분류 전체보기
-
S3와 CloudFront를 이용한 객체 보안 (1)AWS 2020. 2. 10. 23:17
오랫동안 서비스에서 첨부파일을 별다른 보안없이 S3에 업로드하여 제공하였다. 시간이 흘러 필연적으로 구글로 부터 보안 검사를 해야 Gmail API를 계속 사용할 수 있다는 경고를 받았다. 우리 서비스에서 사용하는 API 범위가 개인정보를 민감하게 다루기 때문에 구글에서 인가된 업체를 통해 평가(Assessment)를 받아야 한다는 것이다. 이 이야기에 대해서는 나중에 다루도록 하겠다. 어쨌든 보안 평가에서 나온 지적사항 중 하나가 첨부파일이 보안되지 않은 채 Public URL접근이 가능하다는 것이다. 실제 첨부파일을 S3에 올릴 때 파일명(Object Key)을 난수로 생성하여 업로드하기 때문에 파일 경로를 유추하기 매우 어렵지만 Brutal Force Attack의 위험에는 충분히 노출돼있었다. 그..