클라우드 환경에서의 사고 대응(Incident Response, IR) 절차

사고 대응(Incident Response)이란?

사고 대응(IR)이란 해킹, 악성코드 감염과 같은 보안 사고가 발생했을 때, 피해를 최소화하고 신속하게 정상 상태로 복구하기 위해 미리 정의된 절차에 따라 체계적으로 행동하는 것을 의미

 

NIST 사이버 보안 프레임워크(NIST Cybersecurity Framework)**의 표준 사례

 

NIST 사이버 보안 프레임워크와의 연관성

NIST 프레임워크는 사이버 보안 위험을 관리하기 위한 5가지 핵심 기능(식별, 보호, 탐지, 대응, 복구)을 제시하는 국제 표준입니다. 이번 실습은 이 중 네 번째 단계인 '대응(Respond)' 기능에 집중되어 있습니다.

실습에서 진행한 각 단계는 '대응' 단계의 핵심 활동과 직접적으로 연결

 

1. 인스턴스 격리

2. 비휘발성 데이터 보존 및 기록

3. 휘발성 데이터 수집

 

인스턴스 격리

 

• 인스턴스 ID: i-0eda7c03ee3c8dfc4 를 가진 인스턴스 멀웨어에 감염되었음(가정)

• 휘발성 메모리 조사를 위해 종료 방지 기능 활성

 

• 대상 AutoScailing Group에 들어가서 해당 인스턴스 ID를 조회하여 분리 조치 시행

• ELB 대상 그룹에서 대상 등록 해제

 

• 격리용 보안 그룹 생성
• 인바운드 아웃바운드 허용 정책 아무것도 없이 생성 for 외부 통신 단절 목적

• 기존 보안 그룹 제거
• 격리용 보안그룹으로 변경

 

비휘발 데이터 보존 및 기록

• 태그 관리 설정

• 조사 항목 식별을 위해 위와 같이 태깅

 

 

 

 

• AMI 이미지를 따서 비휘발 데이터 기록

 

휘발 데이터 기록

• 시스템 관리자 실행 명령을 사용하여 휘발성 데이터를 수집하는 스크립트 명령어 작성

 

• 실행 결과, 계속 진행 중으로만 뜨고 결과 도출은 없음.

 

• 네트워크 격리 과정으로 인해 SSM이 대상 EC2와 통신 단절 상황

 

Endpoint-SG 보안그룹

• EC2의 ssm agent와 ssm service간 통신을 위해 위와 같이 보안그룹 설정
• EC2 -> Quarantine-SG -> Endpoint-SG -> SSM 이러한 방향성으로 통신하도록해서 EC2가 외부 통신 시도시 SSM 으로밖에 통신하지 못하도록 설정
  • 즉, 오로지, SSM과의 통신을 위한 보안그룹 설정
  • 굳이 저렇게 나누는 이유
    • 그룹 내 불필요한 통신 허용: 만약 이 sg-combined 그룹에 **또 다른 EC2 인스턴스(EC2-B)**를 추가하면, 감염된 EC2-A는 EC2-B와 443 포트로 자유롭게 통신할 수 있게 됩니다. 이는 악성코드가 다른 서버로 전파될 수 있는 치명적인 경로를 허용하는 것입니다. 우리의 원래 목표는 'EC2-A가 오직 엔드포인트하고만 통신'하는 것이었는데, 이 규칙은 그 목표를 위반합니다.

 

vpc 엔드포인트 설정

• SSM 통신 관련 엔드포인트들

 

• 서브넷 및 보안그룹 설정시 위와 같이 설정하도록 참고

## 1. com.amazonaws.region.ssm (핵심 API용 📞)

• 역할: Systems Manager의 가장 핵심적인 API 호출을 담당합니다. 우리가 사용했던 Run Command를 비롯해 Patch Manager, Parameter Store, State Manager 등 대부분의 SSM 기능이 이 엔드포인트를 통해 이루어집니다.
• 통신 방향: EC2 → SSM 서비스 EC2 인스턴스의 SSM 에이전트가 주기적으로 이 엔드포인트에 접속하여 "저에게 온 새로운 명령(Run Command) 없나요?" 또는 "가져올 파라미터(Parameter Store) 없나요?"라고 물어보는 방식입니다.

---

## 2. com.amazonaws.region.ec2messages (에이전트 관리용 📬)

• 역할: SSM 에이전트와 SSM 서비스 간의 기본적인 제어 통신 채널입니다. 에이전트의 상태를 보고하고, 업데이트하며, 기본적인 "살아있다"는 신호를 보내는 등 에이전트 자체를 관리하고 통제하기 위한 메시지를 주고받습니다.
• 통신 방향: EC2 → SSM 서비스 ssm 엔드포인트와 마찬가지로, EC2의 에이전트가 서비스 쪽으로 통신을 시작하여 상태를 보고하고 제어 메시지를 수신합니다.

---

## 3. com.amazonaws.region.ssmmessages (실시간 세션용 💬)

• 역할: 이름 그대로 **실시간 메시지(스트리밍 데이터)**를 주고받기 위한 전용 통로입니다. 대표적으로, 콘솔에서 바로 EC2에 접속하는 Session Manager 기능이 이 엔드포인트를 사용합니다. 키보드 입력이나 화면 출력 같은 데이터를 실시간으로 전달해야 하기 때문에 별도의 채널을 사용합니다.
• 통신 방향: EC2 ↔ SSM 서비스 (양방향) 사용자가 명령어를 입력하면 SSM 서비스 → EC2로 데이터가 흐르고, EC2가 그 결과를 출력하면 EC2 → SSM 서비스로 데이터가 흐르는 실시간 양방향 통신이 이루어집니다.

 

• SSM 관리 노드에 Online 확인됨.

 

 

• 가상 시나리오 환경에서의 포렌식 결과 출력 확인