[박춘식 교수의 보안이야기] 독일 대학연구팀이 미국 Amazon.com의 클라우드 서비스 Amazon Web Services(AWS)에 시큐리티 결함이 있음을 발견했다고 외신이 보도했다.
 
이들 취약점은 “많은 클라우드 아키텍처에 존재하고 있으며, 공격자가 관리자 권한을 취득하여 모든 이용자의 데이터에 접근하는 것을 가능하게 할 우려가 있다”는 견해를 나타냈다.
 
연구팀은 이들의 시큐리티 결함에 대해서 Amazon AWS부문에 통보했으며 AWS는 이들을 수정하였다. 단지 연구팀이 고안, 실증한 이들을 통한 공격 수법은 다른 클라우드 서비스에도 유효하다고 밝혔다.  
 
연구팀은 다양한 종류의 XML 시그니처 래핑 공격에 의해서 고객 계정에 대한 관리 접근을 취득하여 그 고객 계정으로 신규 인스턴스를 작성해 이미지를 추가·삭제할 수 있는 것을 실제 증명해 보였다.
 
또한 연구팀은 XSS(Cross Site Scripting) 공격을 오픈소스의 프라이빗 클라우드(Private Cloud) 기반 소프트웨어 ‘Eucalyptus’에 대해서 실행할 수 있다는 것도 실증했다.
 
연구팀은 AWS가 Cross Site Scripting 공격에 대해서 취약성을 갖고 있는 것도 발견했다. 연구팀 중 Juraj Somorovsky는 “이 문제는 Amazon 만의 문제가 아니며 일반적으로 통용하는 공격 수법이다. 퍼블릭 클라우드(Public Cloud)는 안전하게 보이지만 실은 그렇게 안전하지 않다”고 경고했다.
 
연구팀은 현재 XML 시그니처 래핑 공격에 사용되었던 취약성을 제거하기 위해 High Performance 라이브러리 작성에 전념하고 있다. 이 라이브러리는 내년 완성 예정이다.
 
AWS는 루-루 대학의 연구팀과 공동으로 연구팀이 발견한 문제를 수정하고 있다는 것을 인정했다. AWS는 10월20일에 공개한 Security Bulletin에 연구팀이 고안한 수업에 의한 공격 등을 회피하기 위한 베스트 프렉티스(Best Practice)를 해설하고 있다.
 
SSL/HTTPS에 의해 보호된 End Point만을 이용할 것、AWS Management Console(관리콘솔)의 접근에는 다요소(Multi Factor) 인증을 적용할 것、Identity and Access Management(IAM)를 이용해서 필요최저한의 권한(최소특권)을 가진 계정을 작성, 이용할 것 등의 대책이 거론되었다. [박춘식 서울여자대학교 정보보호학과 교수]