전체 글74 침해사고 분석 - Community AMI 개요 보안 연구원들이 금융기관 고객사의 AWS 환경을 점검하던 중 EC2 서버 중 하나에서 모네로 암호화폐 채굴기가 활성화되어 있는 것을 발견했다. 해당 서버는 Community AMI 기반으로 구동 중이었으며 처음에는 단순히 머신이 느리고 컴퓨팅 자원이 과도하게 사용되는 의심에서 부터 시작했다. AWS 가 공식적으로 검증하는 Marketplace AMI 가 아닌 Community AMI를 사용하여 취약점이 발생했다. Windows Server 2008 Community AMI 를 사용했으며 AMI에 NsCpuCNMiner64 라는 모네로 채굴 트로이 목마 악성코드를 이용하여 피해자 컴퓨팅 자원으로 모네로 채굴을 하여 수익을 탈취했다. 보안회사 Mitiga 가 보안감사 중 발견한 것으로 해당 AMI를 실.. 2026. 4. 30. AWS 인프라 분석 - security response automation 개요AWS 에서는 워크로드 배포와 서비스 구성뿐만이 아니라 보안 이벤트를 신속하게 감지하고 대응하기 위한 자동화를 권장한다. 자동화는 감지 및 대응 속도를 높이고 AWS 워크로드가 늘어남에 따라 보안 운영을 확장하는 데 도움이 된다. 여기서 말하는 보안 대응 자동화라는 것은 무엇일까? 보안 대응 자동화란?특정 조건이나 이벤트를 기반으로 애플리케이션이나 리소스를 원하는 상태로 되돌리기 위해 미리 계획된 프로그램 방식의 조치를 말한다. 이러한 자동화를 구현할 때는 기존의 보안 프레임워크를 참고해야 한다. ex ) NIST 사이버 보안 프레임워크IdentifyAWS 환경의 리소스, 애플리케이션, 데이터를 파악함Protect적절한 통제 및 보안 장치를 구현함Detect사이버 보안 이벤트 발생을 식별하는 활동 구.. 2026. 4. 25. 침해사고 분석 - LiveAuctioneers(2020) 1. 개요1.1 사고 배경LiveAuctioneers는 미국 뉴욕에 본사를 둔 온라인 경매 마켓플레이스로 예술품 골동품 보석 수집품 등을 실시간 인터넷 경매로 거래하는 플랫폼이다. 서비스 운영을 위해 다수의 외부 IT 공급업체(third party software solution)을 활용하고 있고 클라우드 인프라로는 AWS를 사용하고 있다. 당시 보안 체계로는 네트워크 세분화, AWS 보안 그룹 방화벽, 웹 애플리케이션 방화벽(WAF), MD5 기반 비밀번호 해싱이 적용되어 있었다. 그러나 외부 IT 공급업체에 대한 접근 권한 관리 및 소스 컨트롤 환경의 자격증명 보호는 미흡한 상태였다. 1.2 사고 요약사고 발생일 2020.6.19사고 인지일2020.7.11피해 규모워싱턴주 주민 38523명 .. 2026. 4. 18. AWS 인프라 분석 - AMI Lineage 1. 개요인프라 구성 요약 AMI (Amazon Machine Image)는 EC2 인스턴스를 시작하는 데 필요한 모든 정보를 담은 템플릿이다. 구성요소는 아래와 같다.- 루트 볼륨 스냅샷 - OS (Amazon Linux, Linux, Windows 등 ) , 런타임, 보안 에이전트를 포함함- 블록 디바이스 매핑 - 인스턴스 실행 시 붙는 볼륨 구성을 정의함 (ex. EBS) - 런치 퍼미션 - AMI 사용 가능 계정 범위 설정 (퍼블릭/프라이빗/특정 계정) 조직에서는 AWS 기본 AMI에 보안 에이전트, 모니터링 도구, 사내 표준 설정 등을 추가해 골든 이미지 형태로 관리하기에 해당 골든 이미지를 기반으로 파생 AMI가 계속 생성되므로 전체 AMI Lineage 추적이 필요하다.분석 범위 및 목적.. 2026. 4. 12. 소규모 & 바이브코딩 아키텍처 설계 고민거리 위에 있는 다이어그램이 소규모 아키텍처 최종 합본이 될 거 같다. 그러나 문제가 생겼다. Terraform으로 구현할 때 Application LoadBalancer는 두 개의 AZ 가 있어야 하고 각각의 AZ에 subnet 하나씩 즉 최소 두 개의 subnet에 연결되어야 한다는 것이다. 그렇게 구현하게 되면 우리 팀에서 생각했던 바와 다르게 Multi AZ 환경이 돼버린다.이런 고민은 바이브코딩 하는 1인을 위한 인프라 아키텍처를 설계할 때도 계속되었다. (아래 이미지가 바이브코딩을 위한 인프라 아키텍처이다.) 아래도 Single AZ로 구성했는데 소규모 스타트업의 경우 Multi-AZ 구성(서버 2대 + DB 최소 2대)으로 고가용성을 확보하는 것보다 Single AZ로 운영하다가 장애 발생 시 서.. 2026. 4. 12. 침해 사고 사례 분석 - TeamTNT (암호화폐 채굴) 개요사고 배경 TeamTNT는 독일어권으로 추정되는 금전적 동기 공격 그룹으로 Docker, Kubernetes, AWS를 집중 타깃으로 삼는다. 2019년부터 활동을 시작했으며 2020년 AWS 자격증명 탈취 기능 추가 이후 대규모 캠페인으로 발전했다. 기존 Cryptojacking 그룹과는 다르게 클라우드 환경과 컨테이너 오케스트레이션 플랫폼을 전문적으로 공략한다.AWS 자격증명을 탈취하는 최초의 Cryptojacking 웜으로 기록된다. 사고 요약 TeamTNT에서는 잘못 구성된 Docker API를 찾고 서버에 내에서 AWS 자격증명을 얻는다. 이후 Monero 암호화폐를 채굴한다. 자가 전파 웜 형태로 인터넷을 전체 스캔하여 컨테이너를 생성한다. 자격증명을 탈취한 후 채굴기를 설치한다. 그 결.. 2026. 4. 8. 이전 1 2 3 4 5 ··· 13 다음
