니다.

Step 3. 대응 조치 상세 방법 입니다.

계정 관리

1. IAM Root 및 사용자의 비밀번호 방법입니다.

   • Root 사용자 비밀번호 변경 방법 https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_credentials_passwords_change-root.html

   • IAM User의 비밀번호 변경 방법 https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user

2. 노출된 Access Key 삭제하고, 새로운 Access Key를생성 하는 방법 입니다.

   • 새로운 Access Key를 생성하는 방법 https://aws.amazon.com/ko/premiumsupport/knowledge-center/create-access-key/

   • 노출된 Access Key를 비활성화한 후, 삭하는 방법 https://docs.aws.amazon.com/ko_kr/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys

3. IAM Root 및 사용자에게 MFA를 활성화 합니다.

   • IAM Root 사용자 MFA 활성화 하는 방법 https://catalog.workshops.aws/startup-security-baseline/en-US/b-securing-your-account/2-protect-root-user

   • IAM User MFA 활성화 하는 방법 https://catalog.workshops.aws/startup-security-baseline/en-US/b-securing-your-account/3-create-multiple-users/2-2-create-iam-users#set-up-mfa-for-iam-admin-user

4. 빠른 지원을 받을 수 있도록 연락처 정보를 최신화하고 대체 연락처를 등록합니다.

의심스러운 IAM User, 역할 및 액세스 키의 계정 활동 모니터링

• 특정 IAM 사용자, 역할과 AWS 액세스 키의 계정 활동을 모니터링하려면 어떻게 해야 하나요?https://aws.amazon.com/ko/premiumsupport/knowledge-center/view-iam-history/

• 의심스러운 IAM User가 등록되어 있는지 Credential report를 통해서 확인합니다. https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_credentials_getting-report.html

유출된 Access Key를 이용하여 생성된 자원에 대한 조치

1. 유출된 Access Key를 이용하여 생성된 EC2 instance가 있다면, 해당 Instance를 중단하고, key pair를 삭제합니다.

2. 유출된 Access Key를 이용하여 생성된 공개 S3 Bucket이 있다면, 해당 Bucket에 대한 접근을 차단합니다.

탐지 기능 활성화

Amazon GuardDuty및 Amazon Detective을 활성화하시기 바랍니다. AWS 계정이 탈취된 후에 대응 조치를 취하더라도, 아직 파악하지 되지 않은 경로로 다시 계정이 탈취되는 경우가 있습니다. AWS 계정 침해를 탐지할 수 있도록 AWS 보안 서비스를 활용합니다. Amazon GuardDuty및 Amazon Detective 서비스는 1달 동안 무료로 사용될 수 있습니다. 1달 이후에는 비용이 청구 될 수 있습니다. 이 기간 동안, 1달 사용 비용을 확인하시기 바랍니다.

• Amazon GuardDuty 활성화 방법 https://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/guardduty_settingup.html

• Amazon Detective 활성화 방법 https://docs.aws.amazon.com/ko_kr/detective/latest/adminguide/detective-enabling.html

추가 재발 방지 조치

1. AWS 계정 안전하게 지키기 Tip 을 활용합니다.

2. 자원의 급격한 사용을 방지하기 위해서 결제 알림, 결제 경보를 설정합니다.

   • Action Plan - Configure Billing Alarm 구성가이드 https://catalog.workshops.aws/startup-security-baseline/en-US/b-securing-your-account/7-configurealarms/7-1-billing-alarm

3. GitHub 등 Public으로 노출된 Repository에 Access Key가 올라가지 않도록 추가 조치를 수행합니다.

   • Compromised key로 수행된 행위/자원 조사 시 참조할 만한 링크 https://github.com/aws/aws-health-tools/tree/master/automated-actions/AWS_RISK_CREDENTIALS_EXPOSED

참고자료

• AWS 계정에서 무단 활동이 발견되면 어떻게 해야 합니까? - https://aws.amazon.com/ko/premiumsupport/knowledge-center/potential-account-compromise/

• AWS 리소스의 침해를 보고하려면 어떻게 해야 하나요? - https://aws.amazon.com/ko/premiumsupport/knowledge-center/report-aws-abuse/?nc1=h_ls