ISMS-P 2.10.9 악성코드 통제 High Risk

악성코드 통제가 적절히 수행되고 있는가?

ISMS-P 2.10.9는 악성코드로부터 시스템을 보호하기 위한 통제를 요구합니다. 클라우드 환경에서는 컨테이너 이미지 스캔과 런타임 모니터링을 통해 악성코드 예방, 탐지, 대응 체계를 자동화해야 합니다.

📋

ISMS-P 인증 기준

ISMS-P 2.10.9 악성코드 통제 요구사항

2.10.9

악성코드 통제

인증 기준 정의

"바이러스, 웜, 트로이목마 등의 악성코드로부터 정보시스템을 보호하기 위하여 악성코드 예방·탐지·대응 등의 보호대책을 수립·이행하여야 한다."

📌 클라우드 환경 적용 포인트

ECR Enhanced Scanning (Inspector)
GuardDuty Malware Protection
Runtime Monitoring 활성화
Security Hub 통합 관리

⚠️ 미준수 시 심사 영향

결함: 악성코드 예방 대책 미수립
결함: 이미지 스캔 미적용
권고: 런타임 모니터링 부재

📄 KISA ISMS-P 인증기준 안내서 ↗ ☁️ ECR Enhanced Scanning 가이드 ↗

📰

실제 보안 사고 사례

악성코드 통제 미흡으로 발생한 실제 사고

2021.01-04

Codecov 공급망 공격

Codecov Bash Uploader 스크립트가 악성코드로 변조되어 3개월간 탐지 못함. CI/CD 파이프라인에서 외부 스크립트 무결성 검증 부재로 29,000개 기업 피해.

💡 교훈: CI/CD 도구/이미지 무결성 검증, 서명 확인 필수

출처: TechCrunch ↗

2022-2024

Docker Hub 악성 이미지

공식 이미지를 사칭한 악성 컨테이너 이미지가 Docker Hub에 업로드. 이미지 출처 검증 부재, 스캔 미적용으로 수백만 다운로드.

💡 교훈: 검증된 Private ECR 사용, 지속적 이미지 스캔 필수

출처: BleepingComputer ↗

⚡

클라우드 환경의 위험

이미지 스캔 없는 배포로 인한 위험 상황

스캔 없는 배포 (위험)

이미지 스캔

✗

Malware 보호

✗

Runtime

✗

↑ 악성코드 통제 없음

공개 이미지 직접 사용 → 악성코드 포함 가능, 취약점 미탐지

Enhanced Scanning (권장)

이미지 스캔

✓

Malware 보호

✓

Runtime

✓

↑ 예방·탐지·대응 통합

ECR + GuardDuty 통합 → 빌드부터 런타임까지 자동화

🚨

발견 사례: Docker Hub 직접 참조 및 스캔 미적용

Dockerfile에서 공개 이미지 직접 사용, ECR scan_on_push = false. 악성코드 포함 이미지가 그대로 배포될 위험이 있습니다.

현재 상태 - 문제가 되는 설정

# Dockerfile (문제)
FROM python:3.11  # ⚠️ 공개 이미지 직접 사용

# buildspec.yml (문제)
phases:
  build:
    commands:
      - docker build -t myapp .
      - docker push $ECR_REPO/myapp:latest
      # 이미지 스캔 없음 → 악성코드 포함 가능
      # 취약점 검사 없음 → 배포 후 침해 위험

ISMS-P 2.10.9 위반 사항

●

악성코드 예방 대책 미수립

●

이미지 스캔 미적용

●

런타임 모니터링 부재

●

취약점 발견 후 대응 절차 미수립

🔍

사전 탐지 방안

IaC 코드 분석 기반 배포 전 점검

악성코드 통제 탐지 로직

판단 조건	조건 값	결과
🔍 ECR 스캔 설정	`scan_on_push = false`	High - 차단 + Slack 알림
🔍 ECR 스캔 설정	`scan_on_push = true` + Inspector 활성화	✓ 통과
🛡️ GuardDuty 설정	`malware_protection` 미설정	High - 차단 + Slack 알림
🛡️ GuardDuty 설정	`runtime_monitoring` 미설정	Medium - 알림만
📦 이미지 출처	Docker Hub 직접 참조 (ECS Task Definition)	High - 미검증 이미지
📦 이미지 출처	빌드 파이프라인에 이미지 스캔 단계 미포함	High - 빌드 시 검사 미수행

🔔

사후 대응 방안

런타임 모니터링 및 이상행위 탐지

악성코드 런타임 이벤트 대응 로직

판단 조건	조건 값	결과
📦 IaC 관리 여부	`Terraform State에 존재` 정상 IaC 배포	✓ 스캔 결과만 저장
📦 IaC 관리 여부	`Drift 발생` 스캔 설정 변경	→ 상세 분석
⚠️ 탐지 이벤트 (GuardDuty/Inspector)	`MaliciousFile` `CryptoCurrency`	Critical - 컨테이너 즉시 격리
	`Inspector CRITICAL` 이미지 취약점	Critical - 배포 차단 + 이미지 교체
	`Runtime:Container/...` 의심 행위	Medium - Security Hub + 추적

모든 알림에 포함되는 정보

영향받는 이미지/컨테이너 취약점 CVE ID 심각도 및 CVSS 점수 이미지 교체 가이드

✓

조치 가이드

즉시 적용 가능한 권장 설정

❌ 삭제

scan_on_push = false 및 Docker Hub 직접 참조

✓ 적용

ECR Enhanced Scanning + GuardDuty Runtime

권장 설정 (복사하여 적용)

malware-protection.tf

# 1. ECR Repository with Enhanced Scanning
resource "aws_ecr_repository" "app" {
  name = "myapp"
  image_tag_mutability = "IMMUTABLE"  # 이미지 변조 방지

  image_scanning_configuration {
    scan_on_push = true  # Push 시 자동 스캔
  }
}

# 2. Inspector V2 활성화 (ECR Enhanced Scanning)
resource "aws_inspector2_enabler" "ecr_scanning" {
  account_ids    = [data.aws_caller_identity.current.account_id]
  resource_types = ["ECR"]
}

# 3. GuardDuty Malware Protection
resource "aws_guardduty_detector" "main" {
  enable = true

  datasources {
    malware_protection {
      scan_ec2_instance_with_findings {
        ebs_volumes { enable = true }
      }
    }
  }
}

# 4. GuardDuty Runtime Monitoring (ECS)
resource "aws_guardduty_detector_feature" "runtime" {
  detector_id = aws_guardduty_detector.main.id
  name        = "RUNTIME_MONITORING"
  status      = "ENABLED"

  additional_configuration {
    name   = "ECS_FARGATE_AGENT_MANAGEMENT"
    status = "ENABLED"
  }
}

💡 핵심: ECR Enhanced Scanning은 OS와 언어 패키지 취약점을 모두 탐지합니다. GuardDuty Runtime Monitoring은 ECS Fargate에서 컨테이너 실행 중 악성 행위를 실시간으로 탐지합니다.

📚 참고 자료

📘 ECR Enhanced Scanning 가이드 ↗ 📘 GuardDuty Runtime Monitoring ↗ 📘 GuardDuty Malware Protection ↗

📊

리포트 방안

ISMS-P 심사 증적 및 정기 보고

📋 진단 항목

ECR 이미지 스캔 결과
Critical/High 취약점 수
취약점 조치율 (SLA 준수)
GuardDuty 탐지 이력
배포 차단 증적

📅 리포트 주기

실시간

Critical 발견 시 즉시 알림

주간

취약점 현황 요약

월간

ISMS-P 증적 리포트

📤 발송 및 저장

발송 채널

Email Slack

저장소

S3 (5년 보관)

⚡

BSG 차별점

기존 도구가 놓치는 점검 영역

기존 도구 방식

기본 스캔만 검사

ECR 기본 스캔만 확인
OS 취약점만 탐지
언어 패키지 취약점 미탐지

한계: GuardDuty 연동 여부 미확인, 런타임 모니터링 설정 미검사

BSG 접근 방식

ISMS-P 관점 통합 점검

ECR + GuardDuty + Runtime 통합 검증
Enhanced Scanning 활성화 여부 확인
외부 이미지 직접 참조 탐지

차별점: 예방 → 탐지 → 대응 → 증적 전 과정 자동화

← ISMS-P 인증 시나리오로 돌아가기