피드로 돌아가기
[Open Source] Built a tool to discover and risk-score all IAM roles + OIDC trust relationships across AWS accounts
Dev.toDev.to
Security

AWS IAM Role 및 OIDC 신뢰 관계의 Graph 기반 리스크 분석 도구 MII 구현

[Open Source] Built a tool to discover and risk-score all IAM roles + OIDC trust relationships across AWS accounts

Joseph TUI2026년 6월 29일1intermediate

Context

다중 AWS Account 환경 내 수백 개의 IAM Role Trust Policy에 대한 가시성 부족 및 감사 부재 문제 발생. 특히 OIDC 및 Cross-account 신뢰 설정 시 발생하는 보안 취약점의 수동 탐지 한계 노출.

Technical Solution

  • IAMReadOnlyAccess 권한을 통한 다중 Account 내 모든 IAM Role 및 Trust Policy의 Read-only 스캔 구조 설계
  • Trust Policy 파싱을 통한 OIDC Federation, Cross-account Trust, Wildcard Principal 식별 로직 구현
  • "Who can assume whom" 관계를 정의하는 Graph 데이터 구조를 통한 신뢰 체인 가시화
  • Admin Access 권한과 OIDC 설정의 결합 등 다중 리스크 팩터를 가중치로 계산하는 Risk Scoring 알고리즘 적용
  • Trust Chain 상의 공격 경로를 추적하는 Attack Path Simulation 기능 구현
  • AWS Organizations 연동을 통한 소속 Account의 자동 탐색 및 확장성 확보

1. OIDC Role 설정 시 AdministratorAccess 권한 부여 여부를 최우선으로 검토

2. Cross-account Trust 설정 시 Confused Deputy 문제 방지를 위한 ExternalId 필수 적용 확인

3. Trust Policy 내 Wildcard Principal 사용 여부를 정기적으로 감사하여 외부 노출 차단

4. 사용되지 않는 Dormant Role의 Trust Policy 활성화 상태를 점검하여 백도어 경로 제거

원문 읽기