1. 관련 법령
- 개인정보의 기술적·관리적 보호조치 기준 제4조 제4항
- 개인정보의 안전성 확보조치 기준 제6조 제 2항
- ※ 개인정보처리시스템의 범위는 WEB, WAS, DB이나, 관리 콘솔은 개인정보처리시스템에 접속을 가능케 하는 관문으로서 기능하기에 해당 조문을 맵핑
2. 개요
- 클라우드 서비스의 특성상 인터넷이 가능한 모든 환경에서 관리 콘솔에 접속해 리소스 핸들링이 가능
- 관리 콘솔 접근통제를 위해 로그인 시 2차 인증(MFA) 적용 필요
- [참고] 해당 설정을 적용하지 않아 사고가 발생한 사례
3. 취약점 판단 기준
- root 및 IAM 계정으로 관리 콘솔 로그인 시 MFA를 적용하지 않은 경우 취약
- root 및 IAM 계정으로 관리 콘솔 로그인 시 MFA를 적용한 경우 취약하지 않음
4. 취약점 확인 방법 - (1) 개별 계정에서 확인
-
root 또는 IAM 계정으로 관리 콘솔 로그인 후 오른쪽 상단의 계정명 클릭
-
[보안 자격 증명] 클릭
-
[멀티 팩터 인증(MFA)] 항목에서 MFA 할당 여부 확인
4. 취약점 확인 방법 - (2) IAM 서비스에서 확인
- root 또는 IAM 서비스 권한을 보유한 IAM 계정으로 로그인
- 서비스에서 [IAM] 검색→ 왼쪽 메뉴에서 [사용자] 클릭
4. 취약점 확인 방법 - (3) AWS CLI에서 확인
-
IAM 권한을 보유한 계정의 Access key를 활용해 AWS CLI에서 Command 실행
aws iam generate-credential-report aws iam get-credential-report --query 'Content' --output text | base64 -d | cut -d, -f1,4,8 -
mfa_active 컬럼의 true 값 설정 여부 확인
5. 취약점 조치 방법 - (1) 개별 계정에서 조치
- root 또는 IAM 계정으로 관리 콘솔 로그인 후 오른쪽 상단의 계정명 클릭
- [보안 자격 증명] 클릭
- [멀티 팩터 인증(MFA)] 항목에서 [MFA 디바이스 할당] 클릭
5. 취약점 조치 방법 - (2) IAM 서비스에서 조치
- root 또는 IAM 서비스 권한을 보유한 IAM 계정으로 로그인
- 서비스에서 [IAM] 검색→ 왼쪽 메뉴에서 [사용자] 클릭
- MFA를 할당하고자 하는 계정명 클릭
- [보안 자격 증명] 탭에서 [할당된 MFA 디바이스] 항목의 관리 클릭
6. 참고
Security Compliance Engineer