[보안뉴스 문가용 기자] 클라우드를 향한 공격자들의 관심이 계속해서 높아지고 있다. 사용자 기업들이 유연성과 확장성 때문에 클라우드로 이주하려고 한다면, 공격자들은 제대로 보호되지 않은 데이터와 애플리케이션이 널려 있는 곳으로써 클라우드를 바라보고 있다. 이는 지난 1년 동안 IBM의 엑스포스(X-Force) 팀이 클라우드 생태계를 꾸준히 관찰해서 나온 결과다.
[이미지 = utoimage]
엑스포스 팀은 클라우드에 대한 공격자들의 관심이 크다는 건 다크웹 시장을 보면 분명하게 알 수 있다고 한다. 클라우드로 들어가게 해 주는 크리덴셜 거래가 왕성하게 벌어지고 있기 때문이다. 엑스포스 팀이 집계한 바에 따르면 현재 3만 개가 넘는 클라우드 크리덴셜이 다크웹 상에서 거래되고 있다고 한다. 이 중 70%는 RDP를 통해 클라우드로 접근하도록 해 주는 것이라고 하는데, 가격은 천차만별이다. 적게는 몇 달러 수준인데, 많게는 크리덴셜 하나에 1만 5천 달러에까지 이른다. 가격은 크리덴셜의 권한에 따라 달라진다고 한다.
시장이 흥한다는 건 거래상들에게 있어 경쟁이 치열하다는 말도 된다. “그래서 요즘 클라우드 크리덴셜 상인들은 소비자들을 위한 환불 정책을 크게 강조합니다. 어떤 상인은 상품이 마음에 들지 않을 경우 구매 시점부터 7일 안에 전부 환불해 준다고 하고, 어떤 상인은 14일까지 환불 기한을 늘리면서 손님을 유혹합니다. 물론 이 약속이 제대로 지켜지는지는 확인해 보지 않았습니다.”
공격자들이 클라우드에 큰 열정을 갖게 된 것에는 ‘사용자의 책임’도 어느 정도 있는 것으로 분석됐다. 이는 사실 엑스포스 팀 이전에도 여러 보안 기업들의 연구 보고서에서도 나온 내용이다. 엑스포스의 보고서에 의하면 지난 1년 동안 발생한 클라우드 정보 침해 사건의 2/3이 API 설정 오류로부터 야기됐다고 한다. API를 통해 백엔드 애플리케이션과 데이터로의 접근을 제어하는 건 능숙하게 잘 하지만, API를 보호하는 데에는 아직 미숙한 모습이라는 것이다. 엑스포스 팀의 위협 분석가인 찰스 드벡(Charles DeBeck)은 “다크웹 크리덴셜 시장을 풍성하게 만든 장본인이 우리라는 것”이라고 현 상황을 정리한다.
API만 문제인 것은 아니다. 가상기계 등 각종 클라우드 자원들이 디폴트 보안 기능 하나 설정되지 않은 채 구축되는 경우가 허다하다고 한다. 보안 기능을 도입한다고 하더라도 설정을 잘못해 없느니만 못한 상태로 구축되는 경우도 만만치 않게 흔하다는 게 엑스포스 팀의 지적이다. 이번 조사를 진행하며 엑스포스 팀은 고객 환경을 대상으로 모의 해킹 실험도 같이 진행했는데, 비밀번호와 보안 정책이 지켜지지 않는 상황을 100% 목격할 수 있었다고 설명을 덧붙였다. 보안 기본 사항을 지키는 곳이 단 한 곳도 없었다는 것이다.
“이게 대단히 절망적이면서도 동시에 희망적인 건 ‘충분히 고칠 수 있는 문제’이기 때문입니다. 기술적으로 난해하지 않고 비용도 크게 들지 않는 교육이나 인식 제고 훈련을 통해 개선이 될 수 있다는 측면에선 희망적이지만, 쉽게 고칠 수 있는 걸 아직도 고치지 못하고 있다는 측면에서는 절망적이라고 할 수 있습니다.” 드벡의 설명이다. “하지만 이런 상황들이 쌓이고 쌓여 클라우드 환경에 대한 신뢰도가 지지부진 높아지지 못하고 있다는 것은 확실히 문제이긴 합니다.”
드벡의 설명은 이어진다. “클라우드 환경에 대한 신뢰도가 높아지지 않으니 관리에 대한 부담감이 높아지고, 그에 따라 사람들을 만족시킬 도구들이 난무하게 되었죠. 그러면서 기술과 환경의 파편화가 심각해지고, 이는 다시 가시성 확보의 어려움을 야기하며, 결국 보안 강화의 난이도를 높입니다. 악순환이 심화되고 있는 겁니다. 그래서 그런지 지난 5년 동안 클라우드 환경에서 발견되는 취약점의 수가 150% 증가했습니다. 이 역시 클라우드 환경을 더 위험하게 만들죠.”
그러면서 드벡은 최근 공격자들은 클라우드용 멀웨어 개발에 열을 올리기 시작했다고 경고하기도 했다. “이는 매우 흥미로운 현상입니다. 크리덴셜을 훔쳐서 클라우드에 접속하는 시대가 지나 이제 클라우드 멀웨어의 시대가 오고 있습니다. 이미 수많은 클라우드용 멀웨어 패밀리들이 개발되고 있는 상황입니다. 클라우드의 컴퓨팅 파워를 이용한 암호화폐 채굴 멀웨어가 지금은 대표적인데, 앞으로 더 많은 종류들이 등장할 겁니다.”
드벡은 멀웨어 개발이 활발해지고 있는 것에 대해 “이제 사용자들이 클라우로부터 온프레미스로 회귀할 수 없다는 걸 공격자들이 받아들인 것으로 보인다”고 설명한다. “실제로 우리는 이제 클라우드 이전으로 되돌아갈 수 없죠. 공격자들도 그걸 아니까 멀웨어에 아낌없이 투자하는 겁니다. 크리덴셜 훔치는 것이 사실상 전부인 지금도 클라우드를 잘 지키지 못하는데, 멀웨어가 치고 들어오는 때라고 해서 갑자기 잘 지킬 수 있을까요? 클라우드 보안이 좀처럼 강력해지지 않는다는 건, 단순히 데이터를 넘어 우리의 미래가 송두리째 위험에 처해 있다는 뜻입니다.”
3줄 요약
1. 클라우드 시장에 대한 공격자들의 거센 투자가 눈에 띄는 요즘.
2. 클라우드 크리덴셜 사고파는 시장은 활발. 이젠 멀웨어 개발 투자까지.
3. 클라우드 환경으로 가는 흐름은 돌이킬 수 없다는 걸 아는 공격자들.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>