2010년 4월 18일

Amazon EC2에서 시작된 SIP brute force 공격에 대한 최근 논의가 이루어졌습니다. 그리고 여러 사용자가 몇 주 전 소수의 Amazon EC2 인스턴스에서 SIP brute force 공격이 시작되었다고 보고한 사실을 확인했습니다. 이러한 공격은 SIP 프로토콜에서 보안 취약성을 악용하도록 설계된 것으로 보입니다. 이 공격과 관련하여 Amazon EC2가 요구되는 특이 사항은 보이지 않습니다. Brute force 공격은 어떤 컴퓨터나 네트워크에서도 시작될 수 있습니다.

이러한 인스턴스의 동작은 확실히 AWS의 사용 약관에 위반됩니다. AWS는 일반적인 악용 사례 보고 절차에 따라 악용 보고에 대응했으며, 악용된 동작을 확인할 수 있는 경우 악용된 계정을 폐쇄하였습니다. AWS는 서비스에 대한 모든 악용 사례를 매우 심각하게 여기며, 각 사례를 조사합니다. 악용 조건을 찾으면 빠르게 조치를 취하고 해당 계정을 폐쇄합니다. AWS 사용 약관은 명확하며, AWS는 지속적으로 모니터링하며 서비스가 잘못된 활동에 사용되지 않도록 하기 위해 노력하고 있습니다. AWS는 고객의 프라이버시를 매우 심각하게 생각하며, 인스턴스 콘텐츠는 검사하지 않습니다. 바로 이 때문에 모든 유형의 합법적 고객이 Amazon EC2에서 프로덕션 애플리케이션을 편안하게 실행할 수 있는 것입니다. 하지만 악용 조건이 적발되면 AWS는 악용 동작을 격리하기 위해 빠르게 조치를 취할 수 있습니다.

AWS는 향후에 더 나은 대처 방법을 결정하기 위해 이 이벤트를 자세히 조사하고 있습니다. 먼저, 향후에 SIP 기반 악용을 더 빠르게 식별할 수 있도록 악용 탐지 프로토콜을 수정했습니다. 또한 향후에 탐지되는 않은 중요한 SIP 악용에 빠르게 대응할 수 있도록 주요 SIP 제공업체가 통신 채널을 열어 두도록 권장하고 있습니다. 마지막으로, 이와 같은 상황에서 즉각적으로 대응할 수 있도록 악용 보고 메커니즘도 수정하는 중입니다.

Amazon EC2의 악용이 의심되면 trustandsafety@support.aws.com으로 이메일을 보내 주십시오.