클라우드 서비스 취약점 진단 방법론

1. 단계별 수행 내역 요약

단계	수행 내역
사전 협의 및 범위 선정	∙ 업무 수행에 있어 기본적인 사항에 대해 업무 담당자와 협의를 수행하는 단계 ∙ 대상 별 진단범위(애플리케이션/클라우드 서비스) 협의 및 필수 정보 요청
진단 대상파악 및 계획수립	∙ 진단 대상에 대한 정보를 수집하고 분석하는 단계
위협 분석	∙ 주요 예상 위협들을 분류, 시나리오를 예상하는 단계
위협 검증	∙ 진단 항목 혹은 시나리오 기반의 웹 애플리케이션 공격을 수행하는 단계 ∙ 인증정보를 확보(협의/탈취)한 경우 업무 담당자 요청 시 클라우드 서비스 진단 수행    * 클라우드 서비스 특성 상 사용량에 따라 서비스 요금이 부과되므로, 진단 시 주의하 여 수행하도록 함
대응방안 수립	∙ 취약 결과를 확인하고 대응방안을 제시하는 단계

 

1.1 사전 협의

업무 수행을 위한 대상 확정 및 현황을 파악하기 위한 정보를 요청하는 단계입니다.

일반적으로 아래와 같은 사항의 협의가 필요합니다.

❑ 요청 시 주요 협의 내역의 예

 ∙ 진단 대상의 정보(서비스 구성도)

 ∙ 애플리케이션 권한(사용자/관리자 계정)

 ∙ 업무의 범위 및 기간의 재 확인

 ∙ 클라우드 서비스 IAM 권한(AccessKey 획득이 불가능 한 경우를 대비하여 요청 고려)

 

❑ 업무범위 협의 기준

법령정보 및 금융보안원의 「금융분야 클라우드컴퓨팅서비스 이용가이드(2019)」, KISA의 「민간분야 주요정 보통신기반시설 클라우드 이용 가이드라인(2021.05.03)」을 기반으로 업무범위를 협의합니다.

진단 주체	클라우드 서비스 제공자	서비스 사용자(기업)
금융분야 클라우드 컴퓨팅 서비스 이용가이드	클라우드서비스 제공자는 제공자가 관리 하는 영역(인프라 등)에 대해 주기적으로 제 3자로부터 취약점 분석∙평가를 수행하 고 조치하였음을 금융회사에 통지(금융당 국 요청 시 세부 수행 결과를 제출)	1회 이상(홈페이지는 6개월에 1회 이상) 실시하는 취약점 분석･평가 수행 시 클 라우드서비스를 이용하는 전자금융기반 시스템을 포함하여야 하며, 필요 시 클라 우드서비스 제공자에 협조를 요청할 것 * 이 때, 일반 취약점뿐만 아니라 클라우 드 컴퓨팅 고유의 위협을 고려하여 수행 할 것
민간분야 주요정보통신기반시설 클라우드 이용가이드	제공하는 물리적∙논리적 장비(보안장비, 네트워크 장비 DMBS 등)나, 클라우드 서 비스 구성 시 중요 구성요소(하이퍼바이 저, 가상화 플랫폼, 도커 등)에 대해서는 클라우드 서비스 제공자가 취약점 분석∙ 평가 수행 후 결과를 관리기관에 제공합니다.	이용하는 가상머신상에 구성된 시스템 (서버, PC, DBMS, 애플리케이션 등)은 기 존 기반시설 취약점 분석∙평가와 동일하 게 관리기관에서 수행합니다.

∙ 서비스 사용자(기업)

가상머신 상에 구성된 시스템(서버, PC, DBMS, 애플리케이션 등)은 기존 취약점 분석∙평가 결과와 동일하게 서비스 사용자가 수행합니다.

∙ 클라우드 서비스 제공자

제공하는 인프라에 대해서 제 3자7)로부터 취약점 분석∙평가 수행 후 결과를 제공해야 합니다.

 

1.2 계획 수립

계획을 위한 대상의 정보를 수집하는 단계이다. 대상에 대한 정보를 최대한 수집하고 취합하는 단계입니다.

❑ 계획 수립 시 주요 내역의 예

∙ 웹 애플리케이션 서비스 확인

∙ 클라우드 서비스 IAM 권한 확인(진단 범위 계획 수립)

 

1.3 위협분석

해당 애플리케이션의 운영 시 발생할 수 있는 위협을 예상하여 목록화 하거나 혹은 공격이 가능한 경우에 대 한 참고 시나리오를 마련하는 단계입니다. 위협 분석 시 잘 알려진 모델을 활용합니다.

위협 유형 분류	점수(위험도) 산정 – 상(3) / 중 (2) / 하(1)
신분위장 (Spoofing Identity) 데이터 변조 (Tempering with data) 부인 (Repudiation) 정보유출 (Information Disclosure) 서비스 거부 (Denial of Service) 권한 상승 (Elevation of privilege	예상 피해 (Damage potential) 재현 확률 (Reproducibility) 공격 용이도(Exploitability) 영향을 받는 사용자 (Affected users) 발견 용이성 (Discoverability)

 

1.4 위협 검증

1.4.1 애플리케이션 취약점 진단

진단 항목은 금보원, KISA 등의 기관에서 제공한 안내가이드에 나열 되어있는 위협 중 모의해킹 관점에서 발생 가능한 항목들을 포함하도록 정리하였습니다. 53 건의 항목을 활용하여 점검을 수행하며, 아키텍처 및 진단 범위에 따라 점검 항목의 개수는 변경 될 수 있습니다. 기존 취약점 분석∙평가 방식으로 업무를 수행하며, 사전 협의를 통해 제공받은 대상 정보를 기반으로 클라우드 특화 항목을 추가 활용하여 취약점 진단할 수 있도록 합니다.

1.4.2 클라우드 서비스 취약점 진단

사전 협의를 통해 제공받거나 애플리케이션 취약점 진단을 통해 탈취한 IAM 권한(AccessKey:SecretKey)으로 사용 가능한 기능들에서 미흡한 보안설정 및 구성으로 발생 가능한 취약점을 확인합니다.

1.4.3 클라우드 서비스 비용 관련 진단 주의사항

AWS 서비스의 요금 산정방식은 서비스의 형태, 리전 등 다양한 요소에서 차이가 존재합니다.

 - AWS Lambda의 경우 함수 요청 수와 기간, 코드를 실행하는 데 걸리는 시간에 따라 요금이 청구됩니다.

 - Amazon API Gateway의 경우 API를 사용할 때 호출과 전송한 데이터의 양에 대해서 요금이 청구됩니다.

일반적으로 크게 문제되지 않으나, 다음과 같이 진단과정에서 영향이 갈 수 있는 서비스 별 요금 정책을 확인 하고, 필요 이상의 과금이 발생하지 않도록 주의하여 진단을 수행해야 합니다.

 

출처 : ADT 캡스 "EQST그룹이 제안하는 클라우드 모의해킹 방법론(AWS)"