소프트웨어 공급망 공격이 큰 문제로 떠오르고 있다. 현재 공격자들은 도커라는 생태계에서 주로 소프트웨어 공급망 공격을 실시하고 있으며, 그 목적은 대부분 암호화폐 채굴인 것으로 조사됐다. 심지어 피해자가 어떤 피해를 입는지도 비교적 상세히 계산된 보고서가 나왔다.
[보안뉴스 문가용 기자] 이른 바 ‘클라우드 네이티브’라고 하는 인프라를 겨냥한 위협들이 꾸준히 증가하는 추세다. 특히 클라우드와 컨테이너 자원들을 활용해 암호화폐를 채굴하는 데에 공격자들은 꽤나 열심이다. 공격자들이 클라우드와 컨테이너 자원들을 몰래 사용해 1달러어치의 암호화폐를 채굴할 때마다 피해자(즉 원 클라우드/컨테이너 사용자)는 약 50달러의 손해를 본다는 계산도 나왔을 정도다.
[이미지 = utoimage]
이런 계산 결과가 나온 보고서를 작성해 발표한 건 IT 분석 업체 시스딕(Sysdig)이다. 보고서를 통해 시스딕은 공격자들이 뚫어봄직한 클라우드라면 닥치는 대로 침투하는 게 아니라 전략적으로 접근한다고 강조하기도 했다. 이 보고서의 이름은 ‘2022년 클라우드 네이티브 위협 보고서(2022 Cloud-Native Threat Report)’이다.
“흔히 소프트웨어 공급망 공격이라고 하면 소프트웨어의 소스코드들끼리 얽히고 설켜 복잡하게 의존하고 있는 상태(즉, 소프트웨어 디펜던시)를 공략하는 것으로 생각합니다. 물론 맞는 생각입니다. 하지만 그것만이 아닙니다. 공격자들은 악성 컨테이너 이미지를 꽤나 영리하게 컨테이너 환경에 퍼트리고, 이를 통해 암호화폐를 채굴합니다. 현 시점에서 소프트웨어 공급망 공격의 대부분은 암호화폐 채굴을 궁극적 목적으로 한다고 볼 수 있습니다.” 보고서에 나온 설명이다.
암호화폐 채굴 멀웨어를 퍼트리기 위해 공격자들이 현재 가장 많이 하는 건 개발자 커뮤니티에 섞여 들어가 자신들이 만든 채굴 코드를 풀어놓는 것이다. 미리 악성 컨테이너 이미지를 만들고, 이를 독커허브(Docker Hub)와 같은 컨테이너 레지스트리에 슬쩍 올려놓아 개발자들이 가져가도록 하는 것이 대표적인 공격 방법이다.
컨테이너 이미지에는 워크로드를 구축하고 활성화하기 쉽게 필요한 모든 소프트웨어가 미리 설치되어 있고 설정까지 완료되어 있다. 그렇기 때문에 개발자들 입장에서 시간을 아끼는 데에 큰 도움이 된다. 반대로 공격자가 미리 필요한 소프트웨어를 설치하고 환경까지 구축함으로써 자신들이 원하는 대로 악성 페이로드를 준비할 수 있다는 뜻도 된다. 정성껏 이미지를 준비하고 레지스트리에 올려두면 어느 날 개발자가 이 컨테이너를 가져다가 개발을 한다. 그러면 그 개발자의 컴퓨터 자원을 통해 암호화폐가 채굴된다. 참고로 도커허브의 다운로드와 설치 과정은 투명하게 공개되지 않는다. 그래서 공격자들의 악성 행위가 잘 드러나지 않는다.
그래서 시스딕은 “컨테이너 이미지를 공격 통로로 활용하는 건 더 이상 이론적인 이야기가 아니라 실제 우리의 사이버 공간에서 지금도 일어나고 있는 일”이라고 말한다. 시스딕의 연구원들은 한 달 동안 전 세계 사용자들이 도커허브에 업로드 한 공공 컨테이너 이미지들을 꼼꼼하게 검사하여 악성 인스턴스들을 찾았고, 그 결과 1600개 이상의 이미지에서 암호화폐 채굴 코드, 백도어 등 여러 멀웨어들을 발견할 수 있었다. 암호화폐 채굴 멀웨어가 전체의 36%를 차지해 압도적으로 많음을 확인할 수 있었다고 한다.
시스딕의 수석 보안 연구원인 스테파노 치에리시(Stefano Chierici)는 “컨테이너 기술은 너무 최근에 나왔기 때문에 아직 공격자들이 손을 대지 못한다고 생각하는 사람들이 많은데, 이는 이제 환상에 불과하다”고 강조한다. “지금도 공격자들은 클라우드와 컨테이너 안에 있어요. 그리고 지금도 진짜 돈을 빼가고 있고요. 우리만 그들이 없겠거니 하고 마음 놓고 있는 겁니다. 아무런 근거도 없는 믿음이 공격자들의 배만 불리고 있다는 겁니다.”
팀TNT와 키메라
시스딕은 단순 악성 컨테이너를 적발하는 것에서 연구를 끝내지 않았다. 공격자들이 어떠한 전략과 전술을 활용해 악성 이미지를 퍼트리고 피해를 입히는지를 분석했다. 특히 팀TNT(TeamTNT)라는 공격 단체의 뒤를 바짝 추격했다고 한다. 이 팀TNT는 2019년부터 활동해 온 해킹 단체로 현재까지 1만 개가 넘는 클라우드와 컨테이너를 침해한 것으로 알려져 있다. 팀TNT가 가장 활발히 활동했을 때 벌였던 암호화폐 채굴 캠페인의 이름은 키메라(Chimera)다.
“팀TNT는 지금까지도 계속해서 자신들의 공격 스크립트와 전략을 가다듬고 있습니다. 최신 기술이라고 하는 클라우드와 컨테이너를 공략할 줄 알게 된 게 우연이 아니라는 겁니다. 현재 이들은 AWS 클라우드 메타데이터(AWS Cloud Metadata)라는 서비스에 자신들의 스크립트들을 연결시켜 아마존 EC2 인스턴스의 크리덴셜들을 공격에 활용하기도 합니다. 다양한 자원에 손을 뻗침으로써 채굴을 보다 활발히 할 수 있게 되는 겁니다.”
시스딕이 추적한 바에 의하면 팀TNT는 자신들이 공격에 활용하는 크리덴셜을 통해 더 많은 EC2 인스턴스들을 만들어낸다고 한다. EC2 인스턴스들이 증가하면 할수록 암호화폐를 보다 원활하고 빠르게 할 수 있게 되며, 따라서 수익도 늘어난다는 게 시스딕의 설명이다. “이들은 클라우드 환경을 아주 잘 이해하고 있습니다.”
시스딕은 팀TNT가 사용하는 암호화폐 지갑들 여러 개를 추적하기도 했다. 그리고 그들이 어느 정도의 비율로, 어떤 규모의 수익을 올리는지를 계산했다. 그 결과 단일 AWS EC2 인스턴스로부터 평균 11,000달러의 피해를 사용자로부터 입히고 있었음을 알 수 있었다. “조사를 통해 알아낸 여러 다른 숫자들을 대입하면 공격자들이 피해자의 클라우드 자원으로 1달러를 벌 때마다 피해자는 클라우드 업체에 53달러를 낸다는 계산이 나옵니다. 전기세나 다른 기타 비용은 포함되지 않은 금액이 그 정도입니다.”
3줄 요약
1. 현 소프트웨어 공급망 공격 대부분은 암호화폐 채굴을 위해 진행됨.
2. 특히 악성 컨테이너 이미지를 만들어 도커허브를 통해 유포하는 전략이 유행 중.
3. 클라우드 자원으로 1달러를 채굴할 때마다 피해자는 클라우드 비용 50달러 이상을 지급.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 이른 바 ‘클라우드 네이티브’라고 하는 인프라를 겨냥한 위협들이 꾸준히 증가하는 추세다. 특히 클라우드와 컨테이너 자원들을 활용해 암호화폐를 채굴하는 데에 공격자들은 꽤나 열심이다. 공격자들이 클라우드와 컨테이너 자원들을 몰래 사용해 1달러어치의 암호화폐를 채굴할 때마다 피해자(즉 원 클라우드/컨테이너 사용자)는 약 50달러의 손해를 본다는 계산도 나왔을 정도다.
[이미지 = utoimage]
이런 계산 결과가 나온 보고서를 작성해 발표한 건 IT 분석 업체 시스딕(Sysdig)이다. 보고서를 통해 시스딕은 공격자들이 뚫어봄직한 클라우드라면 닥치는 대로 침투하는 게 아니라 전략적으로 접근한다고 강조하기도 했다. 이 보고서의 이름은 ‘2022년 클라우드 네이티브 위협 보고서(2022 Cloud-Native Threat Report)’이다.
“흔히 소프트웨어 공급망 공격이라고 하면 소프트웨어의 소스코드들끼리 얽히고 설켜 복잡하게 의존하고 있는 상태(즉, 소프트웨어 디펜던시)를 공략하는 것으로 생각합니다. 물론 맞는 생각입니다. 하지만 그것만이 아닙니다. 공격자들은 악성 컨테이너 이미지를 꽤나 영리하게 컨테이너 환경에 퍼트리고, 이를 통해 암호화폐를 채굴합니다. 현 시점에서 소프트웨어 공급망 공격의 대부분은 암호화폐 채굴을 궁극적 목적으로 한다고 볼 수 있습니다.” 보고서에 나온 설명이다.
암호화폐 채굴 멀웨어를 퍼트리기 위해 공격자들이 현재 가장 많이 하는 건 개발자 커뮤니티에 섞여 들어가 자신들이 만든 채굴 코드를 풀어놓는 것이다. 미리 악성 컨테이너 이미지를 만들고, 이를 독커허브(Docker Hub)와 같은 컨테이너 레지스트리에 슬쩍 올려놓아 개발자들이 가져가도록 하는 것이 대표적인 공격 방법이다.
컨테이너 이미지에는 워크로드를 구축하고 활성화하기 쉽게 필요한 모든 소프트웨어가 미리 설치되어 있고 설정까지 완료되어 있다. 그렇기 때문에 개발자들 입장에서 시간을 아끼는 데에 큰 도움이 된다. 반대로 공격자가 미리 필요한 소프트웨어를 설치하고 환경까지 구축함으로써 자신들이 원하는 대로 악성 페이로드를 준비할 수 있다는 뜻도 된다. 정성껏 이미지를 준비하고 레지스트리에 올려두면 어느 날 개발자가 이 컨테이너를 가져다가 개발을 한다. 그러면 그 개발자의 컴퓨터 자원을 통해 암호화폐가 채굴된다. 참고로 도커허브의 다운로드와 설치 과정은 투명하게 공개되지 않는다. 그래서 공격자들의 악성 행위가 잘 드러나지 않는다.
그래서 시스딕은 “컨테이너 이미지를 공격 통로로 활용하는 건 더 이상 이론적인 이야기가 아니라 실제 우리의 사이버 공간에서 지금도 일어나고 있는 일”이라고 말한다. 시스딕의 연구원들은 한 달 동안 전 세계 사용자들이 도커허브에 업로드 한 공공 컨테이너 이미지들을 꼼꼼하게 검사하여 악성 인스턴스들을 찾았고, 그 결과 1600개 이상의 이미지에서 암호화폐 채굴 코드, 백도어 등 여러 멀웨어들을 발견할 수 있었다. 암호화폐 채굴 멀웨어가 전체의 36%를 차지해 압도적으로 많음을 확인할 수 있었다고 한다.
시스딕의 수석 보안 연구원인 스테파노 치에리시(Stefano Chierici)는 “컨테이너 기술은 너무 최근에 나왔기 때문에 아직 공격자들이 손을 대지 못한다고 생각하는 사람들이 많은데, 이는 이제 환상에 불과하다”고 강조한다. “지금도 공격자들은 클라우드와 컨테이너 안에 있어요. 그리고 지금도 진짜 돈을 빼가고 있고요. 우리만 그들이 없겠거니 하고 마음 놓고 있는 겁니다. 아무런 근거도 없는 믿음이 공격자들의 배만 불리고 있다는 겁니다.”
팀TNT와 키메라
시스딕은 단순 악성 컨테이너를 적발하는 것에서 연구를 끝내지 않았다. 공격자들이 어떠한 전략과 전술을 활용해 악성 이미지를 퍼트리고 피해를 입히는지를 분석했다. 특히 팀TNT(TeamTNT)라는 공격 단체의 뒤를 바짝 추격했다고 한다. 이 팀TNT는 2019년부터 활동해 온 해킹 단체로 현재까지 1만 개가 넘는 클라우드와 컨테이너를 침해한 것으로 알려져 있다. 팀TNT가 가장 활발히 활동했을 때 벌였던 암호화폐 채굴 캠페인의 이름은 키메라(Chimera)다.
“팀TNT는 지금까지도 계속해서 자신들의 공격 스크립트와 전략을 가다듬고 있습니다. 최신 기술이라고 하는 클라우드와 컨테이너를 공략할 줄 알게 된 게 우연이 아니라는 겁니다. 현재 이들은 AWS 클라우드 메타데이터(AWS Cloud Metadata)라는 서비스에 자신들의 스크립트들을 연결시켜 아마존 EC2 인스턴스의 크리덴셜들을 공격에 활용하기도 합니다. 다양한 자원에 손을 뻗침으로써 채굴을 보다 활발히 할 수 있게 되는 겁니다.”
시스딕이 추적한 바에 의하면 팀TNT는 자신들이 공격에 활용하는 크리덴셜을 통해 더 많은 EC2 인스턴스들을 만들어낸다고 한다. EC2 인스턴스들이 증가하면 할수록 암호화폐를 보다 원활하고 빠르게 할 수 있게 되며, 따라서 수익도 늘어난다는 게 시스딕의 설명이다. “이들은 클라우드 환경을 아주 잘 이해하고 있습니다.”
시스딕은 팀TNT가 사용하는 암호화폐 지갑들 여러 개를 추적하기도 했다. 그리고 그들이 어느 정도의 비율로, 어떤 규모의 수익을 올리는지를 계산했다. 그 결과 단일 AWS EC2 인스턴스로부터 평균 11,000달러의 피해를 사용자로부터 입히고 있었음을 알 수 있었다. “조사를 통해 알아낸 여러 다른 숫자들을 대입하면 공격자들이 피해자의 클라우드 자원으로 1달러를 벌 때마다 피해자는 클라우드 업체에 53달러를 낸다는 계산이 나옵니다. 전기세나 다른 기타 비용은 포함되지 않은 금액이 그 정도입니다.”
3줄 요약
1. 현 소프트웨어 공급망 공격 대부분은 암호화폐 채굴을 위해 진행됨.
2. 특히 악성 컨테이너 이미지를 만들어 도커허브를 통해 유포하는 전략이 유행 중.
3. 클라우드 자원으로 1달러를 채굴할 때마다 피해자는 클라우드 비용 50달러 이상을 지급.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
