AWS(Amazon Web Service)는 S3 bucket의 데이터 유출 위험을 최소화 하기 위해 Access Analyzer를 발표했다.

S3는 Amazon Simple Storage Service로 웹에서 언제나 원하는 양의 데이터를 저장하고 검색할 수 있도록 하는 서비스이다. 이때 데이터를 업로드하기 위해 Bucket을 생성하는데 이러한 Bucket을 설정하는데 오류를 범해 다수의 데이터 유출 사고가 일어나고 있다.

최근 Capital One의 총 1억 6백만 명의 데이터 노출사고와 GoDaddy의 S3 버킷 오류로 인한 구성 정보 노출, FedEx의 고객 식별정보 노출 등이 있었으며, 잘못된 구성 오류 등의 이유로 Accenture, Verizon, Booz Allen Hamilton, Republican National Committee data breach, Election Systems & Software (ES&S), 미국 유권자 기록 저장소 등에서 유출 사고가 있었으며, WWE 레슬링 팬에서 국방부 정보까지 사고가 발생해 전방위적인 데이터 노출 및 유출 사고가 발생했었다.

이러한 S3 bucket 유출 사고를 최소화하기 위해 개발한 Access Analyzer는 S3 Bucket이 모든 사람에게 접근 허용이거나 다른 AWS 계정과 공유하도록 설정된 경우 경고하는 기능을 한다.

또한, “Finding” 수준의 공개 또는 공유되는 데이터를 설정할 수 있고, 모든 접근을 차단할 수 있는 정책 설정이 가능하게 하며 인증된 사용자에게만 S3 bucket에 접근 가능한 설정을 사용할 수 있다.

현재 베이징, 닝샤의 리전을 제외한 모든 사용 AWS 리전의 S3 관리 콘솔에서 추가 비용 없이 사용할 수 있으며. GovCloud 리전의 API를 통해 사용할 수 있다.

글을 마치며 S3 bucket 구성 설정 오류로 인한 사고뿐 아니라 다양한 사용자의 숙련도나 관심도에 따른 설정 오류는 Cloud의 아직 풀어야 할 숙제이다. 다만 이러한 구성 오류를 보완하기 위해 각 Cloud 서비스들은 지속해서 보완책을 개발하고 있으니 이를 확인 검토하여 적용하거나 정책에 대한 설정이나 위협에 대한 지속적인 관심을 가져 위험도를 줄여나가는 노력이 필요하다고 생각한다.

[참조 - https://www.msspalert.com/cybersecurity-services-and-products/aws-introduces-amazon-s3-access-analyzer-tool-for-data-leaks/]

보안관제센터 Team MIR