Amazon Web Services는 보안을 매우 중요하게 생각하며 보고된 모든 취약점을 조사합니다. 이 페이지에서는 AWS 클라우드 서비스의 어느 부분에서나 발생할 수 있는 취약점을 해결하기 위해 AWS에서 기울이는 노력에 대해 설명합니다.

  • Amazon.com 소매 – Amazon.com 소매, Seller Central, Amazon Payments의 보안에 대한 우려 사항이 있거나 의심스러운 주문, 유효하지 않은 신용카드 청구, 의심스러운 이메일 또는 취약성 보고 등 관련된 다른 문제가 있는 경우 https://amazon.com/security를 방문해 주시기 바랍니다.
  • Amazon Web Services(AWS) – 취약성을 보고하려 하거나 EC2, S3, CloudFront, RDS 등 AWS 클라우드 서비스와 관련한 보안 우려 사항이 있는 경우 aws-security@amazon.com으로 이메일을 보내 주시기 바랍니다. 이메일 보안이 필요한 경우 PGP를 사용할 수도 있습니다. 키는 여기를 참조하십시오.

AWS 리소스(예: EC2 인스턴스 또는 S3 버킷)가 의심스러운 활동에 사용되고 있다고 생각하는 경우, 여기에서 AWS 침해 팀에 보고할 수 있습니다.

AWS에서 보다 효율적으로 대응할 수 있도록 취약점의 특성 및 심각도를 파악하는 데 도움이 될 만한 자료를 모두 제공해 주시기 바랍니다(개념 증명 코드, 도구 출력 등).

관련 프로세스 중에 AWS와 공유하는 정보는 AWS에서 기밀로 유지되며, 사용자의 허가 없이는 제3자와 공유되지 않습니다.

AWS는 제출된 보고서를 검토하여 추적 번호를 할당한 다음 보고서를 접수했음을 확인하고 프로세스의 다음 단계를 간단히 설명한 응답을 사용자에게 보냅니다.

보고서가 제출되면, AWS는 보고된 취약점을 확인하는 작업에 착수합니다. 문제를 확인하고 재현하는 데 추가 정보가 필요한 경우 AWS에서는 취약성을 보고한 사용자에게 문의하여 해당 정보를 획득합니다. 초기 조사가 완료되면 해당 사용자에게 해결 방법 및 공개에 대한 계획과 함께 결과를 알립니다.

AWS 평가 프로세스와 관련하여 알아두어야 할 몇 가지 사항이 있습니다.

  • 타사 제품. 많은 공급업체가 AWS 클라우드에서 제품을 제공합니다. 타사 제품에 영향을 미치는 취약성을 발견한 경우 AWS는 영향을 받는 소프트웨어의 개발자에게 이를 알리고 해당 취약성을 보고한 사용자와 해당 타사 사이의 의견을 지속적으로 조율합니다. 사용자의 신원은 사용자의 허가 없이는 타사에게 공개되지 않습니다.
  • 취약성이 아닌 것으로 확인되는 경우. 문제를 확인할 수 없는 경우나 AWS 제품에서 결함을 발견하지 못한 경우, 사용자에게 이를 공유합니다.
  • 취약성 분류. AWS는 CVSS(Common Vulnerability Scoring System) 버전 2.0을 사용하여 잠재적 취약성을 평가합니다. 결과 점수는 문제의 심각도를 수량화하여 대응에 대한 우선순위를 지정하는 데 도움이 됩니다. CVSS에 대한 자세한 정보는 CVSS-SIG 공지를 참조하십시오.

AWS는 즉각 대응하고 사용자가 보고한 보안 우려 사항을 조사하거나 완화하는 작업에 대한 진행 사항을 계속해서 알려드릴 수 있도록 노력하고 있습니다. 사용자에게는 취약성 보고 수신을 확인해 드리기 위한 자동화되지 않은 응답을 24시간 이내에 1차 연락처로 보내 드립니다. 적어도 업무일을 기준으로 5일마다 진행 상황에 대한 업데이트를 받아보실 수 있습니다.

해당하는 경우 AWS는 취약성을 보고한 사용자와 함께 협력하여 확인된 취약성을 공개하게 됩니다. AWS는 가능한 경우 각각의 공개 사항을 동시에 게시하려고 합니다.

고객 보호를 위해, AWS에서 보고된 취약성을 조사하여 대응 및 해결하고 필요한 경우 고객에게 알릴 때까지 잠재적 취약성에 대한 모든 정보와 AWS 고객이 소유하고 있는 모든 데이터를 공개적으로 게시하거나 공유하지 말 것을 정중히 요청하는 바입니다. 확인된 취약성을 해결하기까지는 시간이 소요되며 취약성의 심각도와 영향을 미치는 시스템에 따라 소요되는 시간이 달라집니다.

AWS 공시는 AWS 보안 센터에 보안 공고 형태로 게시됩니다. 개인, 회사, 보안 팀에서는 일반적으로 공지 사항을 각자의 웹 사이트나 기타 포럼에 게시합니다. AWS는 관련이 있는 경우, AWS 보안 공고에 이러한 타사 리소스에 대한 링크도 포함하여 게시합니다.

 

AWS에 문의