| 요약 | - 아마존의 클라우드 기반 데이터 백업 기능을 잘못 활용한 사용자들이, 자신도 모르게 개인정보(개인을 특정할 수 있을 만한 정보)를 인터넷에 노출시키는 중 |
| 내용 | - ‘서비스형 플랫폼(Platform-as-a-Service)’인 아마존 RDS 서비스의 RDS 스냅샷(RDS Snapshot) 기능 - RDS : MySQL, PostgreSQL 등과 같은 여러 가지 엔진들을 기반으로 한 데이터베이스를 제공 - RDS 스냅샷(RDS Snapshot) ① 데이터베이스 인스턴스의 스토리지 볼륨 스냅샷을 남기는 기능으로, 사용자들은 이 기능을 통해 전체 공개 데이터나 템플릿 데이터베이스를 애플리케이션으로 전송해 공유 ② 역할이나 권한과 상관없이 편리하게 데이터를 주고 받는 데에 초점이 맞춰진 기능 - RDS 스냅샷들에서 개인 식별 정보가 발견되고 있으며, 그런 상태에서 ‘전체 공개’로 설정된 케이스가 발견 - 전체 : 2,783개 중 한달 공개 : 810개, 1~2일 공개 : 1,859개 - 클라우드 생태계의 가장 취약한 부분이 사람임을 다시 한 번 증명 - 일부 스냅샷의 내부 데이터에까지 접근할 수 있었음 - 식별 정보 없이 노출된 스냅샷도 있었으나, 충분한 시간만 주어진다면 특정 개인을 식별할 수 있음 ① 스냅샷을 통해 어떤 계정에 의해 생성 및 관리되는지 파악 가능 ② 스냅샷 메타데이터 MasterUsername 필드 : DB 사용자 이름이 저장 - 주로 관리자나 회사 이름이 기입 - DB가 전체 공개로 유지된 시간과, 그 기간 동안 발생한 다운로드 시도 회수에 대해 알 방법이 현재로서는 존재하지 않음 |
| 대응 | - RDS 서비스를 사용하나 스냅샷이 전체 공개 되어 있는 사실을 인지하지 못하며, 점검 조차 하지않음 - 따라서 아마존이 해당 고객사에 연락을 취하거나, 고객사들의 발 빠른 대응이 요구됨 - 클라우드트레일(CloudTrail)이라는 로그를 점검해 어떤 스냅샷이 언제 누구에 의해 전체 공개로 전환되었는지 확인할 필요 - RDS 스냅샷이 전체 공개로 전환되는 일을 막으려면 그러한 전환의 권한을 소수의 관리자들에게만 부여하며, 관리자들 사이에서만 엄격하게 공유 - 스냅샷 전체를 암호화하는 경우 공격자들이 스냅샷을 복제해 가더라도 사용할 수 없게 됨 |
보안뉴스
아마존의 백업 기능 잘못 사용한 사용자들, 개인 식별 정보 대규모로 노출
아마존의 클라우드 기반 데이터 백업 기능을 잘못 활용한 사용자들이, 자신도 모르게 개인정보를 인터넷에 노출시키고 있다는 사실이 발견됐다. 수많은 개인을 특정할 수 있을 만한 정보들이
www.boannews.com
'보안뉴스' 카테고리의 다른 글
| 북 해커조직 APT37, 만능 기능 ‘돌핀’ 백도어로 남한 정찰 (0) | 2022.12.03 |
|---|---|
| 비밀번호가 사라진 시대를 준비하기 (0) | 2022.11.21 |
| 美 국가안보국, C/C++ 대신 러스트·고·C# 사용 권고 (0) | 2022.11.13 |
| 매그니베르 랜섬웨어, 윈도 MOTW 우회해 타이포스쿼팅 방식 유포 (1) | 2022.11.08 |
| 11월 1일로 패치가 예고된 오픈SSL 취약점, 어쩌면 제2의 하트블리드 (0) | 2022.10.31 |