AWS Support Plan에 따른 고객 보안 이슈 지원 방법

AWS에서 보안은 고객과 AWS의 소중한 자산과 프로세스를 지키기 위하여 언제나 최우선 순위로 고려되는 중요한 업무입니다. 따라서 AWS는 고객들이 겪을 수 있는 여러 보안 문제들에 대한 다양하고 전문적인 지원을 위하여 체계적이고 고도화된 지원 정책을 가지고 있습니다.

AWS 고객은 각 고객이 선택하는 AWS Support 플랜에 따라서 보안 이슈별로 특화된 전문조직의 지원을 받을 수 있으며, 고객과의 효과적인 업무진행을 위해서 마련된 여러가지 창구를 통한 지원을 제공받을 수 있습니다.

아래 그림에서는 이러한 지원의 흐름에 대한 간략한 도식을 보여주고 있습니다.

그림 1. AWS Support 플랜별 고객 보안 이슈 지원 경로

고객 보안 이슈 확인 방법

먼저 서비스의 비정상 동작이 확인되거나 의심될 경우, AWS 자체의 이슈인지를 확인할 수 있는 AWS Health Dashboard 를 통해서 고객이 사용하고 있는 서비스들의 상태를 확인할 수 있습니다. AWS에서는 이슈가 발생할 경우 AWS Health Dashboard를 통해서 그 내용을 공유하고 있으며, 상황이 변경됨에 따라서 지속적인 업데이트를 제공합니다.

AWS 자체의 이슈가 아닐 경우, 고객은 Support 플랜에 따라서 다양한 채널을 통해 보안 이슈에 대한 지원을 요청할 수 있습니다. 먼저, 모든 AWS고객은 공통적으로 지원센터(Support Center)를 통하여 케이스를 생성하고 지원을 받을 수 있습니다. 기술 문의가 아니라 실제 발생한 보안 이슈에 대한 지원이 필요한 경우에는 “Account and billing”을 선택하고 “Security”항목에 세부내용을 기입하여 케이스를 생성하면 됩니다. 단 DDoS의 경우에는 Business Support 이상의 플랜만 Shield Response Team(SRT)의 지원을 받을 수 있으며, “Technical”을 선택하고 서비스에 “Shield”를 선택하여 세부내용을 기입하면 됩니다.

Enterprise Support 지원 경로

Enterprise Support를 사용중이신 고객은 전담 기술 담당자인, 테크니컬 어카운트 매니저(TAM)를 통해서 보안이슈에 대한 신속한 지원을 받으실 수 있습니다. TAM은 담당 고객이 직면한 기술적인 문제들에 대해서 적극적이고 능동적인 지원을 제공하며, 필요에 따라서 AWS 내의 다른 전문 조직 및 내부 서비스를 활용하여 고객의 이슈를 해결하는 전문적인 기술 담당자 입니다. 따라서 Enterprise Support계약을 가지고 계신 고객은 보안 이슈가 발생할 경우 TAM에게 연락함으로써 신속하고 전문적인 전담 서비스를 통해 문제를 해결할 수 있습니다.

다음으로 Enterprise On-Ramp 고객의 경우에는 TAM 풀을 통해서 보안 이슈에 대한 기술지원을 받으실 수 있습니다. 우선 발생한 이슈에 대하여 지원센터를 통해 케이스를 생성하고, Enterprise On-Ramp고객 전용 이메일로 지원 신청을 하게 되면 중요도에 따라서 정해진 시간안에 TAM을 배정받게 됩니다. 배정된 TAM은 고객의 보안 이슈를 확인하기 위한 권한을 위임받게 되며, 고객이 생성한 케이스를 함께 관리하게 됩니다.

Business, Developer, Basic Support 지원 경로

Business Support, Developer Support, Basic 플랜의 경우 기본적으로 지원센터를 통해서 기술 지원을 받으실 수 있는데, 이 중 Basic 플랜은 기술적인 지원이 필요할 때 셀프 서비스 형태로 AWS 내의 문서를 찾아서 직접 문제를 해결하도록 하고 있습니다(그림2 참조). 다만, 앞에서 언급한 것 처럼 AWS 자원에 대한 보안 사고의 경우에는 모든 Support 플랜에 제공되는 “Account and billing”메뉴를 통해서 지원을 요청할 수 있습니다. 접수된 문제의 심각도와 Support 플랜의 종류에 따라서 정해진 시간안에 지원을 받을 수 있습니다. 이에 대한 자세한 내용은 AWS Support 플랜 비교를 참조하시기 바랍니다.

그림 2. AWS Basic 플랜 고객 기술지원

어뷰징 이슈 사례 및 접수 방법

지원센터를 통한 접수 이외에도 어뷰징(abuse) 이슈에 대해서는 별도의 전용 이메일(abuse@amazonaws.com)을 이용하거나, 어뷰징 신고 전용 주소 (https://support.aws.amazon.com/#/contacts/report-abuse )를 사용하여 접수할 수 있습니다. 각 어뷰징 종류별 사례는 아래와 같이 분류되고 있습니다.

• 스팸 메일: AWS 소유 IP 주소에서 원치 않는 이메일을 수신하거나 AWS 리소스가 웹 사이트 또는 포럼에 스팸을 보내는 데 사용됩니다. (신고항목 : Sending email spam, Spamming online forums or other websites, Hosting a site advertised in spam)
• 포트 스캐닝: 하나 이상의 AWS 소유 IP 주소에서 서버의 여러 포트로 패킷을 전송하고 있음이 로그에 표시됩니다. 또한 이는 보안되지 않은 포트를 찾으려는 시도라고 생각합니다. (신고 항목 : Port scanning)
• DoS (서비스 거부) 공격: 하나 이상의 AWS 소유 IP 주소가 리소스의 포트를 패킷으로 플러딩하는 데 사용된 것이 로그에 표시됩니다. 또한 서버 또는 서버에서 실행되는 소프트웨어를 압도하거나 충돌하려는 시도라고 생각합니다. (신고 항목 : Intrusion attempts – DDoS)
• 침입 시도: 하나 이상의 AWS 소유 IP 주소가 리소스에 로그인하려고 사용되고 있음이 로그에 표시됩니다. (신고 항목 : Intrusion attempts(ssh, ftp, etc.), Exploit attacks(SQL injection, remote file inclusions, etc.), Open proxy)
• 금지된 콘텐츠 호스팅: AWS 리소스가 불법 콘텐츠 또는 저작권이 있는 콘텐츠와 같은 금지된 콘텐츠를 저작권 보유자의 동의 없이 배포하는 데 사용된다는 증거가 있습니다. (신고 항목 : Hosting unlicensed copyright-protected material)
• 맬웨어 배포: 설치된 컴퓨터 또는 시스템을 손상시키거나 해를 입히기 위해 의도적으로 생성된 소프트웨어를 배포하는 데 AWS 리소스가 사용된다는 증거가 있습니다. (신고 항목 : Phishing website, Website hosting viruses/malware,
• 악성 크롤링: AWS 리소스가 내 웹 사이트의 크롤링 방지 설정(robots.txt)을 무시하고 크롤링하는 데 사용되고 있다는 증거가 있습니다. (신고 항목 : Excessive web crawling, IRC botnet activity)

이와 같이 AWS가 제공하는 다양하고 전문적인 보안 이슈 지원 서비스를 활용하면 여러 상황에서 발생할 수 있는 보안 사고에 대하여 신속하고 안전한 해결에 도움을 받으실 수 있습니다. 따라서 보유하고 계시는 워크로드의 중요도에 따라서 적절한 Support 플랜을 선택하고 전문적인 서비스를 받으시기 바랍니다.

황재훈, AWS Specialist Solutions Architect – Security