취약성 보고
의심되는 취약성 보고
- Amazon Web Services(AWS): AWS 클라우드 서비스 또는 오픈 소스 프로젝트의 취약성 또는 보안 우려 사항을 보고하려면 HackerOne의 취약성 공개 프로그램을 참조하세요. H1 범위/플랫폼 외부에서 제출하거나 질문을 해결하려면 aws-security@amazon.com(PGP 키)으로 연락하시기 바랍니다..
- Amazon: Amazon Retail 서비스 또는 제품의 취약성 또는 보안 우려 사항은 Retail Security로 보고해 주시기 바랍니다.
- 침투 테스트: AWS 고객은 목록에 나열된 서비스에 한해 사전 승인 없이 AWS 인프라에 대한 보안 평가 또는 침투 테스트를 수행할 수 있습니다. 추가 지침은 침투 테스트 정책을 참조하세요.
- AWS 남용: AWS 리소스(예: EC2 인스턴스 또는 S3 버킷)가 의심스러운 활동에 사용되고 있다고 생각하는 경우 AWS 남용 양식을 제출하거나 trustandsafety@support.aws.com으로 연락하시기 바랍니다.
AWS에서 보다 효율적으로 대응할 수 있도록 취약성의 특성 및 심각도를 파악하는 데 도움이 될 만한 자료(개념 증명 코드, 도구 출력 등)를 모두 제공해 주시기 바랍니다.
Amazon CNA 범위
Amazon CNA는 고객이 다음 클래스 내에서 유효한 보안 취약성을 해결할 수 있도록 지원하는 CVE를 발행합니다.
- AWS가 제공하고 고객이 공개적으로 사용할 수 있는 AWS 서비스.(예: Amazon EC2, Amazon RDS).
- Amazon이 제공하고 고객이 공개적으로 사용할 수 있는 Amazon 서비스(예: Amazon.com Seller API Service).
- Amazon 또는 AWS가 관리하는 GitHub 조직 내의 오픈 소스 소프트웨어.
- Amazon 또는 AWS가 소유 및 운영하는 웹 사이트 또는 다운로드 위치에서 다운로드할 수 있는 Amazon 또는 AWS가 게시한 클라이언트 소프트웨어(예: Amazon Appstore SDK, Amazon Input SDK, Amazon Kindle App, Amazon MShop App, Amazon WorkSpaces 클라이언트).
- Amazon 또는 AWS가 제조하고 고객이 구매 및 사용할 수 있는 디바이스(예: Amazon Fire TV, Amazon Echo devices, Amazon Kindle, AWS Outpost).
또한 아래 요구 사항을 모두 충족해야 합니다.
- 고객에게 미치는 영향: 문제가 고객이 공개적으로 이용할 수 있는 Amazon 또는 AWS 소유 클래스 내에 존재해야 합니다.
- 고객 기관: 지원 대상 또는 EOL/EOS 제품 문제의 해결에는 해결 처리(또는 고객이 가능한 영향을 평가해야 함) 또는 유효한 보안 취약성이 공개될 경우(또는 공개될 가능성이 있는 경우)에 대한 위험 기반 결정을 비롯한 고객 조치가 필요합니다.
- CVSS 점수: 4.0(중간) 이상.
취약성이 아닌 것으로 간주되는 서비스, 소프트웨어 또는 하드웨어 문제에는 다음이 포함됩니다(이에 국한되지는 않음).
- 기본이 아닌 구성 또는 올바르게 인증된 유효한 자격 증명을 사용하여 변경한 사항
- Amazon 또는 AWS 고객(또는 AWS 인프라에서 호스팅되는 비 AWS 사이트)의 자산을 노리는 행위
- Amazon 또는 AWS 고객 또는 직원 계정을 침해하여 알아낸 취약성
- Amazon 또는 AWS 제품(또는 Amazon 또는 AWS 고객)에 대한 서비스 거부(DoS) 공격
- Amazon 또는 AWS 직원, 사무실, 데이터 센터에 대한 물리적 공격
- Amazon 또는 AWS 직원, 계약업체, 공급업체 또는 서비스 제공업체의 소셜 엔지니어링
- 고의로 맬웨어 게시, 전송, 업로드, 링크 또는 발송
- 요청하지 않은 대량 메시지(스팸)를 전송하는 취약성 악용
AWS 취약성 보고
AWS는 곧바로 답변하고 진행 상황을 알려드리기 위해 노력합니다. 최초 보고 접수를 확인하는 자동화되지 않은 응답을 24시간 이내에 보내 드리며, 시기적절한 업데이트와 월별 체크인을 이 과정이 끝날 때까지 보내 드립니다. 언제든지 업데이트를 요청할 수 있으며, 우려 사항이나 공개 조정을 명확히 하는 대화는 언제나 환영합니다.
위에서 취약성이 아닌 것으로 간주되는 활동 역시 AWS 취약성 공개 프로그램의 범위를 벗어납니다. 위에 언급된 활동을 하나라도 수행하면 프로그램에 참여할 자격이 영구적으로 박탈됩니다.
공개 알림
해당하는 경우 AWS는 취약성을 보고한 사용자와 함께 협력하여 확인된 취약성을 공개하게 됩니다. AWS는 가능한 경우 각각의 공개 사항을 동시에 게시하려고 합니다.
고객 보호를 위해, AWS에서 보고된 취약성을 해결하고 필요한 경우 고객에게 알릴 때까지 잠재적 취약성에 대한 정보와 AWS 고객이 소유하고 있는 모든 데이터를 공개적으로 게시하거나 공유하지 말 것을 정중히 요청하는 바입니다. 취약성을 완화하는 데 필요한 시간은 취약성의 심각도 및 영향을 받는 시스템에 따라 달라진다는 점에 유의하시기 바랍니다.
AWS는 AWS 보안 웹 사이트에 게시되는 보안 공고 형태로 공개 알림을 게시합니다. 개인, 회사, 보안 팀은 일반적으로 공지 사항을 각자의 웹 사이트나 기타 포럼에 게시합니다. AWS는 관련이 있는 경우, AWS 보안 공고에 이러한 타사 리소스에 대한 링크도 포함하여 게시합니다.
세이프 하버
AWS는 선의로 수행한 보안 조사에는 세이프 하버가 제공되어야 한다고 생각합니다. 보안 조사 및 취약성 보고를 위한 세이프 하버의 목적상 AWS는 Gold Standard 세이프 하버를 채택합니다. AWS는 AWS 고객 보호를 위한 열정을 공유하는 보안 연구원들과 함께 일할 수 있기를 기대합니다.
Gold Standard 세이프 하버는 선의의 보안 조사에 참여하는 조직과 해커를 보호합니다. '선의의 보안 조사'는 보안 결함이나 취약성을 선의로 테스트, 조사 및/또는 수정하기 위한 목적으로만 컴퓨터에 액세스합니다. 이러한 활동은 개인이나 대중에게 해를 끼치지 않는 방식으로 수행되고, 이 활동에서 파생된 정보는 기본적으로 액세스하는 컴퓨터가 속한 디바이스, 기계 또는 온라인 서비스 클래스 또는 해당 디바이스, 기계 또는 온라인 서비스를 사용하는 사람의 보안이나 안전을 증진하는 데 사용됩니다.
AWS는 선의의 보안 조사를 적대적 법적 조치로부터 보호하는 승인된 활동으로 간주합니다. AWS는 여기에 설명된 선의의 보안 조사 표준과 충돌하는 서비스 약관(이하 'TOS') 및/또는 이용 제한 정책('AUP')에 포함된 관련 제약 조건을 포기합니다.
즉, 이 프로그램이 진행되는 동안 수행한 활동에 대해 다음 사항이 적용됩니다.
- 범위 내 애플리케이션을 보호하기 위해 사용하는 기술적 조치를 우회하는 것을 포함하여 선의의 보안 조사를 위해서는 귀하를 신고하거나 귀하에 대한 법적 조치를 취하지 않습니다.
- 다른 사람이 귀하를 상대로 법적 조치를 취하는 경우 귀하가 선의의 보안 조사를 수행했음을 알리기 위한 조치를 취합니다.
선의의 보안 조사에 부합하지 않거나 AWS 정책에서 다루지 않을 수 있다고 생각되는 활동에 참여하기 전에 당사에 문의하여 설명을 구해야 합니다.
AWS는 타사 인프라에 대한 보안 조사를 승인할 수 없으며, 타사는 본 세이프 하버 정책의 구속을 받지 않는다는 점을 명심해야 합니다.
공개 정책
보고서가 제출되면 AWS는 보고된 취약성을 확인하는 작업에 착수합니다. 문제를 확인하고 재현하는 데 추가 정보가 필요한 경우 AWS에서는 취약성을 보고한 사용자에게 요청하여 해당 정보를 획득합니다. 초기 조사가 완료되면 해당 사용자에게 해결 방법 및 공개 논의에 대한 계획과 함께 결과를 알립니다.
해당 프로세스와 관련하여 알아두어야 할 몇 가지 사항이 있습니다.
- 타사 제품: 타사 제품에 영향을 미치는 취약성을 발견한 경우 AWS는 해당 기술의 소유자에게 이를 알립니다. 그리고 해당 취약성을 보고한 사용자와 해당 타사 사이의 의견을 지속적으로 조율합니다. 사용자의 신원은 사용자의 허가 없이는 타사에 공개되지 않습니다.
- 취약성이 아닌 것으로 확인되는 경우: 문제를 확인할 수 없는 경우나 범위에서 발견하지 못한 경우, 이를 공유합니다.
- 취약성 분류: AWS는 Common Vulnerability Scoring System(CVSS) 버전 3.1을 사용하여 잠재적 취약성을 평가합니다. 결과 점수는 문제의 심각도를 수치화하여 AWS의 대응 우선순위를 정하는 데 도움이 됩니다. CVSS에 대한 자세한 내용은 NVD 사이트를 참조하세요.
AWS의 취약성 공개 프로그램에 선의로 참여하려면 다음 사항을 숙지하시기 바랍니다.
- 이 정책 및 기타 관련 계약을 준수하는 등 규칙에 따르세요. 이 정책과 기타 관련 약관 간에 불일치가 있는 경우, 이 정책의 약관이 우선합니다.
- 발견한 취약성을 즉시 보고하세요.
- 타인의 프라이버시를 침해하거나, 시스템을 교란하거나, 데이터를 파괴하거나, 사용자 경험을 손상시키지 마세요.
- 취약성 정보를 AWS와 논의할 때는 앞서 언급한 채널만 사용하세요.
- 문제를 공개하기 전에 최초 신고 시점부터 문제 해결에 필요한 합리적인 시간을 제공해 주세요.
- 범위 내 시스템에서만 테스트를 수행하고 범위 외 시스템 및 활동을 존중하세요.
- 취약성으로 인해 의도하지 않은 데이터 액세스가 가능한 경우: 액세스하는 데이터의 양을 개념 증명의 효과적 입증에 필요한 최소한으로 제한하고, 테스트 중에 개인 식별 정보(PII), 개인 의료 정보(PHI), 신용 카드 데이터 또는 독점 정보 같은 사용자 데이터를 발견하면 테스트를 중단하고 즉시 보고서를 제출하세요.
- 상호 작용에는 본인이 소유하거나 계정 소유자의 명시적 허가를 받은 테스트 계정만 사용하세요.
- 갈취에 관여하지 마세요.