클라우드 사건들이 점점 많아지고 있다. 그런데 사건들을 좀 더 연구해 보니 많아지는 것만이 아니라 빨라지고 있다는 사실도 드러났다. 이 때문에 클라우드로 이전해 가는 기업들 입장에서는 고민이 많아지게 됐다.
[보안뉴스= 댄 레이우드 IT 칼럼니스트] 2020년부터 2022년 사이에 발생한 클라우드 관련 사이버 공격들에는 몇 가지 공통점이 존재한다. 그 중 가장 중요한 건 ‘충분히 막을 수 있던 사건’이라는 것이다. 순전히 사용자 편에서의 실수 때문에 발생한 클라우드 사건들이 전체 사고에서 큰 비중을 차지하고 있으며, 심지어 그 실수들이라는 것도 대단히 사소하고 허무한 것들이 대부분이다.
[이미지 = gettyimagesbank]
보안 업체 시스딕(Sysdig)의 솔루션 아키텍트인 모하메드 샤반(Mohamed Shaaban)은 2021년부터 2022년 사이에 발생한 6건의 대규모 클라우드 보안 사고를 조사하며 공격자들의 패턴 한 가지를 발견했다고 발표했다. 클라우드를 겨냥한 공격이 점점 고도화 되고 있으며, 점점 빈번해지고 있다는 것이다. 자동화 도구가 동원되는 사례가 많아지고 있기 때문인데, 방어의 속도를 높이지 않는다면 대처하기 힘들어질 것으로 예상된다고 그는 경고한다.
“현재 공격자들은 공격의 표적을 스캔하고, 찾아내고, 익스플로잇 하는 단계별 공격을 자동으로 쭉 이어서 하게 해 주는 자동화 도구를 보유하고 있습니다. 또한 계속해서 개발 중이기도 합니다. 공격자들이 피해자들에게 접근하는 가장 주요한 공격 기법은 유출된 크리덴셜을 확보해 악용하거나 취약점을 익스플로잇 하는 것입니다.” 샤반의 설명이다.
연구 대상이 된 사건
이들이 조사한 사건은 다음과 같다.
1) 파이토치(PyTorch) : 2022년 12월, 한 공격자가 PyPI 코드 리포지터리를 활용해 악성 파이토치 디펜던시가 피해자의 시스템의 다운로드 되도록 유도했다. 이 악성 디펜던시에는 시스템 데이터를 훔치는 멀웨어가 포함되어 있었다. 공격자들은 자신들이 윤리적 해커라고 속이기도 했으나, 유출된 데이터와 멀웨어를 난독화 하는 모습이 발견되며 거짓이 드러났다.
2) 메디뱅크(MediBank) : 2022년 11월 미리 확보한 정상 로그인 크리덴셜을 가지고 공격자들이 메디뱅크라는 의료 기관의 내부 시스템에 불법적으로 접근하는 데 성공했다. VPN 접근과 관련된 데이터를 훔쳤을 가능성도 제기됐다. 공격자들은 약 한 달 동안 표적의 시스템에 조용히 머무르며 공격의 피해를 최대화 했다. 하지만 은행 측은 공격자들과의 협상에 응하지 않았다. 공격자들은 병원의 데이터를 다크웹에 공개했다.
3) 알리바바와 상하이 공안 : 2022년 7월, 알리바바 클라우드 서버가 잘못 설정된 채로 인터넷에 고스란히 공개되는 일이 발생했다. 이미 1년 넘게 그 상태로 서버가 유지된 상황이었다. 해당 서버에는 23TB가 넘는 데이터가 저장되어 있었고, 1년 사이 공격자들은 이 데이터를 마음 대로 가져갔다. 곧 다크웹에서 이 서버의 데이터가 판매되기 시작했다. 이 데이터에는 10억 명의 중국 일반인들의 개인정보는 물론 수많은 상하이 공안 요원들의 정보까지도 포함되어 있었다.
4) 오누스(ONUS) : 2021년 12월 베트남 최대 암호화폐 거래 기업에 있었던 로그4j(Log4j)의 취약한 버전을 공격자들이 발견해 익스플로잇 하는 데 성공했다. 이 사건으로 공격자들은 200만이 넘는 고객 개인정보를 가져가는 데 성공했다. 고객의 이름과 이메일 주소, 전화번호, 비밀번호, 거래 내역 등이 여기에 포함됐다.
5) 펠로톤(Peloton) : 2021년 5월, 승인 과정을 거치지 않은 펠로톤 사용자가 다른 펠로톤 사용자들의 민감한 정보와 개인 식별 정보를 열람할 수 있다는 사실이 발견됐다. 펠로톤 장비를 통해 저장되는 각종 기록과 통계 자료들도 포함된 얘기였다. 사용자가 계정을 비밀 모드로 전환을 한다 해도 이 공격을 막을 수 없었다.
6) 에퀴닉스(Equinix) : 2020년 9월 데이터센터 전문 업체인 에퀴닉스에서 랜섬웨어 공격이 발생했다. 공격자들은 에퀴닉스의 내부 시스템들에도 침입하는 데 성공했고, 이를 통해 여러 정보를 가져간 뒤 회사 측에 450만 달러를 요구했다. 공격자들은 “당신들 서버에서 각종 민감한 데이터를 다운로드 받을 수 있다”고 으름장을 놓은 것으로 알려졌다. 하지만 두 달의 조사 끝에 이들의 으름장은 허풍이었다는 사실이 밝혀졌다. 결국 이 사건으로 데이터센터들은 하나도 영향을 받지 않았다.
어떤 교훈을 얻어가야 하는가
샤반은 “사건을 상세히 조사한 건 결국 공격의 패턴을 파악해 효과적인 방법을 도출하기 위한 것”이라고 설명한다. “어떤 실수가 있었고, 어떤 점을 개선할 수 있었으며, 앞으로 어떻게 방어를 더 잘 할 수 있을지 알아내는 것이 연구의 목적이었습니다. 그래야 점점 더 클라우드 이용률이 높아지는 때에 기업과 기관들이 더 안전해질 수 있으니까요.” 상세한 내용은 올해 열리는 블랙햇 유럽을 통해 발표될 예정이다.
샤반은 클라우드이 연루된 공격에 있어 보안 담당자들의 딜레마는 “예방을 위한 방어 대책을 마련하느냐, 탐지와 대응의 속도를 높이는 데 주력하느냐를 선택하는 것”이라고 설명한다. “전자를 택한다면 방어벽을 좀 더 견고히 할 필요가 있겠고, 후자를 택한다면 침투의 단계들마다 그에 맞는 보안 도구들을 마련해 구축해야 합니다. 이 두 가지 방향성 중 하나를 택해야 한다는 게 클라우드 보안의 가장 큰 어려움이라고 할 수 있습니다.”
그래서 클라우드 보안에 있어서 가장 기본이 되는 건 탐지와 대응이라는 기능의 벤치마크라고 샤반은 강조한다. “어떤 쪽을 택하든 방어의 키워드는 ‘속도’와 ‘광범위한 영역’이라고 할 수 있습니다. 클라우드로 인해 너무나 넓어진 네트워크 영역을 그 무엇보다 빠르게 보호해야 하는 게 클라우드 보안의 핵심이라는 것이죠. 탐지와 대응을 어느 정도 빠르기로, 얼마나 넓은 영역을 커버하면서 할 수 있는지 계속해서 알아내고, 계속해서 향상시켜야 합니다.”
샤반은 ‘5/5/5 벤치마크’라는 것을 권고한다. “탐지에 5초, 영향 받은 시스템을 분류하고 고립시키는 데 5분, 위협에 대응하는 데 5분이 걸린다면 현재로서는 꽤나 양호한 편입니다. 클라우드는 모든 것들이 대단히 빠른 속도로 넓게 움직이는 공간입니다. 그러니 5/5/5 기준은 그리 가혹한 게 아닙니다. 심지어 시간이 지나면 더 줄어들어야 할 수도 있습니다. 빠르고 넓게 움직여야 클라우드를 보호할 수 있다는 걸 꼭 기억해야 합니다.”
글 : 댄 레이우드(Dan Raywood), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스= 댄 레이우드 IT 칼럼니스트] 2020년부터 2022년 사이에 발생한 클라우드 관련 사이버 공격들에는 몇 가지 공통점이 존재한다. 그 중 가장 중요한 건 ‘충분히 막을 수 있던 사건’이라는 것이다. 순전히 사용자 편에서의 실수 때문에 발생한 클라우드 사건들이 전체 사고에서 큰 비중을 차지하고 있으며, 심지어 그 실수들이라는 것도 대단히 사소하고 허무한 것들이 대부분이다.
[이미지 = gettyimagesbank]
보안 업체 시스딕(Sysdig)의 솔루션 아키텍트인 모하메드 샤반(Mohamed Shaaban)은 2021년부터 2022년 사이에 발생한 6건의 대규모 클라우드 보안 사고를 조사하며 공격자들의 패턴 한 가지를 발견했다고 발표했다. 클라우드를 겨냥한 공격이 점점 고도화 되고 있으며, 점점 빈번해지고 있다는 것이다. 자동화 도구가 동원되는 사례가 많아지고 있기 때문인데, 방어의 속도를 높이지 않는다면 대처하기 힘들어질 것으로 예상된다고 그는 경고한다.
“현재 공격자들은 공격의 표적을 스캔하고, 찾아내고, 익스플로잇 하는 단계별 공격을 자동으로 쭉 이어서 하게 해 주는 자동화 도구를 보유하고 있습니다. 또한 계속해서 개발 중이기도 합니다. 공격자들이 피해자들에게 접근하는 가장 주요한 공격 기법은 유출된 크리덴셜을 확보해 악용하거나 취약점을 익스플로잇 하는 것입니다.” 샤반의 설명이다.
연구 대상이 된 사건
이들이 조사한 사건은 다음과 같다.
1) 파이토치(PyTorch) : 2022년 12월, 한 공격자가 PyPI 코드 리포지터리를 활용해 악성 파이토치 디펜던시가 피해자의 시스템의 다운로드 되도록 유도했다. 이 악성 디펜던시에는 시스템 데이터를 훔치는 멀웨어가 포함되어 있었다. 공격자들은 자신들이 윤리적 해커라고 속이기도 했으나, 유출된 데이터와 멀웨어를 난독화 하는 모습이 발견되며 거짓이 드러났다.
2) 메디뱅크(MediBank) : 2022년 11월 미리 확보한 정상 로그인 크리덴셜을 가지고 공격자들이 메디뱅크라는 의료 기관의 내부 시스템에 불법적으로 접근하는 데 성공했다. VPN 접근과 관련된 데이터를 훔쳤을 가능성도 제기됐다. 공격자들은 약 한 달 동안 표적의 시스템에 조용히 머무르며 공격의 피해를 최대화 했다. 하지만 은행 측은 공격자들과의 협상에 응하지 않았다. 공격자들은 병원의 데이터를 다크웹에 공개했다.
3) 알리바바와 상하이 공안 : 2022년 7월, 알리바바 클라우드 서버가 잘못 설정된 채로 인터넷에 고스란히 공개되는 일이 발생했다. 이미 1년 넘게 그 상태로 서버가 유지된 상황이었다. 해당 서버에는 23TB가 넘는 데이터가 저장되어 있었고, 1년 사이 공격자들은 이 데이터를 마음 대로 가져갔다. 곧 다크웹에서 이 서버의 데이터가 판매되기 시작했다. 이 데이터에는 10억 명의 중국 일반인들의 개인정보는 물론 수많은 상하이 공안 요원들의 정보까지도 포함되어 있었다.
4) 오누스(ONUS) : 2021년 12월 베트남 최대 암호화폐 거래 기업에 있었던 로그4j(Log4j)의 취약한 버전을 공격자들이 발견해 익스플로잇 하는 데 성공했다. 이 사건으로 공격자들은 200만이 넘는 고객 개인정보를 가져가는 데 성공했다. 고객의 이름과 이메일 주소, 전화번호, 비밀번호, 거래 내역 등이 여기에 포함됐다.
5) 펠로톤(Peloton) : 2021년 5월, 승인 과정을 거치지 않은 펠로톤 사용자가 다른 펠로톤 사용자들의 민감한 정보와 개인 식별 정보를 열람할 수 있다는 사실이 발견됐다. 펠로톤 장비를 통해 저장되는 각종 기록과 통계 자료들도 포함된 얘기였다. 사용자가 계정을 비밀 모드로 전환을 한다 해도 이 공격을 막을 수 없었다.
6) 에퀴닉스(Equinix) : 2020년 9월 데이터센터 전문 업체인 에퀴닉스에서 랜섬웨어 공격이 발생했다. 공격자들은 에퀴닉스의 내부 시스템들에도 침입하는 데 성공했고, 이를 통해 여러 정보를 가져간 뒤 회사 측에 450만 달러를 요구했다. 공격자들은 “당신들 서버에서 각종 민감한 데이터를 다운로드 받을 수 있다”고 으름장을 놓은 것으로 알려졌다. 하지만 두 달의 조사 끝에 이들의 으름장은 허풍이었다는 사실이 밝혀졌다. 결국 이 사건으로 데이터센터들은 하나도 영향을 받지 않았다.
어떤 교훈을 얻어가야 하는가
샤반은 “사건을 상세히 조사한 건 결국 공격의 패턴을 파악해 효과적인 방법을 도출하기 위한 것”이라고 설명한다. “어떤 실수가 있었고, 어떤 점을 개선할 수 있었으며, 앞으로 어떻게 방어를 더 잘 할 수 있을지 알아내는 것이 연구의 목적이었습니다. 그래야 점점 더 클라우드 이용률이 높아지는 때에 기업과 기관들이 더 안전해질 수 있으니까요.” 상세한 내용은 올해 열리는 블랙햇 유럽을 통해 발표될 예정이다.
샤반은 클라우드이 연루된 공격에 있어 보안 담당자들의 딜레마는 “예방을 위한 방어 대책을 마련하느냐, 탐지와 대응의 속도를 높이는 데 주력하느냐를 선택하는 것”이라고 설명한다. “전자를 택한다면 방어벽을 좀 더 견고히 할 필요가 있겠고, 후자를 택한다면 침투의 단계들마다 그에 맞는 보안 도구들을 마련해 구축해야 합니다. 이 두 가지 방향성 중 하나를 택해야 한다는 게 클라우드 보안의 가장 큰 어려움이라고 할 수 있습니다.”
그래서 클라우드 보안에 있어서 가장 기본이 되는 건 탐지와 대응이라는 기능의 벤치마크라고 샤반은 강조한다. “어떤 쪽을 택하든 방어의 키워드는 ‘속도’와 ‘광범위한 영역’이라고 할 수 있습니다. 클라우드로 인해 너무나 넓어진 네트워크 영역을 그 무엇보다 빠르게 보호해야 하는 게 클라우드 보안의 핵심이라는 것이죠. 탐지와 대응을 어느 정도 빠르기로, 얼마나 넓은 영역을 커버하면서 할 수 있는지 계속해서 알아내고, 계속해서 향상시켜야 합니다.”
샤반은 ‘5/5/5 벤치마크’라는 것을 권고한다. “탐지에 5초, 영향 받은 시스템을 분류하고 고립시키는 데 5분, 위협에 대응하는 데 5분이 걸린다면 현재로서는 꽤나 양호한 편입니다. 클라우드는 모든 것들이 대단히 빠른 속도로 넓게 움직이는 공간입니다. 그러니 5/5/5 기준은 그리 가혹한 게 아닙니다. 심지어 시간이 지나면 더 줄어들어야 할 수도 있습니다. 빠르고 넓게 움직여야 클라우드를 보호할 수 있다는 걸 꼭 기억해야 합니다.”
글 : 댄 레이우드(Dan Raywood), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
 th.jpg)
 TH.jpg)
 THJ.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
