취약성 보고

AWS 클라우드 서비스의 어느 부분에서나 발생할 수 있는 취약성 해결

Amazon Web Services는 보안을 매우 중요하게 생각하며 보고된 모든 취약성을 조사합니다. 이 페이지에서는 AWS 클라우드 서비스의 어느 부분에서나 발생할 수 있는 취약성을 해결하기 위해 AWS에서 기울이는 노력에 대해 설명합니다.

의심되는 취약성 보고

  • Amazon Web Services(AWS): 취약성을 보고하려 하거나 AWS 클라우드 서비스 또는 오픈 소스 프로젝트에 관한 보안 우려 사항이 있는 경우 aws-security@amazon.com으로 관련 정보를 제출해 주시기 바랍니다. 제출한 내용을 보호하고 싶을 경우 PGP 키를 사용할 수 있습니다.
  • 침투 테스트용 AWS 고객 지원 정책: AWS 고객은 목록의 서비스에 대해 사전 승인 없이 AWS 인프라에 대한 보안 평가 또는 침투 테스트를 수행할 수 있습니다. 기타 시뮬레이션된 이벤트에 대한 승인 요청은 시뮬레이션 이벤트 양식으로 제출해야 합니다. AWS 중국(닝샤 및 베이징) 리전에서 운영하는 고객의 경우, 이 시뮬레이션 이벤트 양식을 사용하세요.
  • AWS 침해: AWS 리소스(예: EC2 인스턴스 또는 S3 버킷)이 수상한 활동에 사용되는 것으로 의심될 경우, Amazon AWS 침해 신고 양식을 사용하거나 abuse@amazonaws.com에 연락하여 AWS 침해 팀에 보고할 수 있습니다.
  • AWS 규정 준수 정보: AWS 규정 준수 보고서는 AWS Artifact를 통해 액세스할 수 있습니다. 추가적인 AWS 규정 준수 관련 질문이 있을 경우, 접수 양식을 통해 문의하세요.
  • Amazon.com(소매): Amazon.com(소매), Seller Central, Amazon Payments의 보안에 대한 우려 사항이 있거나 의심스러운 주문, 유효하지 않은 신용카드 청구, 의심스러운 이메일 또는 취약성 보고 등 관련된 다른 문제가 있는 경우 소매 보안 웹 페이지를 방문해 주시기 바랍니다.

AWS에서 보다 효율적으로 대응할 수 있도록 취약성의 특성 및 심각도를 파악하는 데 도움이 될 만한 자료를 모두 제공해 주시기 바랍니다(개념 증명 코드, 도구 출력 등).

관련 프로세스 중에 AWS와 공유하는 정보는 AWS에서 기밀로 유지되며, AWS는 보고된 취약성이 타사 제품에 영향을 미치는 것으로 확인된 경우에만 이 정보를 공유합니다. 이 경우, 이 정보는 타사 제품 제작자 또는 제조사에 공유됩니다. 그렇지 않을 경우에 AWS는 사용자가 허용한 대로만 이 정보를 공유합니다.

AWS는 제출된 보고서를 검토하여 추적 번호를 할당한 다음 보고서를 접수했음을 확인하고 프로세스의 다음 단계를 간단히 설명한 응답을 사용자에게 보냅니다.

AWS에서의 평가에 대한 SLA

AWS는 즉각 대응하고 사용자가 보고한 보안 우려 사항을 조사하거나 완화하는 작업에 대한 진행 상황을 계속해서 알려드릴 수 있도록 노력하고 있습니다. 사용자에게는 취약성 보고 수신을 확인해 드리기 위한 자동화되지 않은 응답을 24시간 이내에 1차 연락처로 보내 드립니다. 적어도 미국 업무일을 기준으로 5일마다 AWS에서 진행 상황에 대한 업데이트를 받아보실 수 있습니다.

공개 알림

해당하는 경우 AWS는 취약성을 보고한 사용자와 함께 협력하여 확인된 취약성을 공개하게 됩니다. AWS는 가능한 경우 각각의 공개 사항을 동시에 게시하려고 합니다.

고객 보호를 위해, AWS에서 보고된 취약성을 조사하여 대응 및 해결하고 필요한 경우 고객에게 알릴 때까지 잠재적 취약성에 대한 모든 정보와 AWS 고객이 소유하고 있는 모든 데이터를 공개적으로 게시하거나 공유하지 말 것을 정중히 요청하는 바입니다. 보고된 유효 취약성을 해결하는 데는 시간이 걸리며, 기간은 취약성의 심각도와 해당 시스템에 따라 달라집니다.

AWS는 AWS 보안 웹사이트에 게시되는 보안 공고 형태로 공개 알림을 게시합니다. 개인, 회사, 보안 팀에서는 일반적으로 공지 사항을 각자의 웹사이트나 기타 포럼에 게시합니다. AWS는 관련이 있는 경우, AWS 보안 공고에 이러한 타사 리소스에 대한 링크도 포함하여 게시합니다.  

세이프 하버

AWS는 성실하게 수행한 보안 조사가 세이프 하버를 제공한다고 생각합니다. 아래의 조건에 따라 적용되는 Disclose.io 핵심 약관을 도입하였으며, AWS 고객을 보호하고자 하는 열정을 공유하는 보안 연구자와 협력할 수 있기를 기대합니다.

범위

다음의 활동은 AWS 취약성 보고 프로그램 범위에 해당하지 않습니다. 아래와 같은 활동을 하면 프로그램에 참여할 자격이 영구적으로 박탈됩니다.

  1. AWS 고객 또는 AWS 인프라에서 호스팅되는 AWS 외의 사이트 자산을 노리는 행위
  2. AWS 고객 또는 직원 계정을 침해하여 알아낸 취약성
  3. AWS 제품 또는 AWS 고객에 대한 서비스 거부(DoS) 공격
  4. AWS 직원, 사무실, 데이터 센터에 대한 물리적 공격
  5. AWS 직원, 계약업체, 공급업체 또는 서비스 제공업체의 소셜 엔지니어링
  6. 고의로 멀웨어 게시, 전송, 업로드, 링크 또는 발송
  7. 요청하지 않은 대량 메시지(스팸)를 전송하는 취약성 악용

공개 정책

보고서가 제출되면 AWS는 보고된 취약성을 확인하는 작업에 착수합니다. 문제를 확인하고 재현하는 데 추가 정보가 필요한 경우 AWS에서는 취약성을 보고한 사용자에게 요청하여 해당 정보를 획득합니다. 초기 조사가 완료되면 해당 사용자에게 해결 방법 및 공개 논의에 대한 계획과 함께 결과를 알립니다.

AWS 프로세스와 관련하여 알아두어야 할 몇 가지 사항이 있습니다.

  1. 타사 제품: 많은 공급업체가 AWS 클라우드에서 제품을 제공합니다. 타사 제품에 영향을 미치는 취약성을 발견한 경우 AWS는 해당 기술의 소유자에게 이를 알리고 해당 취약성을 보고한 사용자와 해당 타사 사이의 의견을 지속적으로 조율합니다. 사용자의 신원은 사용자의 허가 없이는 타사에 공개되지 않습니다.
  2. 취약성이 아닌 것으로 확인되는 경우: 문제를 확인할 수 없는 경우나 AWS 제품에서 발생하지 않은 경우, 사용자에게 이를 공유합니다.
  3. 취약성 분류: AWS는 CVSS(Common Vulnerability Scoring System) 버전 3.1을 사용하여 잠재적 취약성을 평가합니다. 결과 점수는 문제의 심각도를 수량화하여 대응에 대한 우선순위를 지정하는 데 도움이 됩니다. CVSS에 대한 자세한 내용은 NVD 사이트를 참조하세요.
AWS 비즈니스 담당자에게 문의
질문이 있으신가요? AWS 영업 담당자와 연결
보안 역할을 찾고 계십니까?
지금 신청하십시오 »
AWS 보안 업데이트를 받으시겠습니까?
Twitter 팔로우하기 »