![swork.org [anti-hackers lab][정보보호] [에스테크스타닷컴]](http://www.stechstar.com/user/swork/wp-content/uploads/2015/01/swork_logo02.png){kind=logo}
자꾸만 터지는 S3 사고! 이에 인공지능으로 대비한 AWS! |
|
| 2017-08-15 | |
|
S3 환경설정 오류로 각종 노출사고 터져…버라이즌, 다우존스 등
인공지능으로 민감한 정보 분류하고 사용자 행동 기반으로 비정상 판단 [보안뉴스 문가용 기자] 아마존이 AWS에 저장된 민감한 정보를 파악하고 분류하고 보호하기 위한 새로운 보안 장치를 도입했다. 이는 아마존의 S3라고 불리는 Simple Storage Service에서 자꾸만 일어나는 데이터 유출 사고에 대한 아마존의 대응이다. 
[이미지 = iclickart] S3는 편의성을 가장 큰 장점으로 클라우드에 아직 낯선 기업들에 접근하는 서비스다. 소프트웨어와 서비스 데이터를 ‘버킷(bucket)’이라는 단위로 분류하는데, 이게 매우 간단하다. 다만 너무 쉽기 때문에 실수하기도 쉽다는 게 단점이다. 그래서 최근 중요한 데이터를 노출시킨 회사 및 조직들이 버라이즌(Verizon), WWE, 공화당, 스콧트레이드(Scottrade), 다우존스 등이다. 지난 6월 AWS S3 버킷에 저장된 수천만 유권자 정보가 새나가기도 했었다. 이 정보는 공화당 측을 대신하여 딥루트애널리틱스(Deep Root Analytics)라는 리서치 및 분석 업체가 저장해 사용하고 있던 것이었다. 정보의 활용 자체야 당연히 합법적인 것이었지만, 해당 업체에서 환경설정을 할 때 ‘비밀’로 해야 할 것을 ‘공개’로 지정한 것이 문제의 시작이었다. 심지어 어떤 정보는 다운로드도 가능하게 되어 있었다. 그런데 이 일이 있고나서 불과 한 달 후, 도우존스에서도 개인 정보가 노출되는 사건이 있었다. 수백만 고객들의 정보였고, 출처는 역시나 S3였다. AWS 인증 사용자라면 누구나 해당 정보를 다운로드 받을 수 있도록 설정되어 있었던 것이다. 여기서 AWS 인증 사용자라면, AWS 계정을 가지고 있는 모든 사람을 뜻하며, 이는 족히 백만 명을 넘는다. 이러한 사건이 자꾸만 반복되자 아마존은 매시(Macie : 한글 공식 표기법은 바뀔 수 있다)라는 서비스를 도입한 것인데, 매시는 환경설정 오류 등의 보안 이벤트가 발생할 때마다 보안 팀에게 이 사실을 알려주는 기능을 가지고 있다. 이 기능이 제대로 도입된다면 적어도 딥루트애널리틱스와 도우존스에서의 사고는 재발하지 않을 가능성이 높다. 매시는 S3에 저장된 데이터를 찾아내고 분류한다. 그리고 각 데이터 개체에 고유의 사업적 값을 할당한 후 수상한 활동이 일어나는지 모니터링한다. 이 때 사용자 인증, 접근 시간, 요청 위치 등을 기반으로 비정상 행위와 정상 행위를 판단한다고 한다. 매시의 엔진은 개인식별정보나 민감한 개인 정보의 공통된 출처들을 특별히 잘 탐지해낸다고 아마존의 타라 워커(Tara Walker)는 블로그를 통해 밝mfk고 있다. 또한 AWS의 클라우드트레일(CloudTrail)에서 발생하는 이벤트들을 확인하되 특별히 S3 버킷을 향하는 PUT 요청에 대해 민감히 반응하고 새로운 정보를 잘 분류한다고 한다. 또한 머신 러닝 알고리즘을 활용하여 자연어를 자동으로 처리해 데이터 객체들을 파일과 콘텐츠 유형에 따라 정확하게 분류해낸다. 사업체와 개인, 컴플라이언스의 측면에 있어 중요도에 따라 데이터를 새로운 체계로 분류하는 게 ‘핵심 포인트’라고 한다. 데이터는 ‘리스크’에 따라 1점부터 10점까지 점수가 매겨진다. 1점은 리스크가 가장 낮은 데이터이고 10점은 리스크가 가장 높은 것이다. 데이터는 점수에 따라 대시보드에 분류되어 표기된다. 사용자는 비밀번호 리셋 등과 같은 자동 복구 행위를 정의하고 지정할 수 있다. 민감한 데이터가 무엇인지, 그리고 그것을 보호하는 정책인지 무엇인지가 기본으로 정의되고 나면 그것을 바탕으로 위험을 초래할 수 있는 행위에 대한 모니터링이 시작된다. 예를 들어 보통은 소스코드를 요청하지 않는 계정으로부터 소스코드가 다량으로 다운로드 되거나 그러한 명령이 입력되었다면, 이는 경보가 울리도록 한다. S3 버킷에 대한 권한 허용 수치가 갑자기 치솟는다면, 이 역시 수상한 일이다. API 키들이 소스코드 안으로 업로드되었다면 그 역시 수상한 일로 파악된다. “머신 러닝을 사용함으로써 콘텐츠와 사용자 행동 간의 상관관계를 더 잘 파악할 수 있게 될 것입니다. 게다가 이는 보편적인 이해가 아니라, 고객사마다 다 다른 내용일 것이라 더 가치가 있습니다. 그러니 경보는 정확해지고 보안의 효율은 높아지게 되는 것입니다. 보안이란 것은 전부 맥락적으로 판단하는 것이니까요.” AWS의 CISO인 스티븐 슈미트(Stephen Schmidt)의 설명이다. 매시가 찾아내거나 정리한 결과물들은 아마존의 클라우드와치 이벤트(CloudWatch Events)로 보내지고, 올해 말부터는 AWS SDK를 통해 API 엔드포인트들을 지원할 예정이다. 즉 서드파티 툴과의 통합도 곧 이뤄질 수 있다는 뜻이다. 현재 이 API 기반 협력 체계를 구성할 보안 업체는 팔로알토 네트웍스(Palo Alto Networks), 트렌드 마이크로(Trend Micro), 스플렁크(Splunk)다. |
|
[출처] http://www.boannews.com/media/view.asp?idx=56355&mkind=1&kind=1#
