.jpg)
.gif)
클라우드를 안전하게 사용하는 데 있어서는 클라우드 업체와 사용자 모두 초보자들이다. 서로가 상대를 못 믿는 듯하고, 그 불신 사이에서 보안 취약점들이 자꾸만 발굴된다. 좀 더 적극적으로 보안을 제어할 수 있도록 하는 환경과 인식이 필요하다.
[보안뉴스 문가용 기자] 여러 애저 서비스에 영향을 줄 만한 취약점과, 이를 통한 공격 시나리오가 공개됐다. 이 취약점은 이모지디플로이(EmojiDeploy)라고 불리며, 익스플로잇에 성공할 경우 임의의 코드를 실행할 수도 있고, 민감한 데이터를 훔칠 수도 있으며, 애플리케이션을 침해할 수도 있게 된다고 한다. 이를 발견한 건 보안 업체 에르메틱(Ermetic)이다.
[이미지 = utoimage]
에르메틱의 연구 책임자인 이갈 고프만(Igal Gofman)은 “클라우드의 기저에서 일어나는 일들에 대해서 우리는 가시성을 확보하기 힘들고, 이것이 꽤나 큰 보안 사건으로 이어질 수 있다는 걸 경계해야 한다”고 설명한다. “다시 말해 클라우드 업체에서 제공하는 디폴트 옵션과 설정을 있는 그대로 신뢰해서는 안 된다는 겁니다. 클라우드 업체가 하는 모든 일들이 전부 안전할 수는 없습니다. 클라우드 업체들이 천문학적인 돈을 보안에 쏟아붓는 게 사실이지만, 100% 완벽하기란 불가능합니다.”
애저를 비롯해 여러 클라우드 생태계에서는 최근 연이어 위험한 취약점들이 발견되고 있다. 2022년 10월에는 아틀라시안(Atlassian)의 지라얼라인(Jira Align)에서 두 개의 취약점들이 발견됐다. 공격자들이 몇 가지 아틀라시안 서비스를 공격할 수 있게 해 주는 취약점인 것으로 분석됐다. 2022년 1월에는 아마존에서 AWS의 보안 취약점 2개를 패치했는데, 이 취약점들을 익스플로잇 하는 데 성공하면 다른 AWS 사용자의 클라우드에 접속할 수 있었다고 한다.
“클라우드 시스템은 대단히 복잡하게 구성되어 있습니다. 클라우드의 복잡함을 인지하고 있는 것이 클라우드 보안의 첫 걸음입니다. 인터페이스의 편리함이나 서비스의 연계성 때문에 사용하기 간편하다고 해서 클라우드가 단순한 것은 절대 아닙니다.” 고프만의 설명이다.
소스코드 관리 익스플로잇
에르메틱이 이번에 발견한 취약점은 소스코드관리자(Source Code Manager, SCM)의 특정 쿠키 설정 문제로 인해 발생하는 것이라고 한다. 애저 서비스는 두 개의 보안 제어 옵션을 설정해 두는데(XSS 차단, XSRF 차단), 디폴트 옵션이 그리 단단하지 않다고 에르메틱은 설명한다. “그래서 애저 사용자들 중 애저 앱 서비스(Azure App Service), 애저 펑션즈(Azure Functions), 애저 로직 앱스(Azure Logic Apps) 서비스를 사용하는 사람들이 특히 영향을 받을 수 있습니다.”
고프만이 언급한 세 가지 애저 서비스는 애저 생태계에서 가장 많은 사람들이 사용하는 것들이다. “그런데 이 세 가지 서비스들 모두가 소스코드관리자 패널을 사용해 개발 팀과 웹 팀들이 애저 애플리케이션을 관리할 수 있도록 해 준다는 공통점을 가지고 있습니다. 이 SCM이라는 것은 오픈소스 쿠두(Kudu) 리포지터리 관리 프로젝트에 대한 의존도가 높은 요소입니다. 쿠두는 닷넷(.NET) 기반 프레임워크로 깃(Git)과 비슷합니다. 여기에 있는 XSS 취약점은 애저 SCM에도 영향을 줍니다.”
그렇기에 쿠두와 SCM까지 단단히 보호해야 애저 서비스들이 안전해지는데, 여기까지 도달하는 것이 그리 쉬운 일이 아니라 문제다. “이런 원 소스과 설정 관련 내용들은 아무나 쉽게 찾을 수 있는 게 아닙니다. 애저 서비스를 이용하는 고객들 중에 SCM 패널까지 잘 이해하고 있는 사람은 드물지요.”
이 SCM에서의 취약점만이 아니다. 특수하게 조작된 URL을 사용하면 애저 서비스의 쿠키 보안 설정도 회피할 수 있게 되는 것도 문제다. “이번에 취약점을 연구하다가 알아낸 것인데, 웹사이트 내에서 로딩되는 요소들이 전부 같은 출처를 가지고 있는지 확인하는 보안 기능을 특정 URL 주소로 우회할 수 있습니다. 쿠키 보안 설정과 관련된 문제이고, 위에서 언급한 SCM 취약점과 이 URL 취약점을 결합하면 ‘교차 출처 공격(cross-origin attack)’이 가능하게 됩니다.”
공유된 책임과 설정의 투명성
고프만은 “이번에 발견된 취약점들이 시사하는 건 클라우드의 보안 장치들이 너무 숨어 있어서 활용하기도 어렵고, 디폴트 설정을 그대로 믿을 수도 없다는 것”이라고 설명한다. “클라우드 보안에 있어서 가장 중요한 덕목은 ‘공유된 책임’입니다. 수년 동안 강조되어 온 것이죠. 하지만 여전히 실제 현장에서 고객들은 클라우드 업체에 모든 것을 맡기고, 클라우드 업체는 보안 장치를 투명하지 않게 운영하죠.”
그러면서 고프만은 “디폴트 설정이라는 게 존재하고, 거기에는 한계가 있다는 걸 기억해야 한다”고 강조한다. “고객 입장에서는 클라우드 업체들이 숨겨 둔 보안 장치들을 하나하나 물어서 알아가고 익숙하게 사용해 볼 수 있어야 합니다. 또 한 편으로는 클라우드 자원에 대한 접속 권한을 최대한 엄격하게 제어해야 하고요. 누구에게나 꼭 필요한 만큼의 권한만을 제공한다는 원칙을 고수하는 게 중요합니다.”
에르메틱은 이 문제를 10월에 발견해 MS에 제공했고, MS는 12월 애저 전체에 패치를 적용했다고 한다. 그리고 한 달이 지난 후에 취약점에 대한 내용이 발표된 것이다. “클라우드 보안에 대해서는 아직 서비스 제공자와 사용자 모두가 더 담당해야 할 것들이 있습니다. 개선해야 할 것들도 많고요. 그러기 전까지는 클라우드 사용자들이 권한 관리를 보다 철저히 하는 게 가장 안전한 길입니다.”
3줄 요약
1. 애저 생태계에서 지난 10월 중요한 취약점 하나가 발견됨.
2. 애저 기저에 있는 쿠두 오픈소스 요소와 느슨한 디폴트 설정이 문제의 근원.
3. 클라우드 보안 장치가 친절하게 공개되어 있지 않고, 사용자는 보안을 클라우드에만 맡기는 게 문제.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 여러 애저 서비스에 영향을 줄 만한 취약점과, 이를 통한 공격 시나리오가 공개됐다. 이 취약점은 이모지디플로이(EmojiDeploy)라고 불리며, 익스플로잇에 성공할 경우 임의의 코드를 실행할 수도 있고, 민감한 데이터를 훔칠 수도 있으며, 애플리케이션을 침해할 수도 있게 된다고 한다. 이를 발견한 건 보안 업체 에르메틱(Ermetic)이다.
[이미지 = utoimage]
에르메틱의 연구 책임자인 이갈 고프만(Igal Gofman)은 “클라우드의 기저에서 일어나는 일들에 대해서 우리는 가시성을 확보하기 힘들고, 이것이 꽤나 큰 보안 사건으로 이어질 수 있다는 걸 경계해야 한다”고 설명한다. “다시 말해 클라우드 업체에서 제공하는 디폴트 옵션과 설정을 있는 그대로 신뢰해서는 안 된다는 겁니다. 클라우드 업체가 하는 모든 일들이 전부 안전할 수는 없습니다. 클라우드 업체들이 천문학적인 돈을 보안에 쏟아붓는 게 사실이지만, 100% 완벽하기란 불가능합니다.”
애저를 비롯해 여러 클라우드 생태계에서는 최근 연이어 위험한 취약점들이 발견되고 있다. 2022년 10월에는 아틀라시안(Atlassian)의 지라얼라인(Jira Align)에서 두 개의 취약점들이 발견됐다. 공격자들이 몇 가지 아틀라시안 서비스를 공격할 수 있게 해 주는 취약점인 것으로 분석됐다. 2022년 1월에는 아마존에서 AWS의 보안 취약점 2개를 패치했는데, 이 취약점들을 익스플로잇 하는 데 성공하면 다른 AWS 사용자의 클라우드에 접속할 수 있었다고 한다.
“클라우드 시스템은 대단히 복잡하게 구성되어 있습니다. 클라우드의 복잡함을 인지하고 있는 것이 클라우드 보안의 첫 걸음입니다. 인터페이스의 편리함이나 서비스의 연계성 때문에 사용하기 간편하다고 해서 클라우드가 단순한 것은 절대 아닙니다.” 고프만의 설명이다.
소스코드 관리 익스플로잇
에르메틱이 이번에 발견한 취약점은 소스코드관리자(Source Code Manager, SCM)의 특정 쿠키 설정 문제로 인해 발생하는 것이라고 한다. 애저 서비스는 두 개의 보안 제어 옵션을 설정해 두는데(XSS 차단, XSRF 차단), 디폴트 옵션이 그리 단단하지 않다고 에르메틱은 설명한다. “그래서 애저 사용자들 중 애저 앱 서비스(Azure App Service), 애저 펑션즈(Azure Functions), 애저 로직 앱스(Azure Logic Apps) 서비스를 사용하는 사람들이 특히 영향을 받을 수 있습니다.”
고프만이 언급한 세 가지 애저 서비스는 애저 생태계에서 가장 많은 사람들이 사용하는 것들이다. “그런데 이 세 가지 서비스들 모두가 소스코드관리자 패널을 사용해 개발 팀과 웹 팀들이 애저 애플리케이션을 관리할 수 있도록 해 준다는 공통점을 가지고 있습니다. 이 SCM이라는 것은 오픈소스 쿠두(Kudu) 리포지터리 관리 프로젝트에 대한 의존도가 높은 요소입니다. 쿠두는 닷넷(.NET) 기반 프레임워크로 깃(Git)과 비슷합니다. 여기에 있는 XSS 취약점은 애저 SCM에도 영향을 줍니다.”
그렇기에 쿠두와 SCM까지 단단히 보호해야 애저 서비스들이 안전해지는데, 여기까지 도달하는 것이 그리 쉬운 일이 아니라 문제다. “이런 원 소스과 설정 관련 내용들은 아무나 쉽게 찾을 수 있는 게 아닙니다. 애저 서비스를 이용하는 고객들 중에 SCM 패널까지 잘 이해하고 있는 사람은 드물지요.”
이 SCM에서의 취약점만이 아니다. 특수하게 조작된 URL을 사용하면 애저 서비스의 쿠키 보안 설정도 회피할 수 있게 되는 것도 문제다. “이번에 취약점을 연구하다가 알아낸 것인데, 웹사이트 내에서 로딩되는 요소들이 전부 같은 출처를 가지고 있는지 확인하는 보안 기능을 특정 URL 주소로 우회할 수 있습니다. 쿠키 보안 설정과 관련된 문제이고, 위에서 언급한 SCM 취약점과 이 URL 취약점을 결합하면 ‘교차 출처 공격(cross-origin attack)’이 가능하게 됩니다.”
공유된 책임과 설정의 투명성
고프만은 “이번에 발견된 취약점들이 시사하는 건 클라우드의 보안 장치들이 너무 숨어 있어서 활용하기도 어렵고, 디폴트 설정을 그대로 믿을 수도 없다는 것”이라고 설명한다. “클라우드 보안에 있어서 가장 중요한 덕목은 ‘공유된 책임’입니다. 수년 동안 강조되어 온 것이죠. 하지만 여전히 실제 현장에서 고객들은 클라우드 업체에 모든 것을 맡기고, 클라우드 업체는 보안 장치를 투명하지 않게 운영하죠.”
그러면서 고프만은 “디폴트 설정이라는 게 존재하고, 거기에는 한계가 있다는 걸 기억해야 한다”고 강조한다. “고객 입장에서는 클라우드 업체들이 숨겨 둔 보안 장치들을 하나하나 물어서 알아가고 익숙하게 사용해 볼 수 있어야 합니다. 또 한 편으로는 클라우드 자원에 대한 접속 권한을 최대한 엄격하게 제어해야 하고요. 누구에게나 꼭 필요한 만큼의 권한만을 제공한다는 원칙을 고수하는 게 중요합니다.”
에르메틱은 이 문제를 10월에 발견해 MS에 제공했고, MS는 12월 애저 전체에 패치를 적용했다고 한다. 그리고 한 달이 지난 후에 취약점에 대한 내용이 발표된 것이다. “클라우드 보안에 대해서는 아직 서비스 제공자와 사용자 모두가 더 담당해야 할 것들이 있습니다. 개선해야 할 것들도 많고요. 그러기 전까지는 클라우드 사용자들이 권한 관리를 보다 철저히 하는 게 가장 안전한 길입니다.”
3줄 요약
1. 애저 생태계에서 지난 10월 중요한 취약점 하나가 발견됨.
2. 애저 기저에 있는 쿠두 오픈소스 요소와 느슨한 디폴트 설정이 문제의 근원.
3. 클라우드 보안 장치가 친절하게 공개되어 있지 않고, 사용자는 보안을 클라우드에만 맡기는 게 문제.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)