Dangling CNAME 관리를 통한 S3 Bucket Takeover 취약점 원천 차단

Context

S3 Bucket 삭제 후 DNS CNAME 레코드를 방치함에 따라 발생하는 Dangling DNS 취약점 분석. CSPM 도구가 계정 내 리소스만 스캔하는 한계로 인해, 존재하지 않는 Bucket을 가리키는 DNS 레코드와 실제 AWS 리소스 간의 불일치를 탐지하지 못한 구조적 결함 존재.

Technical Solution

• Bucket 자체가 아닌 'DNS-to-S3 Reference'를 First-class Asset으로 정의하여 관계 중심의 모델링 수행
• s3_bucket_reference 타입에 bucket_exists 및 bucket_owned 속성을 부여하여 자산 상태 추적
• CTL.S3.BUCKET.TAKEOVER.001 컨트롤을 통해 Bucket의 부재와 소유권 상실 상태를 동시에 검증하는 Predicate 로직 구현
• DNS Zone 파일과 AWS 리소스 인벤토리 스냅샷을 교차 참조하여 인프라 간 불일치 지점 식별
• Golden File 기반의 E2E 테스트를 통해 취약 설정 상태를 바이트 단위로 정밀하게 검증하는 파이프라인 구축