클라우드 스토리지에 누가 어떤 목적으로 언제 어떻게 접근했는지 등이 기록으로 남아 있어야 나중에 사건이 발생하면 조사하기가 쉽다. ‘0월 0일 0시에 접근됨’이라는 기록 하나만으로는 큰 도움이 되지 않는다. 그런데 구글에서 그렇게 하고 있다는 고발이 나왔다.
[보안뉴스 문가용 기자] 대형 클라우드 플랫폼인 구글 클라우드가 침해 사고 후 진행되는 포렌식 수사나 각종 분석에 필요한 데이터를 제대로 로깅하지 않고 있다는 분석 보고서가 발표됐다. 클라우드 보안 업체 미티가(Mitiga)가 발표한 보고서에 의하면 구글 클라우드 플랫폼에는 사용자들이 스토리지 접근 로그를 활성화시킬 수 있긴 하지만, 그렇다고 하더라도 실제 침해 사고가 발생했을 때 데이터의 세부 사항이 너무나 부실해서 사실상 쓸 수가 없을 정도라고 한다.
[이미지 = utoimage]
클라우드 데이터 저장소에 대한 접근 기록은 데이터 침해 사고가 발생했을 때 수사에 반드시 필요한 자료가 된다. 하지만 ‘접근 기록’이 좋은 자료가 되려면 세부 내용이 풍부하게 포함되어 있어야 한다. “누가 접근했는지, 접근해서 파일을 열람했는지 아니면 다운로드 했는지, 언제 이런 일이 일어났으며, 요청이 전송된 곳은 어디인지 등 여러 정보들이 있어야 분석가들이 사건에 대한 맥락을 보다 깊이 있게 알아낼 수 있습니다.” 미티가의 사건 대응 조사 전문가인 베로니카 마리노프(Veronica Marinov)의 설명이다.
“구글 클라우드 스토리지는 이벤트에 대한 로그를 유지하긴 합니다만 필요한 세부 내용들이 빠져 있습니다. 예를 들어 객체들이 다운로드 된 건지, 그냥 열람만 된 건지도 구분이 가지 않습니다. 일부 메타데이터만 제한적으로 보일 뿐입니다.”
기업들이 클라우드로 인프라를 옮기면 공격자들도 따라붙는다. 일반적인 온프레미스 기업 망을 공격하다가 클라우드 크리덴셜을 확보해 자연스럽게 클라우드로 접속하여 민감한 데이터를 가져가는 일은 점점 빈번해지고 있다. 이런 상황에서 누가 어떻게 왜 어떤 목적으로 언제 클라우드 데이터에 접근했다는 걸 구체적으로 알지 못하면 사건에 대해 파악하는 게 점점 힘들어질 수밖에 없다.
보안 업체 크라우드스트라이크(CrowdStrike)가 얼마 전 발표한 ‘세계위협보고서(Global Threat Report)’에 의하면 “클라우드 익스플로잇 사고들이 2022년 한 해 동안 95% 증가했다”고 하는데, “이는 클라우드 환경을 공격하는 기법이 다양화 되고 있기 때문”이라고 한다. 크라우드스트라이크의 아담 메이어스(Adam Meyers)는 “클라우드에 더 많은 자산이 저장되고 더 많은 사건이 벌어질수록 기업들은 클라우드 가시성을 더 깊이 고민해야 한다”고 강조한다. “가시성 제공은 클라우드 서비스를 제공하는 측에서부터 고민해야 하는 것이기도 합니다.”
로그, 디테일이 생명
가시성이란, 발생한 사건에 대한 적절한 정보와 데이터가 확보되느냐의 문제라고도 볼 수 있다. 즉 로그를 세부적으로 남기는 시스템이 뒷받침 되어 주어야 한다는 뜻이다. 사건이 발생하고 나서 진행되는 포렌식 작업의 경우 로그에 대한 의존도가 매우 높다. 조사 인력이 사건 장소에 도착해서 제일 먼저 확보하려 하는 게 로그다. 이 로그를 분석하여 무슨 일이 벌어진 것인지 파악하고, 어떤 데이터가 위험에 처했으며, 조직이 앞으로 어떤 일을 겪게 될 것인지를 예측한다.
물론 공격자들이 이를 모르지 않는다. 그래서 클라우드 환경으로 침투하는 데 성공한 공격자들은 대다수가 먼저 로깅 기능부터 끈다. 포렌식 전문가들 입장에서 로그 없이 조사를 실시하는 게 그리 드문 일도 아니다. “하지만 클라우드의 로그 기능을 비활성화시키는 걸 깜빡 잊는 경우도 적지 않고, 그런 상황에서라면 상세 로그 기록이 포렌식을 얼마나 쉽고 정확하게 만들어주는지 모릅니다. 클라우드 서비스가 부실하게 로그를 하는 건 모든 경우의 포렌식을 불가능하게 만드는 것이나 다름이 없습니다.”
미티가는 “구글 클라우드 플랫폼에서 제공하는 로그는 가시성을 확보해 주기는커녕 아예 조직의 눈을 멀게 만든다”고까지 표현한다. “그렇기 때문에 데이터 침해 공격이 발생할 때 효과적으로 조사할 수가 없게 됩니다. 대응도 느려지고, 피해가 괜시리 커지게 되죠. 사건에 대한 정확한 평가도 할 수 없고, 따라서 파생되는 리스크에 대해서도 예측이 어려워집니다.”
구글 클라우드 측은 해당 문제를 인지하며 “가시성 부족 문제가 플랫폼 자체의 보안을 약화시킨다고 보지는 않는다”고 강조했다. 로그가 자세하든 아니든, 여전히 클라우드 클라우드 플랫폼을 통해 데이터 침해가 발생할 가능성은 없으며, 따라서 부실한 로그와 관련된 문제는 취약점이라고 볼 수 없다는 입장을 견지했다. 하지만 이번에 지적된 대로 포렌식 조사에 쓸만한 로그가 남겨지도록 하는 방안을 적극적으로 검토해 보겠다고 덧붙이기는 했다.
3줄 요약
1. 대형 클라우드 플랫폼 구글 클라우드, 로그를 남기긴 하지만 세부 내용 부족.
2. 로그를 부실하게 남기기 때문에 포렌식 진행 시 애로사항이 적지 않음.
3. 구글은 클라우드 인프라 자체가 안전하기 때문에 별 문제 없다는 입장.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 대형 클라우드 플랫폼인 구글 클라우드가 침해 사고 후 진행되는 포렌식 수사나 각종 분석에 필요한 데이터를 제대로 로깅하지 않고 있다는 분석 보고서가 발표됐다. 클라우드 보안 업체 미티가(Mitiga)가 발표한 보고서에 의하면 구글 클라우드 플랫폼에는 사용자들이 스토리지 접근 로그를 활성화시킬 수 있긴 하지만, 그렇다고 하더라도 실제 침해 사고가 발생했을 때 데이터의 세부 사항이 너무나 부실해서 사실상 쓸 수가 없을 정도라고 한다.
[이미지 = utoimage]
클라우드 데이터 저장소에 대한 접근 기록은 데이터 침해 사고가 발생했을 때 수사에 반드시 필요한 자료가 된다. 하지만 ‘접근 기록’이 좋은 자료가 되려면 세부 내용이 풍부하게 포함되어 있어야 한다. “누가 접근했는지, 접근해서 파일을 열람했는지 아니면 다운로드 했는지, 언제 이런 일이 일어났으며, 요청이 전송된 곳은 어디인지 등 여러 정보들이 있어야 분석가들이 사건에 대한 맥락을 보다 깊이 있게 알아낼 수 있습니다.” 미티가의 사건 대응 조사 전문가인 베로니카 마리노프(Veronica Marinov)의 설명이다.
“구글 클라우드 스토리지는 이벤트에 대한 로그를 유지하긴 합니다만 필요한 세부 내용들이 빠져 있습니다. 예를 들어 객체들이 다운로드 된 건지, 그냥 열람만 된 건지도 구분이 가지 않습니다. 일부 메타데이터만 제한적으로 보일 뿐입니다.”
기업들이 클라우드로 인프라를 옮기면 공격자들도 따라붙는다. 일반적인 온프레미스 기업 망을 공격하다가 클라우드 크리덴셜을 확보해 자연스럽게 클라우드로 접속하여 민감한 데이터를 가져가는 일은 점점 빈번해지고 있다. 이런 상황에서 누가 어떻게 왜 어떤 목적으로 언제 클라우드 데이터에 접근했다는 걸 구체적으로 알지 못하면 사건에 대해 파악하는 게 점점 힘들어질 수밖에 없다.
보안 업체 크라우드스트라이크(CrowdStrike)가 얼마 전 발표한 ‘세계위협보고서(Global Threat Report)’에 의하면 “클라우드 익스플로잇 사고들이 2022년 한 해 동안 95% 증가했다”고 하는데, “이는 클라우드 환경을 공격하는 기법이 다양화 되고 있기 때문”이라고 한다. 크라우드스트라이크의 아담 메이어스(Adam Meyers)는 “클라우드에 더 많은 자산이 저장되고 더 많은 사건이 벌어질수록 기업들은 클라우드 가시성을 더 깊이 고민해야 한다”고 강조한다. “가시성 제공은 클라우드 서비스를 제공하는 측에서부터 고민해야 하는 것이기도 합니다.”
로그, 디테일이 생명
가시성이란, 발생한 사건에 대한 적절한 정보와 데이터가 확보되느냐의 문제라고도 볼 수 있다. 즉 로그를 세부적으로 남기는 시스템이 뒷받침 되어 주어야 한다는 뜻이다. 사건이 발생하고 나서 진행되는 포렌식 작업의 경우 로그에 대한 의존도가 매우 높다. 조사 인력이 사건 장소에 도착해서 제일 먼저 확보하려 하는 게 로그다. 이 로그를 분석하여 무슨 일이 벌어진 것인지 파악하고, 어떤 데이터가 위험에 처했으며, 조직이 앞으로 어떤 일을 겪게 될 것인지를 예측한다.
물론 공격자들이 이를 모르지 않는다. 그래서 클라우드 환경으로 침투하는 데 성공한 공격자들은 대다수가 먼저 로깅 기능부터 끈다. 포렌식 전문가들 입장에서 로그 없이 조사를 실시하는 게 그리 드문 일도 아니다. “하지만 클라우드의 로그 기능을 비활성화시키는 걸 깜빡 잊는 경우도 적지 않고, 그런 상황에서라면 상세 로그 기록이 포렌식을 얼마나 쉽고 정확하게 만들어주는지 모릅니다. 클라우드 서비스가 부실하게 로그를 하는 건 모든 경우의 포렌식을 불가능하게 만드는 것이나 다름이 없습니다.”
미티가는 “구글 클라우드 플랫폼에서 제공하는 로그는 가시성을 확보해 주기는커녕 아예 조직의 눈을 멀게 만든다”고까지 표현한다. “그렇기 때문에 데이터 침해 공격이 발생할 때 효과적으로 조사할 수가 없게 됩니다. 대응도 느려지고, 피해가 괜시리 커지게 되죠. 사건에 대한 정확한 평가도 할 수 없고, 따라서 파생되는 리스크에 대해서도 예측이 어려워집니다.”
구글 클라우드 측은 해당 문제를 인지하며 “가시성 부족 문제가 플랫폼 자체의 보안을 약화시킨다고 보지는 않는다”고 강조했다. 로그가 자세하든 아니든, 여전히 클라우드 클라우드 플랫폼을 통해 데이터 침해가 발생할 가능성은 없으며, 따라서 부실한 로그와 관련된 문제는 취약점이라고 볼 수 없다는 입장을 견지했다. 하지만 이번에 지적된 대로 포렌식 조사에 쓸만한 로그가 남겨지도록 하는 방안을 적극적으로 검토해 보겠다고 덧붙이기는 했다.
3줄 요약
1. 대형 클라우드 플랫폼 구글 클라우드, 로그를 남기긴 하지만 세부 내용 부족.
2. 로그를 부실하게 남기기 때문에 포렌식 진행 시 애로사항이 적지 않음.
3. 구글은 클라우드 인프라 자체가 안전하기 때문에 별 문제 없다는 입장.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
