AWS Red Teaming을 통해 5단계 공격 수명주기로 클라우드 환경 취약점을 체계적으로 탐지하고 방어함

Context

AWS 환경에서 합법적 침투 테스트를 수행하기 위한 정책과 범위를 정의함. AWS는 고객 소유 인프라에 대한 침투 테스트를 사전 승인 없이 허용하지만 Route 53 DNS zone walking, DoS/DDoS 시뮬레이션, 다른 고객 데이터 접근 등은 금지함.

Technical Solution

• Attack Lifecycle: Initial Access → Persistence → Privilege Escalation → Lateral Movement → Data Exfiltration의 5단계 구조화된 공격 수명주기를 따름
• IAM Enumeration: Pacu의 iam__enum_permissions, iam__simulate_permissions_module로 권한 에스컬레이션 경로 탐지함
• CloudTrail Manipulation: aws:CreateTrail, aws:StopLogging으로 로그 조작 및 탐지 회피를 시뮬레이션함
• EC2 Privilege Escalation: Pacu ec2__enum 모듈로 인스턴스 열거 후 attach__existing__iam__role로 역할 에스컬레이션 수행함
• S3 Exploitation: S3Scanner, aws s3 ls, get-bucket-acl로 공개 버킷 탐지 및 데이터 접근 시뮬레이션함
• Container Escape: EKS kubelet 접근, ECR 이미지 포이즈닝 시나리오로 컨테이너 환경 침투 탐지함

Impact

MITRE ATT&CK for Cloud Matrix 기반으로 35개 이상의 공격 기술 매핑함. T1078.004(Valid Accounts: Cloud Instances), T1070.004(File/Directory Access Removal), T1526(Cloud Infrastructure Discovery) 등 주요 전술 커버함.

Key Takeaway

클라우드 보안 평가는 인프라 열거부터 권한 악용, 데이터 탈취까지 연결된 공격 체인을 시뮬레이션해야 효과적임. Defense in Depth 원칙으로 IAMLeast Privilege 적용, CloudTrail 감사 활성화, GuardDuty 연동을 종합적으로 구현해야 함.