지원 종료 알림: 2026년 5월 20일에 Amazon Inspector Classic에 대한 지원이 AWS 종료됩니다. 2026년 5월 20일 이후에는 Amazon Inspector Classic 콘솔 또는 Amazon Inspector Classic 리소스에 더 이상 액세스할 수 없습니다. Amazon Inspector Classic은 지난 6개월 동안 평가를 완료하지 않은 새 계정 및 계정에 더 이상 사용할 수 없습니다. 다른 모든 계정의 경우 액세스는 2026년 5월 20일까지 유효하며, 그 이후에는 Amazon Inspector Classic 콘솔 또는 Amazon Inspector Classic 리소스에 더 이상 액세스할 수 없습니다. 자세한 내용은 [Amazon Inspector Classic 지원 종료를 참조하세요](https://docs.aws.amazon.com/inspector/v1/userguide/inspector-migration.html). 기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # Amazon Inspector Classic 규칙 패키지 및 규칙 Amazon Inspector Classic을 사용하여 평가 대상(AWS 리소스 모음)의 잠재적인 보안 문제 및 취약성을 평가할 수 있습니다. Amazon Inspector Classic은 평가 대상의 동작 및 보안 구성을 선택된 보안 *규칙 패키지*에 비교합니다. Amazon Inspector Classic의 컨텍스트에서 *규칙*은 평가 실행 중에 Amazon Inspector Classic이 수행하는 보안 검사입니다. Amazon Inspector Classic에서 규칙은 범주, 심각도 또는 요금별로 고유한 *규칙 패키지*로 함께 그룹화됩니다. 이렇게 하면 다양한 종류의 분석을 수행할 수 있습니다. 예를 들어, Amazon Inspector Classic은 애플리케이션을 평가하는 데 사용할 수 있는 많은 수의 규칙을 제공합니다. 그러나 특정 영역의 문제를 대상으로 하거나 특정한 보안 문제를 발견하기 위해 더 작은 하위 세트의 사용 가능한 규칙을 포함하고자 할 수도 있습니다. 대규모 IT 부서가 있는 회사는 이 애플리케이션이 보안 위협에 노출되는지 확인하고자 합니다. 반면, 심각도 수준이 **높음**인 문제에만 집중하고자 하는 회사도 있습니다. + [Amazon Inspector Classic의 규칙 심각도 수준](#SeverityLevels) + [Amazon Inspector Classic 내의 규칙 패키지](#InspectorRulePackages) ## Amazon Inspector Classic의 규칙 심각도 수준 각 Amazon Inspector Classic 규칙에는 심각도 수준이 할당되어 있습니다. 이 경우 분석에서 규칙의 우선순위를 지정할 필요가 줄어듭니다. 또한 규칙이 잠재적인 문제를 강조 표시할 때 응답을 결정하는 데 도움이 될 수도 있습니다. **High**, **Medium**, **Low** 수준은 모두 평가 대상 내 정보 기밀, 무결성 및 가용성이 손상될 수 있는 보안 문제를 나타냅니다. 수준은 문제로 인해 손상이 발생할 가능성과 문제 해결이 시급한 정도에 따라 구분됩니다. **Informational** 수준은 단순히 평가 대상의 보안 구성 세부 정보를 강조 표시합니다. 심각도에 따라 문제를 해결하는 데 권장되는 대응 방법은 다음과 같습니다. + **높음** – 심각도가 높음인 문제는 매우 시급한 문제입니다. Amazon Inspector Classic은 이 보안 문제를 긴급으로 처리하고 즉각적으로 해결하는 것을 권장합니다. + **중간** – 심각도가 중간인 문제는 다소 시급한 문제입니다. Amazon Inspector Classic은 가능한 다음 기회(예: 다음 서비스 업데이트)에 이 문제를 해결하는 것을 권장합니다. + **낮음** – 심각도가 낮음인 문제는 덜 시급한 문제입니다. Amazon Inspector Classic은 이후 서비스 업데이트 시 이 문제를 해결하는 것을 권장합니다. + **정보성** – 이 문제는 순전히 정보용입니다. 비즈니스 및 조직 목표에 따라 이 정보를 기록해 두거나 이 정보를 사용하여 평가 대상의 보안을 강화할 수 있습니다. ## Amazon Inspector Classic 내의 규칙 패키지 Amazon Inspector 평가에서는 다음 규칙 패키지의 모든 조합을 사용할 수 있습니다. **네트워크 평가:** + [네트워크 연결성](inspector_network-reachability.md) **호스트 평가:** + [CVE(일반적인 취약성 및 노출도)](inspector_cves.md) + [Center for Internet Security(CIS) 벤치마크](inspector_cis.md) + [Amazon Inspector Classic의 보안 모범 사례](inspector_security-best-practices.md) # 네트워크 연결성 네트워크 연결성 패키지의 규칙은 네트워크 구성을 분석하여 EC2 인스턴스의 보안 취약성을 찾습니다. Amazon Inspector가 생성하는 결과는 안전하지 않은 액세스 제한에 대한 지침도 제공합니다. Network Reachability 규칙 패키지는 AWS [Provable Security](https://aws.amazon.com/security/provable-security/) 이니셔티브의 최신 기술을 사용합니다. 이 규칙에 의해 생성된 결과는 포트가 인터넷 게이트웨이(Application Load Balancer 또는 Classic Load Balancer 뒤에 있는 인스턴스 포함), VPC 피어링 연결 또는 가상 게이트웨이를 통한 VPN을 통해 인터넷에서 연결될 수 있는지 여부를 나타냅니다. 또한 이러한 결과는 잘못 관리되는 보안 그룹, ACL, IGW 등과 같이 악의적인 액세스를 허용하는 네트워크 구성을 강조합니다. 이러한 규칙은 AWS 네트워크의 모니터링을 자동화하고 EC2 인스턴스에 대한 네트워크 액세스가 잘못 구성되었을 수 있음을 식별하는 데 도움이 됩니다. 이 패키지를 평가 실행에 포함하면 특히 VPC 피어링 연결 및 VPN에서 유지하기 복잡하고 비용이 많이 드는 스캐너를 설치하거나 패킷을 보내지 않고도 자세한 네트워크 보안 검사를 구현할 수 있습니다. **중요** Amazon Inspector Classic 에이전트는 이 규칙 패키지를 통해 EC2 인스턴스를 평가하는 데 필요하지 않습니다. 하지만 설치된 에이전트는 포트에서 수신하는 프로세스의 존재 여부에 대한 정보를 제공할 수 있습니다. Amazon Inspector Classic에서 지원하지 않는 운영 체제에는 에이전트를 설치하지 마십시오. 지원되지 않는 운영 체제를 실행하는 인스턴스에 에이전트가 있는 경우 네트워크 연결 가능성 규칙 패키지가 해당 인스턴스에서 작동하지 않습니다. 자세한 내용은 [지원되는 운영 체제의 Amazon Inspector Classic 규칙 패키지](inspector_rule-packages_across_os.md) 단원을 참조하십시오. ## 분석된 구성 네트워크 연결성 규칙은 취약성에 대한 다음 엔터티의 구성을 분석합니다. + [Amazon EC2 인스턴스](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html) + [Application Load Balancers](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/load-balancer-types.html#alb) + [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) + [Elastic Load Balancer](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/load-balancer-types.html) + [탄력적 네트워크 인터페이스](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) + [인터넷 게이트웨이(IGW)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) + [네트워크 액세스 제어 목록(ACL)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) + [라우팅 테이블](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) + [보안 그룹(SG)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html) + [서브넷](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html) + [Virtual Private Cloud(VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html) + [가상 프라이빗 게이트웨이(VGW)](https://docs.aws.amazon.com/vpc/latest/userguide/SetUpVPNConnections.html#vpn-create-vpg) + [VPC 피어링 연결](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) ## 연결성 라우팅 네트워크 연결성 규칙은 VPC 외부에서 포트에 액세스할 수 있는 방법에 해당하는 다음 연결성 라우팅을 확인합니다. + **`Internet`** - 인터넷 게이트웨이(Application Load Balancer 및 Classic Load Balancer 포함) + **`PeeredVPC`** - VPC 피어링 연결 + **`VGW`** - 가상 프라이빗 게이트웨이 ## 결과 유형 네트워크 연결성 규칙 패키지가 포함된 평가는 각 연결성 라우팅에 대해 다음 유형의 결과를 반환할 수 있습니다. + [`RecognizedPort`](#inspector_network-reachability-types-1) + [`UnrecognizedPortWithListener`](#inspector_network-reachability-types-2) + [`NetworkExposure`](#inspector_network-reachability-types-3) ### `RecognizedPort` 잘 알려진 서비스에 일반적으로 사용되는 포트에 연결 가능합니다. 대상 EC2 인스턴스에 에이전트가 있는 경우 생성된 검색 결과는 포트에 활성 수신 프로세스가 있는지 여부도 나타냅니다. 이러한 결과 유형은 잘 알려진 서비스의 보안 영향에 따라 심각도가 지정됩니다. + **`RecognizedPortWithListener`** – 인식된 포트는 특정 네트워킹 구성 요소를 통해 퍼블릭 인터넷에서 외부로 연결할 수 있으며 프로세스는 포트에서 수신 대기합니다. + **`RecognizedPortNoListener`** – 인식된 포트는 특정 네트워킹 구성 요소를 통해 퍼블릭 인터넷에서 외부로 연결할 수 있으며 포트에 대해 수신하는 프로세스가 없습니다. + **`RecognizedPortNoAgent`** – 인식된 포트는 특정 네트워킹 구성 요소를 통해 퍼블릭 인터넷에서 외부로 연결할 수 있습니다. 대상 인스턴스에 에이전트를 설치하지 않은 상태에서는 포트에서 수신하는 프로세스가 있는지 여부를 확인할 수 없습니다. 다음 표는 인식된 포트 목록을 보여 줍니다. | 서비스 | TCP 포트 | UDP 포트 | | --- | --- | --- | | SMB | 445 | 445 | | NetBIOS | 137, 139 | 137, 138 | | LDAP | 389 | 389 | | LDAP over TLS | 636 | | | 글로벌 카탈로그 LDAP | 3268 | | | 글로벌 카탈로그 LDAP over TLS | 3269 | | | NFS | 111, 2049, 4045, 1110 | 111, 2049, 4045, 1110 | | Kerberos | 88, 464, 543, 544, 749, 751 | 88, 464, 749, 750, 751, 752 | | RPC | 111, 135, 530 | 111, 135, 530 | | WINS | 1512, 42 | 1512, 42 | | DHCP | 67, 68, 546, 547 | 67, 68, 546, 547 | | Syslog | 601 | 514 | | 인쇄 서비스 | 515 | | | Telnet | 23 | 23 | | FTP | 21 | 21 | | SSH | 22 | 22 | | RDP | 3389 | 3389 | | MongoDB | 27017, 27018, 27019, 28017 | | | SQL 서버 | 1433 | 1434 | | MySQL | 3306 | | | PostgreSQL | 5432 | | | Oracle | 1521, 1630 | | | Elasticsearch | 9300, 9200 | | | HTTP | 80 | 80 | | HTTPS | 443 | 443 | ### `UnrecogizedPortWithListener` 앞의 표에 나열되지 않은 포트는 연결 가능하며 활성 수신 프로세스가 있습니다. 이 유형의 결과는 수신 프로세스에 대한 정보를 표시하므로 Amazon Inspector 에이전트가 대상 EC2 인스턴스에 설치된 경우에만 생성될 수 있습니다. 이 유형의 결과에는 **낮음** 심각도가 부여됩니다. ### `NetworkExposure` 이 유형의 결과는 EC2 인스턴스에서 연결할 수 있는 포트에 대한 집계 정보를 표시합니다. 이러한 결과는 탄력적 네트워크 인터페이스와 EC2 인스턴스의 보안 그룹을 조합할 때 TCP 및 UDP 포트 범위의 연결 가능한 집합을 보여 줍니다. 이 유형의 결과는 **정보** 심각도를 갖습니다. # CVE(일반적인 취약성 및 노출도) 이 패키지의 규칙을 통해 평가 대상의 EC2 인스턴스가 CVE(일반적인 취약성 및 노출도)에 노출되는지 여부를 확인할 수 있습니다. 공격은 패칭되지 않은 취약성을 악용하여 서비스 또는 데이터의 기밀성, 무결성 또는 가용성을 손상시킬 수 있습니다. CVE 시스템은 공개적으로 알려진 정보 보안 취약성 및 노출도에 대한 참조 방법을 제공합니다. 자세한 내용은 [ https://cve.mitre.org/](https://cve.mitre.org/)를 참조하십시오. Amazon Inspector Classic 평가에서 생성한 *결과*에 특정 CVE가 표시될 경우 [https://cve.mitre.org/](https://cve.mitre.org/)에서 CVE의 ID를 검색할 수 있습니다(예: **CVE-2009-0021**). 검색 결과에서 이 CVE, 해당 심각도 및 완화 방법에 대한 상세 정보를 제공할 수 있습니다. 일반적인 취약성 및 악용(CVE) 규칙 패키지에 대해 Amazon Inspector는 다음과 같이 제공된 CVSS 기본 점수 및 ALAS 심각도 수준을 매핑했습니다. | | | **Amazon Inspector 심각도 ** | **CVSS 기본 점수** | **ALAS 심각도 (CVSS가 점수를 매기지 않은 경우)** | | --- |--- |--- | | High | >= 5 | Critical or Important | | Medium | < 5 and >= 2.1 | Medium | | Low | < 2.1 and >= 0.8 | Low | | Informational | < 0.8 | N/A | 이 패키지에 포함된 규칙은 EC2 인스턴스가 다음의 리전 목록에서 CVE에 노출되는지 여부를 평가하는 데 도움이 됩니다. + [미국 동부(버지니아 북부)](https://s3.us-east-1.amazonaws.com/rules-engine.us-east-1/CVEList.txt) + [미국 동부(오하이오)](https://s3.us-east-2.amazonaws.com/rules-engine.us-east-2/CVEList.txt) + [미국 서부(캘리포니아 북부)](https://s3.us-west-1.amazonaws.com/rules-engine.us-west-1/CVEList.txt) + [미국 서부(오리건)](https://s3.us-west-2.amazonaws.com/rules-engine.us-west-2/CVEList.txt) + [EU(아일랜드)](https://s3.eu-west-1.amazonaws.com/rules-engine.eu-west-1/CVEList.txt) + [EU(프랑크푸르트)](https://s3.eu-central-1.amazonaws.com/rules-engine.eu-central-1/CVEList.txt) + [EU(런던)](https://s3.eu-west-2.amazonaws.com/rules-engine.eu-west-2/CVEList.txt) + [EU(스톡홀름)](https://s3.eu-north-1.amazonaws.com/rules-engine.eu-north-1/CVEList.txt) + [아시아 태평양(도쿄)](https://s3.ap-northeast-1.amazonaws.com/rules-engine.ap-northeast-1/CVEList.txt) + [아시아 태평양(서울)](https://s3.ap-northeast-2.amazonaws.com/rules-engine.ap-northeast-2/CVEList.txt) + [아시아 태평양(뭄바이)](https://s3.ap-south-1.amazonaws.com/rules-engine.ap-south-1/CVEList.txt) + [아시아 태평양(시드니)](https://s3.ap-southeast-2.amazonaws.com/rules-engine.ap-southeast-2/CVEList.txt) + [AWS GovCloud 서부(미국)](https://s3.us-gov-west-1.amazonaws.com/rules-engine.us-gov-west-1/CVEList.txt) + [AWS GovCloud 동부(미국)](https://s3.us-gov-east-1.amazonaws.com/rules-engine.us-gov-east-1/CVEList.txt) CVE 규칙 패키지는 정기적으로 업데이트됩니다. 이 목록을 검색하는 시점에 동시에 발생하는 평가 실행에 포함된 CVE가 이 목록에 포함됩니다. 자세한 내용은 [지원되는 운영 체제의 Amazon Inspector Classic 규칙 패키지](inspector_rule-packages_across_os.md) 단원을 참조하십시오. # Center for Internet Security(CIS) 벤치마크 CIS 보안 벤치마크 프로그램은 조직이 보안을 평가하고 개선하는 데 도움이 되는 잘 정의되고 편향되지 않은 합의 기반 업계 모범 사례를 제공합니다. AWS 는 CIS 보안 벤치마크 멤버 회사입니다. Amazon Inspector Classic 인증 목록을 보려면 [CIS 웹 사이트의 Amazon Web Services 페이지](https://benchmarks.cisecurity.org/membership/certified/amazon/)를 참조하십시오. Amazon Inspector Classic은 현재 다음 운영 체제에 대한 보안 구성 태세를 설정하는 데 도움이 되는 다음 CIS 인증 규칙 패키지를 제공합니다. **Amazon Linux** + `CIS Benchmark for Amazon Linux 2 Benchmark v1.0.0 Level 1` + `CIS Benchmark for Amazon Linux 2 Benchmark v1.0.0 Level 2` + `CIS Benchmark for Amazon Linux Benchmark v2.1.0 Level 1` + `CIS Benchmark for Amazon Linux Benchmark v2.1.0 Level 2` + `CIS Benchmark for Amazon Linux 2014.09-2015.03 v1.1.0 Level 1` **CentOS Linux** + `CIS Benchmark for CentOS Linux 7 Benchmark v2.2.0 Level 1 Server` + `CIS Benchmark for CentOS Linux 7 Benchmark v2.2.0 Level 2 Server` + `CIS Benchmark for CentOS Linux 7 Benchmark v2.2.0 Level 1 Workstation` + `CIS Benchmark for CentOS Linux 7 Benchmark v2.2.0 Level 2 Workstation` + `CIS Benchmark for CentOS Linux 6 Benchmark v2.0.2 Level 1 Server` + `CIS Benchmark for CentOS Linux 6 Benchmark v2.0.2 Level 2 Server` + `CIS Benchmark for CentOS Linux 6 Benchmark v2.0.2 Level 1 Workstation` + `CIS Benchmark for CentOS Linux 6 Benchmark v2.0.2 Level 2 Workstation` **Red Hat Enterprise Linux** + `CIS Benchmark for Red Hat Enterprise Linux 7 Benchmark v2.1.1 Level 1 Server` + `CIS Benchmark for Red Hat Enterprise Linux 7 Benchmark v2.1.1 Level 2 Server` + `CIS Benchmark for Red Hat Enterprise Linux 7 Benchmark v2.1.1 Level 1 Workstation` + `CIS Benchmark for Red Hat Enterprise Linux 7 Benchmark v2.1.1 Level 2 Workstation` + `CIS Benchmark for Red Hat Enterprise Linux 6 Benchmark v2.0.2 Level 1 Server` + `CIS Benchmark for Red Hat Enterprise Linux 6 Benchmark v2.0.2 Level 2 Server` + `CIS Benchmark for Red Hat Enterprise Linux 6 Benchmark v2.0.2. Level 1 Workstation` + `CIS Benchmark for Red Hat Enterprise Linux 6 Benchmark v2.0.2 Level 2 Workstation` **Ubuntu** + `CIS Benchmark for Ubuntu Linux 18.04 LTS Benchmark v1.0.0 Level 1 Server` + `CIS Benchmark for Ubuntu Linux 18.04 LTS Benchmark v1.0.0 Level 2 Server` + `CIS Benchmark for Ubuntu Linux 18.04 LTS Benchmark v1.0.0 Level 1 Workstation` + `CIS Benchmark for Ubuntu Linux 18.04 LTS Benchmark v1.0.0 Level 2 Workstation` + `CIS Benchmark for Ubuntu Linux 16.04 LTS Benchmark v1.1.0 Level 1 Server` + `CIS Benchmark for Ubuntu Linux 16.04 LTS Benchmark v1.1.0 Level 2 Server` + `CIS Benchmark for Ubuntu Linux 16.04 LTS Benchmark v1.1.0 Level 1 Workstation` + `CIS Benchmark for Ubuntu Linux 16.04 LTS Benchmark v1.1.0 Level 2 Workstation` + `CIS Benchmark for Ubuntu Linux 14.04 LTS Benchmark v2.0.0 Level 1 Server` + `CIS Benchmark for Ubuntu Linux 14.04 LTS Benchmark v2.0.0 Level 2 Server` + `CIS Benchmark for Ubuntu Linux 14.04 LTS Benchmark v2.0.0 Level 1 Workstation` + `CIS Benchmark for Ubuntu Linux 14.04 LTS Benchmark v2.0.0 Level 2 Workstation` **Windows** + `Windows Server 2016 (CIS Benchmark for Microsoft Windows 2016 RTM (Release 1607), v1.1.0, Level 1 Member Server Profile)` + `Windows Server 2016 (CIS Benchmark for Microsoft Windows 2016 RTM (Release 1607), v1.1.0, Level 2 Member Server Profile)` + `Windows Server 2016 (CIS Benchmark for Microsoft Windows 2016 RTM (Release 1607), v1.1.0, Level 1 Domain Controller Profile)` + `Windows Server 2016 (CIS Benchmark for Microsoft Windows 2016 RTM (Release 1607), v1.1.0, Level 2 Domain Controller Profile)` + `Windows Server 2016 (CIS Benchmark for Microsoft Windows 2016 RTM (Release 1607), v1.1.0, Next Generation Windows Security Profile)` + `Windows Server 2012 R2 (CIS Benchmark for Microsoft Windows 2012 R2, v2.2.0, Level 1 Domain Controller Profile)` + `Windows Server 2012 R2 (CIS Benchmark for Microsoft Windows 2012 R2, v2.2.0, Level 2 Domain Controller Profile)` + `Windows Server 2012 R2 (CIS Benchmark for Microsoft Windows 2012 R2, v2.2.0, Level 1 Member Server Profile)` + `Windows Server 2012 R2 (CIS Benchmark for Microsoft Windows 2012 R2, v2.2.0, Level 2 Member Server Profile)` + `Windows Server 2012 (CIS Benchmark for Microsoft Windows 2012 non-R2, v2.0.0, Level 1 Member Server Profile)` + `Windows Server 2012 (CIS Benchmark for Microsoft Windows 2012 non-R2, v2.0.0, Level 2 Member Server Profile)` + `Windows Server 2012 (CIS Benchmark for Microsoft Windows 2012 non-R2, v2.0.0, Level 1 Domain Controller Profile)` + `Windows Server 2012 (CIS Benchmark for Microsoft Windows 2012 non-R2, v2.0.0, Level 2 Domain Controller Profile)` + `Windows Server 2008 R2 (CIS Benchmark for Microsoft Windows 2008 R2, v3.0.0, Level 1 Domain Controller Profile)` + `Windows Server 2008 R2 (CIS Benchmark for Microsoft Windows 2008 R2, v3.0.0, Level 1 Member Server Profile)` Amazon Inspector Classic 평가 실행에서 생성한 결과에 특정 CIS 벤치마크가 표시될 경우 벤치마크에 대한 상세한 PDF 설명은 [https://benchmarks.cisecurity.org/](https://benchmarks.cisecurity.org/)에서 다운로드할 수 있습니다(무료 등록 필요). 벤치마크 문서에 이 CIS 벤치마크, 해당 심각도 및 완화 방법에 대한 상세 정보가 나와 있습니다. 자세한 내용은 [지원되는 운영 체제의 Amazon Inspector Classic 규칙 패키지](inspector_rule-packages_across_os.md) 단원을 참조하십시오. # Amazon Inspector Classic의 보안 모범 사례 Amazon Inspector Classic 규칙을 사용하여 시스템이 안전하게 구성되어 있는지 확인할 수 있습니다. **중요** 현재 Linux 기반 또는 Windows 기반 운영 체제를 실행하는 EC2 인스턴스를 평가 대상에 포함시킬 수 있습니다. 평가를 실행하는 중에 이 섹션에서 설명하는 규칙은 Linux 기반 운영 체제를 실행하는 EC2 인스턴스에 대한 결과**만** 생성합니다. 이 규칙은 Windows 기반 운영 체제를 실행하는 EC2 인스턴스에 대한 결과는 생성하지 않습니다. 자세한 내용은 [지원되는 운영 체제의 Amazon Inspector Classic 규칙 패키지](inspector_rule-packages_across_os.md) 단원을 참조하십시오. **Topics** + [ ## SSH를 통해 루트 로그인 비활성화 ](#disable-root-login-over-SSH) + [ ## SSH 버전 2만 지원 ](#support-ssh-v2-only) + [ ## SSH를 통한 암호 인증 비활성화 ](#disable-password-authentication-over-ssh) + [ ## 암호 최대 수명 구성 ](#password-maximum-age) + [ ## 암호 최소 길이 구성 ](#password-minimum-length) + [ ## 암호 복잡도 구성 ](#password-complexity) + [ ## ASLR 활성화 ](#ASLR) + [ ## DEP 활성화 ](#DEP-OS) + [ ## 시스템 디렉터리에 대한 권한 구성 ](#permissions-for-system-directories) ## SSH를 통해 루트 로그인 비활성화 이 규칙을 통해 SSH 데몬이 EC2 인스턴스에 [루트](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html)로 로그인하는 것을 허용하도록 구성되어 있는지 확인할 수 있습니다. **심각도** [중간](inspector_rule-packages.md#SeverityLevels) **결과** 사용자가 SSH를 통해 루트 자격 증명을 사용하여 로그인할 수 있도록 구성된 EC2 인스턴스가 평가 대상에 있습니다. 이 경우 Brute-Force 공격이 성공할 가능성이 높아집니다. **해결 방법** SSH를 통한 루트 계정 로그인을 방지하도록 EC2 인스턴스를 구성하는 것이 좋습니다. 대신 필요한 경우 루트 이외의 사용자로 로그인하고 `sudo`를 사용하여 권한을 에스컬레이션합니다. SSH 루트 계정 로그인을 비활성화하려면 `/etc/ssh/sshd_config` 파일에서 `PermitRootLogin`을 `no`로 설정하고 `sshd`를 다시 시작합니다. ## SSH 버전 2만 지원 이 규칙을 통해 EC2 인스턴스가 SSH 프로토콜 버전 1을 지원하도록 구성되어 있는지 확인할 수 있습니다. **심각도** [중간](inspector_rule-packages.md#SeverityLevels) **결과** 평가 대상의 EC2 인스턴스가 SSH 1을 지원하도록 구성되어 있습니다. SSH 1에는 보안을 크게 저하시키는 설계 결함이 내재되어 있습니다. **해결 방법** SSH 2 이상만 지원하도록 평가 대상의 EC2 인스턴스를 구성하는 것이 좋습니다. OpenSSH의 경우 `Protocol 2`를 `/etc/ssh/sshd_config` 파일에서 설정하여 이를 수행할 수 있습니다. 자세한 내용은 `man sshd_config` 단원을 참조하십시오. ## SSH를 통한 암호 인증 비활성화 이 규칙을 통해 EC2 인스턴스가 SSH 프로토콜을 통한 암호 인증을 지원하도록 구성되어 있는지 확인할 수 있습니다. **심각도** [중간](inspector_rule-packages.md#SeverityLevels) **결과** 평가 대상의 EC2 인스턴스가 SSH를 통한 암호 인증을 지원하도록 구성되어 있습니다. 암호 인증은 Brute-Force 공격에 취약하기 때문에 가능한 경우 키 기반 인증을 사용하기 위해 암호 인증을 비활성화해야 합니다. **해결 방법** EC2 인스턴스에서 SSH를 통한 암호 인증을 비활성화하고 대신 키 기반 인증 지원을 활성화하는 것이 좋습니다. 그러면 Brute-Force 공격의 성공 가능성을 크게 낮출 수 있습니다. 자세한 내용은 [https://aws.amazon.com/articles/1233/](https://aws.amazon.com/articles/1233/)을 참조하십시오. 암호 인증이 지원되는 경우 SSH 서버에 대한 액세스를 신뢰할 수 있는 IP 주소로 제한해야 합니다. ## 암호 최대 수명 구성 이 규칙을 통해 EC2 인스턴스에 암호의 최대 수명이 구성되어 있는지 확인할 수 있습니다. **심각도** [중간](inspector_rule-packages.md#SeverityLevels) **결과** 평가 대상의 EC2 인스턴스에 암호의 최대 수명이 구성되어 있지 않습니다. **해결 방법** 암호를 사용하는 경우 평가 대상의 모든 EC2 인스턴스에 암호의 최대 수명을 구성하는 것이 좋습니다. 이를 위해 사용자는 암호를 정기적으로 변경해야 합니다. 그러면 암호 추측 공격이 성공할 가능성을 낮출 수 있습니다. 기존 사용자에 대해 이 문제를 해결하려면 **chage** 명령을 사용합니다. 모든 향후 사용자에 대한 암호의 최대 수명을 구성하려면 `/etc/login.defs` 파일의 `PASS_MAX_DAYS` 필드를 편집합니다. ## 암호 최소 길이 구성 이 규칙을 통해 EC2 인스턴스에 암호의 최소 길이가 구성되어 있는지 확인할 수 있습니다. **심각도** [중간](inspector_rule-packages.md#SeverityLevels) **결과** 평가 대상의 EC2 인스턴스에 암호의 최소 길이가 구성되어 있지 않습니다. **해결 방법** 암호를 사용하는 경우 평가 대상의 모든 EC2 인스턴스에 암호의 최소 길이를 구성하는 것이 좋습니다. 최소 암호 길이를 적용하면 암호 추측 공격이 성공할 위험이 줄어듭니다. `pwquality.conf` 파일에서 `minlen` 옵션을 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 [https://linux.die.net/man/5/pwquality.conf](https://linux.die.net/man/5/pwquality.conf)를 참조하십시오. 인스턴스에서 `pwquality.conf`를 사용할 수 없는 경우 `minlen` 모듈을 사용하여 `pam_cracklib.so` 옵션을 설정할 수 있습니다. 자세한 내용은 [https://linux.die.net/man/8/pam_cracklib](https://linux.die.net/man/8/pam_cracklib) 단원을 참조하십시오. `minlen` 옵션은 14 이상으로 설정해야 합니다. ## 암호 복잡도 구성 이 규칙을 통해 EC2 인스턴스에 암호 복잡도 메커니즘이 구성되어 있는지 확인할 수 있습니다. **심각도** [중간](inspector_rule-packages.md#SeverityLevels) **결과** 평가 대상의 EC2 인스턴스에 암호 복잡도 메커니즘 또는 제한이 구성되어 있지 않습니다. 이 경우 사용자가 단순한 암호를 설정할 수 있고, 그렇게 되면 권한 없는 사용자가 액세스 권한을 얻어 계정을 오용할 가능성이 커집니다. **해결 방법** 암호를 사용하는 경우 암호 복잡도 수준을 요구하도록 평가 대상의 모든 EC2 인스턴스를 구성하는 것이 좋습니다. `pwquality.conf` 파일에서 `lcredit`, `ucredit`, `dcredit`, `ocredit` 옵션을 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 [https://linux.die.net/man/5/pwquality.conf](https://linux.die.net/man/5/pwquality.conf)를 참조하십시오. 인스턴스에서 `pwquality.conf`를 사용할 수 없는 경우 `lcredit` 모듈을 사용하여 `ucredit`, `dcredit`, `ocredit` 및 `pam_cracklib.so` 옵션을 설정할 수 있습니다. 자세한 내용은 [https://linux.die.net/man/8/pam_cracklib](https://linux.die.net/man/8/pam_cracklib) 단원을 참조하십시오. 이러한 각 옵션에 대한 예상 값은 아래와 같이 -1보다 작거나 같습니다. `lcredit <= -1, ucredit <= -1, dcredit<= -1, ocredit <= -1` 또한 이 `remember` 옵션을 12 이상으로 설정해야 합니다. 자세한 내용은 [https://linux.die.net/man/8/pam_unix](https://linux.die.net/man/8/pam_unix) 단원을 참조하십시오. ## ASLR 활성화 이 규칙을 통해 평가 대상에 있는 EC2 인스턴스의 운영 체제에서 주소 공간 레이아웃 무작위화(ASLR)가 활성화되어 있는지 확인할 수 있습니다. **심각도** [중간](inspector_rule-packages.md#SeverityLevels) **결과** 평가 대상의 EC2 인스턴스에 ASLR이 활성화되어 있지 않습니다. **해결 방법** 평가 대상의 보안을 강화하기 위해 **echo 2 \$1 sudo tee /proc/sys/kernel/randomize\$1va\$1space**를 실행하여 평가 대상에 있는 모든 EC2 인스턴스의 운영 체제에서 ASLR을 활성화하는 것이 좋습니다. ## DEP 활성화 이 규칙을 통해 평가 대상에 있는 EC2 인스턴스의 운영 체제에서 데이터 실행 방지(DEP)가 활성화되어 있는지 확인할 수 있습니다. **참고** 이 규칙은 ARM 프로세서가 있는 EC2 인스턴스에 대해서는 지원되지 않습니다. **심각도** [중간](inspector_rule-packages.md#SeverityLevels) **결과** 평가 대상의 EC2 인스턴스에 DEP가 활성화되어 있지 않습니다. **해결 방법** 평가 대상에 있는 모든 EC2 인스턴스의 운영 체제에서 DEP를 활성화하는 것이 좋습니다. DEP를 활성화하면 버퍼 오버플로우 기술을 사용하여 보안 손상으로부터 인스턴스를 보호할 수 있습니다. ## 시스템 디렉터리에 대한 권한 구성 이 규칙은 바이너리 및 시스템 구성 정보가 들어 있는 시스템 디렉터리에 대한 권한을 확인합니다. 루트 사용자(루트 계정 자격 증명을 사용하여 로그인한 사용자)만 이 디렉터리에 대한 쓰기 권한을 갖고 있는지 확인합니다. **심각도** [높음](inspector_rule-packages.md#SeverityLevels) **결과** 평가 대상의 EC2 인스턴스에 루트 이외의 사용자가 쓸 수 있는 시스템 디렉터리가 포함되어 있습니다. **해결 방법** 평가 대상의 보안을 강화하고 악의적인 로컬 사용자의 권한 에스컬레이션을 방지하려면 대상에 있는 모든 EC2 인스턴스의 모든 시스템 디렉터리를 루트 계정 자격 증명을 사용하여 로그인하는 사용자만 쓸 수 있도록 구성합니다.