재직중인 회사에서 RDS 환경에 대해 취약점을 진단해야하는 업무가 있어서 CCE 진단 자동화 Python 스크립트를 작성했다. 원격에서 RDS Enpoint로 직접 접속해서 쿼리문을 통해 진단하는 방식으로 개발했는데, 사실 DB의 경우 스크립트 수행만 가지고는 100% 정확한 취약점 진단이 불가능하다. 보통 CCE 취약점이란게 계정이나 권한은 어떻게 관리하는지, 불필요한 테이블정보는 없는지를 체크하는 체크리스트를 통해 확인하게 되는데, 규모가 어느정도 있는 회사에선 접근제어를 위한 솔루션이 필요하고 RDS 나 on-prem에서 관리되는 DB들은 이런 솔루션을 거쳐서 접근하게끔 아키텍쳐가 짜여있다. 쿼리 조회만으로는 이런 현황을 파악할 순 없다.. 따라서 자세한 정보는 별도로 확인하고 스크립트를 통해 조회..
