여느때와 같이 점검 스케쥴이 끝나고 CVE 분석하는 와중이였다.
"지난번에 분석했던 CVE, AWS 환경에서도 한번 확인 해줄래요?"
AWS 환경에 구축된 취약한 환경에서 CVE 공격을 했을 때 어떻게 처리가 되는지를 보고싶어 하시는 것 같았다.
이전까지 내가 생각한 AWS는 그저 남의 나라 얘기정도였다.
해킹당하면 밑도 끝도 없이 탈탈 털려서 과금 폭탄을 맞거나, 서비스마다 비용이 부과돼서 돈 관리하기 어려운 그런 개념 정도 밖에 없었다.
찍먹이라도 해보자
AWS 가입하기
우선 AWS 사이트 접속 후 계정생성 버튼으로 이동
계정 생성 창으로 넘어오면 5단계가 존재하는데, 우선 루트 사용자라는 것이 있다. 이 개념은 나중에 따로 관련 서비스 나올때 넣어 두겠다.
이메일 주소와 계정이름 입력하고 넘어가자
코드가 메일로 발송되는데 입력하고 패스
이메일 확인되면 패스워드 입력
다음은 연락처 정보, 영문으로 입력해 주자
전화번호의 경우, 대한민국은 +82이므로 +82 1012345678 과 같이 입력해주자
다음은 결재 수단 등록인데, 해외결제가 되는 카드로 등록하면 되는데, 이때 100원이 결제된다
금방 다시 돌려받으니 넘어가자
자격증명 확인하고 넘어가고 마지막으로 support plan은 무료로 선택하면 가입이 완료된다
AWS는 첫 1년 간은 프리티어가 적용되는데, 이는 일부 서비스들을 AWS에서 제공하는 일정한 수준 만큼 무료로 사용 할 수 있는 정책이다. (와!)
무료 클라우드 컴퓨팅 서비스 - AWS 프리 티어
Q: AWS 프리 티어란 무엇입니까? AWS 프리 티어는 고객에게 서비스별로 지정된 한도 내에서 무료로 AWS 서비스를 살펴보고 사용해 볼 수 있는 기능을 제공합니다. 프리 티어는 12개월 프리 티어, 상
aws.amazon.com
물론 말이 무료지, 그 일정 수준을 넘어가는 순간 바로 칼같이 과금이 시작된다. (물론 메일로 노티 정도는 해준다)
따라서 안쓰는 서비스나 저장공간은 바로바로 정리하는 습관을 들이면 좋다.
로그인을 하면 다음과 같이 웹 상으로 활동할 수 있는 콘솔로 연결된다.
그냥 사용하기 전에 한가지만 더 설정하고 넘어가자
상단의 검색창을 통해 IAM을 검색하고 IAM 서비스로 넘어가자
IAM 서비스는 AWS 계정의 모든 리소스에 대한 접근권한, 사용자 등을 설정할 수 있는 서비스다.
가입하자마자 IAM 대시보드로 넘어오면 루트사용자에게 MFA가 없음이라는 문구를 볼 수 있을 것이다. (현재 본인은 따로 먼저 설정을 해주어서 위와 같이 뜸)
여기서 루트사용자, MFA라는 단어가 처음 나온다.
AWS의 계정에는 루트계정과 IAM 계정이 존재하는데, AWS에 처음 가입할 때 생성하는 계정이 바로 루트계정이다.
이 루트계정은 기본적으로 AWS 서비스의 모든 권한을 갖는다.
IAM 계정은 루트계정의 하위 레벨의 계정이라고 생각하면 편하며, 루트계정으로부터 정해진 권한만을 부여받아 해당 작업만 할 수 있다. (물론 관리자 권한을 줘버리면 루트계정과 동일한 레벨의 IAM계정이 된다.)
MFA는 Multi-Factor Authentication, 다중 요소 인증으로 로그인 할 때 패스워드 이외로 다른 인증 요소를 두는 것을 말한다.
일부 웹 페이지/서비스는 로그인 할 때 OTP를 입력받는 경우가 있는데, 이 경우가 바로 MFA를 이용한 것이다.
루트계정의 경우, 기본적으로 모든 작업의 권한을 가지고 있어서, 계정이 탈취되면 매우 위험해진다.
이러한 이유때문이라도 최소한 루트계정에는 MFA를 적용해야 한다.
AWS에서는 기본 보안 정책으로 루트 사용자에 대해 MFA 설정을 필수, 루트 사용자는 사용하지 않도록 권장하고 있다.
이제 MFA를 적용해 보안레벨을 높여보자
우측의 내 보안자격 증명 혹은 MFA 추가 버튼을 눌러 넘어가자
보안자격 증명 페이지로 넘어와서 MFA 메뉴 하단의 MFA 활성화 버튼을 누르면 위와 같이 선택창이 뜬다.
우리는 앱을 통해 MFA 설정을 진행할 건데, 가상 MFA 디바이스 선택 후 넘어가자
위와 같이 뜨는데, 먼저 앱을 설치해야한다.
지원하는 MFA 앱은 위와 같이 많은데 여기서는 Authy라는 앱을 사용할 것이다.
Authy 설치 후 QR코드를 스캔하라고 하는데, 여기서 아까 AWS 콘솔에서 QR코드 표시를 눌러 그걸 스캔해서 등록해준다.
등록하면 30초마다 바뀌는 6자리 숫자가 나오는데, 이 숫자를 MFA 코드 1,2에 각각 연속해서 입력해주면 MFA할당 끝!
MFA를 할당하고 나면 다음 로그인 부터 패스워드 이외의 MFA코드를 입력하는 창이 뜬다.
앱에 접속해서 나오는 코드를 입력해서 로그인 할 수 있다.
일단 여기까지 설정하면 AWS를 쓸 준비는 다 되었다.
이제부터 재대로 찍먹해보자.
