AWS CodeBuild 미공개 엔드포인트 통한 권한 토큰 유출 위험과 대응 전략

Context

AWS CodeBuild의 미공개 엔드포인트가 AWS CodeConnections의 권한 토큰을 노출하는 취약점 발생. Bootstrapping 단계에서 발생하는 API 요청을 통해 GitHub App 및 BitBucket JWT 토큰 추출 가능. 추출된 토큰의 과도한 권한으로 인해 조직 내 코드베이스 전반으로 공격 범위가 확대되는 구조.

Technical Solution

• CodeBuild 작업 시 특정 IAM Role 및 네트워크 범위로 제한하는 Zero-Trust 액세스 제어 적용
• 마이크로 세그멘테이션 기반의 네트워크 분리를 통해 공격자의 횡적 이동(Lateral Movement) 차단
• 토큰 유효 기간을 1시간 이내로 설정하는 단기 토큰 운영 및 자동 갱신 체계 구축
• UEBA(User and Entity Behavior Analytics) 도입을 통한 비정상적 토큰 요청 패턴 탐지
• CodeConnections 토큰 스코프에 대한 전수 조사를 통한 최소 권한 원칙 적용
• AWS 측에 미공개 엔드포인트의 문서화 및 인증 감사 요구를 통한 공격 표면 가시성 확보

Key Takeaway

CI/CD 파이프라인의 부트스트래핑 과정과 같은 신뢰 영역 내부의 API 통신도 잠재적 공격 경로로 간주하는 위협 모델링 필요. 모든 API 상호작용을 적대적으로 처리하고 최소 권한 및 네트워크 격리를 강제하는 제로 트러스트 설계 원칙의 중요성.