전체 글74 AWS 보안 침해 사고 사례 분석 - npm 이번에는 보안 침해 사고 사례 분석으로 npm의 보안 사고에 대해 알아보겠습니다.개요npm 이란 무엇일까?node package manager인 npm은 자바스크립트 패키지 매니저이다. Node.js에서 사용할 수 있는 모듈들을 패키지화하여 모아둔 저장소의 역할과 패키지 설치 및 관리를 위한 CLI를 제공한다. Node.js 프로젝트에서는 많은 패키지를 사용하고 그 버전 또한 빈번하게 업데이트가 되는데 일일이 모든 것을 컨트롤 할 수가 없기 때문에 일괄 관리할 필요가 있다. 이것을 npm은 package.json을 관리한다. 자주 사용하는 npm 명령어 npm init # package.json 기본 설정 npm init -y # 로컬 설치npm install # 전역 설치npm install -g #.. 2026. 3. 21. MIDAS IT 인프라 구조 분석 + 보안 마이다스 아이티는 소프트웨어 개발 및 보급 그리고 웹 비즈니스 통합 솔루션 서비스를 제공하는 회사이다. 마이다스 아이티는 각 기업의 환경에 맞게 커스터마이제이션이 가능한 임대형 채용 솔루션인 '마이다스 인사이트'를 AWS에 론칭했다. 채용 서비스의 특성상 채용 시즌에 갑자기 트래픽이 급증한다. 따라서 각 기업에서 채용을 진행할 때 지원자가 수만명까지 몰린다. 그러나 그 시기가 끝나면 사용률이 제로에 가까워진다. 기존 온프레미스 환경에서는 특정 시즌의 트래픽을 감당하기 위해 최대 규모의 인프라를 확보해야 했지만 그 이후에는 사용하지 않아 관리 및 비용 효율성이 떨어지는 문제가 발생한다. 이러한 문제점을 해결하고자 클라우드 솔루션을 도입했다. 아래 다이어그램은 AWS 마이다스 아이티 인프라 아키텍처이다.. 2026. 3. 18. AWS 보안 침해 사고 사례 분석 - Drizly(2020) 온라인 주유 배달 플랫폼인 Drizly는 약 250만명의 고객 데이터가 유출되는 사고를 겪었다. 유출된 정보에는 이메일 주소, 배송 주소, 전화번호, IP 주소 및 일부 암호화된 비밀번호가 포함되었다. 해당 보안 침해 사고가 일어나게 된 과정에 대해 알아보자[사고 발생 과정]1. 개발용 계정 탈취 > 드리즐리 내부 직원의 Github 계정에 접근할 수 있는 권한을 해커가 얻음 2FA(2단계 인증)을 하지 않았거나 자격증명이 노출된 것으로 보인다.2. 클라우드 키 노출 > 공격자가 탈취한 GitHub 저장소 내에서 드리즐리의 AWS Infra에 접근 가능한 Access Key를 발견했다. (하드코딩되어있었던 것이다 - 매우 위험!!)3. 데이터베이스 접근 > 액.. 2026. 3. 17. AWS 보안 침해 사고 사례 분석 - Capital One 캐피탈 원의 보안 사고는 설정오류가 있는 방화벽, EC2 의 접근 권한 획득이 시작이었다.톰슨이라는 해커가 1억 6백만 명의 개인정보에 접근했다는 의혹을 받고 있으며 개인정보 중에는 사회 보장 번호와 은행 계좌 번호까지도 있다. 톰슨이 접근할 수 있었던 이유는 부적절한 방화벽 설정이었다. 서버측에서의 요청 조작(SSRF)을 통해 AWS 서버에 침입한 것이다.몇몇 사람들은 AWS 책임이라고 볼 수 있지만 AWS CISO인 스티븐 슈미트는 "SSRF 공격이 가능한 상태로 AWS가 만들어지는 것이 아닙니다. 사용자 측에서 설정을 통해 SSRF를 가능하게 만든 것이죠." "캐피탈 원을 공격한 용의자가 다른 AWS 고객사들도 공격했다는 것을 알고 있으며 회사 차원에서 해당 고객들에게 연락해 사건에 대한 설명을 .. 2026. 3. 17. AWS 3-Tier Architecture 기반 Terraform 작성하기 - (4) 4탄 시작하겠습니다[참고]https://kujung.tistory.com/entry/AWS-3-Tier-Architecture-%EA%B5%AC%EC%B6%95%ED%95%B4%EB%B3%B4%EA%B8%B0-2-4https://kujung.tistory.com/entry/AWS-3-Tier-Architecture-%EA%B5%AC%EC%B6%95%ED%95%B4%EB%B3%B4%EA%B8%B0-2-5#google_vignette 이번 블로그 글에는 Route53, ACM, web-user-data.sh, app-user-data.sh 에 대해 작성해보겠습니다. 1. ACM (Certificate Manager) 설정 # ACM 인증서 생성resource "aws_acm_certificate" "ex.. 2026. 3. 17. AWS 3-Tier Architecture 기반 Terraform 작성하기 - (3) 3탄입니다. 여기서는 이제 이전에 구현한 ALB에 붙일 target group과 AutoScaling과 관련된 코드를 작성해보겠습니다해당 글은 https://kujung.tistory.com/entry/AWS-3-Tier-Architecture-%EA%B5%AC%EC%B6%95%ED%95%B4%EB%B3%B4%EA%B8%B0-2-3 을 참조했습니다 1. Target Group과 ALB Listener # 크게 보면 target group과 Alb Listener 가 있다. # target group resource "aws_lb_target_group" "tg-web"{ name= "meenow-tg-web" port = 80 protocol = "HTTP" vpc_id = a.. 2026. 3. 17. 이전 1 2 3 4 5 6 7 8 ··· 13 다음
