취약성 보고

• Amazon Web Services(AWS): 취약성을 보고하려 하거나 AWS 클라우드 서비스 또는 오픈 소스 프로젝트에 관한 보안 우려 사항이 있는 경우, aws-security@amazon.com으로 관련 정보를 제출해 주시기 바랍니다. 제출한 내용을 보호하고 싶을 경우, PGP 키를 사용할 수 있습니다.
• Amazon.com(소매): Amazon.com(소매), Seller Central, Amazon Payments 보안에 대한 우려 사항이 있거나 의심스러운 주문, 유효하지 않은 신용카드 청구, 의심스러운 이메일 또는 취약성 보고 등 관련된 다른 문제가 있는 경우, 소매 보안 웹 페이지를 방문하시기 바랍니다.
• 침투 테스트 관련 AWS 고객 지원 정책: AWS 고객은 목록의 서비스에 한해 사전 승인 없이 AWS 인프라에 대한 보안 평가 또는 침투 테스트를 수행할 수 있습니다. 기타 시뮬레이션 이벤트에 대한 승인 요청은 시뮬레이션 이벤트 양식을 통해 제출해야 합니다. AWS 중국(닝샤 및 베이징) 리전에서 운영하는 고객은 이 시뮬레이션 이벤트 양식을 사용하세요.
• AWS 침해: AWS 리소스(예: EC2 인스턴스 또는 S3 버킷)가 수상한 활동에 사용되는 있다고 의심되는 경우, Amazon AWS 침해 신고 양식을 사용하거나 abuse@amazonaws.com에 연락하여 AWS 침해 팀에 보고할 수 있습니다.
• AWS 규정 준수 정보: AWS 규정 준수 보고서는 AWS Artifact를 통해 액세스할 수 있습니다. 추가적인 AWS 규정 준수 관련 질문이 있을 경우, 접수 양식을 통해 문의하세요.

AWS에서 보다 효율적으로 대응할 수 있도록 취약성의 특성 및 심각도를 파악하는 데 도움이 될 만한 자료(개념 증명 코드, 도구 출력 등)를 모두 제공해 주시기 바랍니다.

이 프로세스 중에 AWS와 공유하는 정보는 AWS에서 기밀로 유지되며, AWS는 보고된 취약성이 타사 제품에 영향을 미치는 것으로 확인된 경우에만 이 정보를 타사 제품 제작자 또는 제조사와 공유합니다. 그렇지 않을 경우에 AWS는 사용자가 허용한 대로만 이 정보를 공유합니다.

AWS는 제출된 보고서를 검토하여 추적 번호를 할당한 다음 보고서 접수를 확인하고 프로세스의 다음 단계를 간단히 설명하는 응답을 사용자에게 보냅니다.

다음 활동은 AWS 취약성 보고 프로그램 범위에 해당하지 않습니다. 아래와 같은 활동을 하면 프로그램에 참여할 자격이 영구적으로 박탈됩니다.

• AWS 고객 또는 AWS 인프라에서 호스팅되는 AWS 외의 사이트 자산을 노리는 행위
• AWS 고객 또는 직원 계정을 침해하여 취약성 파악
• AWS 제품 또는 AWS 고객에 대한 서비스 거부(DoS) 공격
• AWS 직원, 사무실, 데이터 센터에 대한 물리적 공격
• AWS 직원, 계약업체, 공급업체 또는 서비스 제공업체의 소셜 엔지니어링
• 고의로 맬웨어 게시, 전송, 업로드, 링크 또는 발송
• 요청하지 않은 대량 메시지(스팸)를 전송하는 취약성 악용

AWS는 곧바로 답변하고 진행 상황을 알려드리기 위해 노력합니다. 최초 보고 접수를 확인하는 자동화되지 않은 응답을 24시간 이내에 보내 드리며, 시기적절한 업데이트와 월별 체크인을 이 과정이 끝날 때까지 보내 드립니다. 언제든지 업데이트를 요청할 수 있으며, 우려 사항이나 공개 조정을 명확히 하는 대화는 언제나 환영합니다.

해당하는 경우 AWS는 취약성을 보고한 사용자와 함께 협력하여 확인된 취약성을 공개하게 됩니다. AWS는 가능한 경우 각각의 공개 사항을 동시에 게시하려고 합니다.

고객 보호를 위해, AWS에서 보고된 취약성을 조사하여 대응 및 해결하고 필요한 경우 고객에게 알릴 때까지 잠재적 취약성에 대한 모든 정보와 AWS 고객이 소유하고 있는 모든 데이터를 공개적으로 게시하거나 공유하지 말 것을 정중히 요청하는 바입니다. 보고된 유효한 취약성을 해결하려면 시간이 걸리며, 기간은 취약성의 심각도와 영향을 받는 시스템에 따라 달라집니다.

AWS는 AWS 보안 웹 사이트에 게시되는 보안 공고 형태로 공개 알림을 게시합니다. 개인, 회사, 보안 팀은 일반적으로 공지 사항을 각자의 웹 사이트나 기타 포럼에 게시합니다. AWS는 관련이 있는 경우, AWS 보안 공고에 이러한 타사 리소스에 대한 링크도 포함하여 게시합니다.  

AWS는 선의로 수행한 보안 조사에는 세이프 하버가 제공되어야 한다고 생각합니다. 보안 조사 및 취약성 보고를 위한 세이프 하버의 목적상 AWS Security는 disclose.io의 핵심 용어, 특히 ‘세이프 하버’와 ‘우리의 기대’를 채택했습니다. AWS는 AWS 고객 보호를 위한 열정을 공유하는 보안 연구원들과 함께 일할 수 있기를 기대합니다.

이에 따라 AWS는 이 정책에 따라 수행된 보안 조사가 다음에 해당한다고 생각합니다.

• 관련 해킹 방지법과 관련하여 승인을 받았습니다. AWS는 이 정책의 우발적인 선의의 위반을 이유로 귀하를 상대로 법적 조치를 취하거나 지원하지 않을 것입니다.
• 관련 우회 금지법과 관련하여 승인을 받았습니다. AWS는 기술 통제 우회를 이유로 귀하를 상대로 소송을 제기하지 않겠습니다.
• 보안 조사 수행에 방해가 되는 AWS 서비스 약관 및/또는 이용 제한 정책의 제한이 면제됩니다. AWS는 제한적으로 이러한 제한의 적용을 받지 않습니다.
• 인터넷의 전반적인 보안에 합법적으로 도움이 되며 선의로 수행됩니다.

귀하는 언제나처럼 모든 관련 법률을 준수해야 합니다. 제3자가 귀하를 상대로 법적 조치를 취하고 귀하가 이 정책을 준수했다면 AWS는 귀하의 행동이 본 정책에 따라 수행되었음을 알리기 위한 조치를 취하겠습니다.

언제든지 보안 조사가 이 정책에 부합하는지 여부가 우려되거나 확실하지 않은 경우, 더 진행하기 전에 앞에서 언급한 ‘의심스러운 취약성 보고’ 채널 중 하나를 통해 보고서를 제출하시기 바랍니다.

세이프 하버는 이 정책에 참여하는 조직이 통제하는 법적 청구에만 적용되며, 이 정책은 독립적인 제3자를 구속하지 않는다는 점에 유의하세요.

AWS의 취약성 공개 프로그램에 선의로 참여하려면 다음 사항을 숙지하시기 바랍니다.

• 이 정책 및 기타 관련 계약을 준수하는 등 규칙에 따르세요. 이 정책과 기타 관련 약관 간에 불일치가 있는 경우, 이 정책의 약관이 우선합니다.
• 발견한 취약성을 즉시 보고하세요.
• 타인의 프라이버시를 침해하거나, 시스템을 교란하거나, 데이터를 파괴하거나, 사용자 경험을 손상시키지 마세요.
• 취약성 정보를 AWS와 논의할 때는 앞서 언급한 채널만 사용하세요.
• 문제를 공개하기 전에 최초 신고 시점부터 문제 해결에 필요한 합리적인 시간을 제공해 주세요.
• 범위 내 시스템에서만 테스트를 수행하고 범위 외 시스템 및 활동을 존중하세요.
• 취약성으로 인해 의도하지 않은 데이터 액세스가 가능한 경우: 액세스하는 데이터의 양을 개념 증명의 효과적 입증에 필요한 최소한으로 제한하고, 테스트 중에 개인 식별 정보(PII), 개인 의료 정보(PHI), 신용 카드 데이터 또는 독점 정보 같은 사용자 데이터를 발견하면 테스트를 중단하고 즉시 보고서를 제출하세요.
• 상호 작용에는 본인이 소유하거나 계정 소유자의 명시적 허가를 받은 테스트 계정만 사용하세요.
• 갈취에 관여하지 마세요.