분류 전체보기74 침해사고 사례 분석 -Mandiant Insider Threat 개요1. 사고 배경해당 침해사례는 Mandiant가 실제 클라우드 침해 사례들을 기반으로 도출한 해고 직원에 의한 내부자 위협 공격 패턴이다퇴직하는 직원의 모든 액세스 자격 증명(무단 또는 숨겨진 계정 포함)은 고용 종료 즉시 식별하고 철회되어야 한다. 이 원칙이 지켜지지 않을 경우 전직 직원이 여전히 유효한 자격 증명이나 사전에 만들어 둔 비밀 계정을 이용해 퇴직 후 시스템에 재접근하는 시나리오가 발생한다. 이 사고의 핵심 배경은 다음과 같다.위협 주체 유형: 해고된 전직 직원인 악의적 내부자 동기: 조직에 대한 보복 및 파괴 의도취약점: 퇴직 후 CI/CD 서버 접근 자격 증명 미회수, 계정 미비활성화2. 사고 요약발생 시점2020년 9월공격자해고된 전직 직원초기 접근 방식퇴직 전 보유한 CI/C.. 2026. 5. 22. 침해사고사례분석 - Sisense 개요 1. 사고배경 Sisense는 뉴욕, 텔아비브, 런던에 사무소를 둔 비즈니스 인텔리전스 및 데이터 분석 플랫폼이다. Sisense의 제품은 고객사가 Salesforce, Snowflake 등 여러 서드파티 온라인 서비스의 상태를 단일 대시보드에서 조회할 수 있도록 설계돼 있다. 이 구조 자체가 이번 사고의 위험성을 키웠다. Sisense가 수백 개 고객사의 자격증명을 한 곳에서 관리하는 구조였기 때문에 Sisense 침해 하나가 고객사 전체에 대한 공급망 공격으로 이어졌다.근본 원인은 개발자가 AWS S3 버킷 자격증명을 GitLab 저장소에 하드코딩한 것이었다. 이는 시크릿 스캐닝 도구가 있었다면 사전에 차단할 수 있었던 실수였다.2. 사고 요약 발생 일자 2024년 4월 10일초기 접근 벡터Gi.. 2026. 5. 21. 침해 사고 분석 - Codefinger Cloud-Native 랜섬웨어 개요1. 사고 배경2024 년 말부터 Codefinger 그룹이 AWS S3 버킷을 대상으로 한 랜섬웨어 캠페인을 시작했으며 2025년에 Halcyon이 공식 공개됐다. 이 공격의 핵심은 데이터를 보호하기 위해 설계된 AWS 의 네이티브 기능인 SS3-C (Server-Side Encryption with Customer-Provided Keys)를 랜섬웨어 무기로 역이용했다는 것이다. 기존 랜섬웨어가 엔드포인트 파일을 로컬 암호화하는 방식과 달리 Codefinger는 AWS 인프라 자체를 무기화했다. Halcyon 연구팀이 확인한 초기 피해자 모두 AWS 네이티브 소프트웨어 개발사였으며 이는 SSE-C를 실제 랜섬웨어에 적용한 첫번째 사례로 기록했다.2. 사고 요약 공개 일자2025년 1월 13일공격 .. 2026. 5. 20. AWS 인프라 분석 - Multi Account 관리 개요1. 인프라 구성 요약 AWS Organizations의 Unit(OU)단위로 VPC를 분리하고 운영되는 구조에 대해 알아보려고 한다. 각 OU는 비즈니스 유닛 혹은 환경에 따라 전용 VPC를 가지고 있으며 해당 OU 내 모든 계정이 공유 VPC 서브넷을 통해 네트워크에 접근한다. 핵심 구성 요소는 다음과 같다. AWS Organizations : OU 계층 구조를 통한 계정 그룹핑 및 정책 관리공유 VPC - Shared VPC : OU 단위로 생성된 중앙 관리형 VPC AWS RAM (Resource Access Manager) : OU ID 기반 VPC 서브넷 자동 공유 AWS Transit Gateway : OU 간 VPC 연결 및 온프레미스 연동SCP : Service Control Poli.. 2026. 5. 10. 중규모 아키텍처 세부 정책 설정 해당 아키텍처의 모든 리소스 별로 Security Group 정책을 작성해보자 Application Load Balancer Inbound443, 80(0.0.0.0/0)OutBound8080 (ECS SG ID) EC2/ECS의 Security Group Inbound8080(ALB SG ID)OutBound 3306(RDS SG ID)OutBound6379(ElasticCache SG ID) OutBound443(0.0.0.0/0) - ECR Pull OutBound443(S3 Endpoint) RDS 의 Security GroupInbound3306(ECS SG ID)OutBoundX ElasticCache Security GroupInbound6379(ECS SG ID)OutBoundX VPC.. 2026. 5. 3. 중규모 아키텍처 설계 (1) 고려사항 정리 위의 아키텍처는 소규모 기업이 발전해 중규모가 되었을 때를 가정하고 그린 것이다. MAU 100만으로 가정하고 인프런, 화해, CLASS101 과 같은 기업(중규모)의 인프라를 구축해보았다. 해당 소규모 아키텍처와 비교했을 때 중규모 아키텍처에 추가한 부분에 대해 중점적으로 말해보겠다. [3-tier 구조 변경]일단 가장 눈에 띄게 바뀐 것은 2-tier 에서 3-tier로 변경한 것이다. 규모가 커질수록 compliance 측면도 고려하지 않을 수가 없기에 보안을 고려하여 이렇게 구현했다. private subnet에 서버를 두어야 좀 더 안전하게 운영할 수 있는 것이 그 이유였다. Multi-AZ로 운영하여 A 가용영역에 문제가 발생해도 B가용영역에 있는 리소스들을 통해 서비스가 운영되도록 하였다... 2026. 4. 30. 이전 1 2 3 4 ··· 13 다음
