요약 : 보안 외신 해커뉴스에 의하면 아마존 웹 서비스(AWS)의 보안토큰서비스(STS)를 통해 클라우드 계정들에 침투하여 추가 공격을 실시하는 게 가능하다는 사실이 입증됐다고 한다. 보안 업체 레드카나리아(Red Canary)가 실험한 바에 의하면 클라우드 환경 내에서 사용자의 신원과 역할을 공격자가 가져가는 게 가능하며, 이를 통해 피해자 사칭도 할 수 있다고 한다. 피해자의 보안 토큰이 어떤 권한을 가지도록 설정되었느냐에 따라 더한 공격도 할 수 있다고 레드카나리아 측은 설명한다. 보안 토큰을 설정할 때 이런 식의 공격이 가능함을 염두에 두어야 한다는 의미가 된다.


배경 : AWS STS는 일종의 웹 기반 서비스로, AWS에 임시로 혹은 잠깐 동안 접속해야 할 때 AWS 계정을 만들지 않고도 이를 가능하게 해 준다. 접속 가능한 토큰을 발급해주는 건데, 이 토큰의 유효 기간은 15분에서 36시간까지 설정이 가능하다. 설정 시간이 길면 길수록 보안 토큰을 악용할 가능성이 높아지므로 최대한 짧게 설정하는 것이 안전하다고 레드카나리아는 강조한다. 비밀번호를 자꾸만 바꿔주어야 안전한 것과 비슷한 개념이라고 할 수 있다.

말말말 : “STS는 AWS의 사용을 편리하게 해 주는 서비스입니다. 하지만 모든 ‘편리’에는 ‘위험’도 뒤따르죠. 어떤 도구나 서비스를 이용하든 편리한 것에 대가가 있다는 것을 기억하는 것이 보안의 첫 걸음입니다.” -레드카나리아-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>