클라우드 보안 사고는 거의 모두 사용자 때문에 일어난다. 그럼에도 사용자들은 클라우드 업체에 보안을 기대하고 있다. 사용자들 사이에서 발견되는 고질병, 아직도 고쳐지지 않고 있어 문제다.
[보안뉴스 문정후 기자] 클라우드의 편의성에 대해 많은 기업과 사용자들이 알기 시작했고, 그러면서 클라우드의 도입률은 점점 더 빨라지고 있다. 클라우드 인프라를 활용해 현대 소프트웨어를 빠르게 개발할 수 있게 되었으나 그만큼 인프라가 복잡해지면서 각종 부작용들이 생겨나기도 하는데, 그 중 하나는 해커들에 의한 공격이다. 클라우드를 공략하는 해커들의 실력이 날이 갈수록 눈부시게 변하고 있다. 하지만 우리의 보호 실력은 그 수준을 맞추지 못하고 있다고 보안 업체 데이터독(Datadog)이 오늘 발표했다.
[이미지 = gettyimagesbank]
“현재 클라우드 보안 상태를 확인하기 위해 저희는 AWS, 애저(Azure), 구글 클라우드(Google Cloud)를 사용하는 수천 개 기업과 기관들의 보안 관련 데이터를 분석했습니다. 그 중에서도 공공 클라우드 환경에서 잘 알려진 위험들을 어떻게 다루고 있는지를 집중적으로 조명했습니다. 그 결과 아직도 굉장히 많은 문제들이 개선되지 않고 있음을 알게 됐습니다.” 데이터독 측의 설명이다. 그 ‘개선되어야 할 문제들’은 다음과 같았다.
1. 너무 오랜 시간 바뀌지 않는 크리덴셜
클라우드를 가장 취약하게 만드는 것 중 악명 높은 것은 오래되고 자주 사용되면서 바뀌지 않는 로그인 크리덴셜이다. 이 문제는 클라우드 초기 때부터 지적되어 온 것인데 아직도 1번 위협으로 남아 있다. 심지어 이 문제는 클라우드만의 문제가 아니다. 로그인이 필요한 다양한 환경에서 이는 고질적인 문제로 지적되고 있고, 고쳐지지 않고 있다. 이런 크리덴셜들은 소스코드나 컨테이너 이미지, 구성 파일을 통해 자주 유출되기도 한다.
“물론 클라우드를 사용하는 기업들에서도 개선의 의지가 발견되기는 했습니다. 다만 사용자들은 의지가 있음에도 ‘대체할 수 있는 방법’을 쉽게 찾지 못하고 있었습니다. 중앙 집중식 ID 관리와 단기 로그인 자동 발행 및 관리 솔루션이 있다는 걸 알려주면 쉽게 바꿀만한 사용자들이 있다는 뜻이죠. 클라우드를 사용하는 사람들이 고집을 부려서 크리덴셜을 오래 유지하고 있는 게 아니라, 알지 못해서 유지하고 있다는 결론을 내릴 수 있습니다. 클라우드 안전에 대한 교육을 보다 폭넓게 진행하면 해결될 수 있는 문제라고 보입니다.”
AWS의 경우 아이덴티티와 접근 관리(IAM) 솔루션을 사용하는 사람들이 작년 72%에서 올해 76%로 증가했다. 하지만 이런 기술을 적극적으로 활용하는 사례가 그리 많지 않은 것으로 조사됐다. “이런 사용자들 중 49%는 지난 90일 동안 한 번도 사용하지 않은 접근 키를 유지하고 있었습니다. 작년에는 이러한 사용자가 40%였는데 오히려 늘어났습니다. 또한 33%의 IAM 사용자들은 1년 이상 된 로그인 크리덴셜을 보유하고 있기도 했습니다. 이러한 사례 역시 작년에 비해 증가했습니다.” 데이터독은 “어떠한 환경에서든지 오래된 크리덴셜을 사용하지 않는 게 좋다”고 강조한다.
2. 다중인증, 아직 보편적으로 사용되지 않아
클라우드 서비스 공급 업체의 관리용 인터페이스는 클라우드의 특성상 인터넷에 노출되어 있는 경우가 많다. 이로 인해 클라우드에서는 사용자의 ID가 그 자체로 하나의 ‘네트워크 경계선’이 된다는 게 데이터독의 설명이다. “온프레미스에서 네트워크 경계선을 방화벽 등으로 보호한 것처럼, 클라우드에서는 ID를 보호하는 게 가장 중요해집니다. ID를 보호하는 가장 효율적이며 가장 효과적이기도 한 방법은 다중인증을 도입하는 것이고요.”
다중인증은 클라우드 서비스 제공자가 아니라 사용자, 즉 테넌트 층위에서 얼마든지 시행될 수 있으며, 최신 방어법이자 인증법인 FIDO2와 같은 기술을 활용해 다중인증을 구축할 경우 ID를 단단하게 걸어잠그는 게 가능하다고 데이터독은 강조한다. “보다 안전하고 건전한 클라우드 보안을 위한 기본 시작점이자 필수 요소라고 생각하는 게 좋습니다. 인터넷 시대에 로그인 비밀번호가 있었다면, 클라우드 시대에는 다중인증이 있습니다.”
AWS에서 IAM을 사용하는 사람들의 31%는 다중인증을 활용하고 있지 않는 것으로 조사됐다. 전체 AWS 사용자 기업의 45%가 다중인증 없이 활용하고 있기도 했다. 애저도 사정은 크게 다르지 않아, 다중인증을 설정하고 운영한 사용자는 20%에 불과했다. “아직 많은 사용자들이 다중인증을 도입하고 있지 않음을 드러내는 조사 결과입니다. 클라우드는 보편적으로 퍼지고 있는데 다중인증은 한참 뒤쳐져 있습니다.”
3. 인스턴스 메타데이터 서비스 2(IMDS v2) 시행도 아직 부족
AWS에서 인스턴스 메타데이터 서비스(IMDS) 2는 서버 측 요청 위조 공격(SSRF)을 방어하는 데 있어 강력한 성능을 자랑한다. 그러므로 공격자는 AWS 생태계에서 클라우드 로그인 정보를 훔치고 악용하는 데 있어 꽤나 어려움을 겪게 된다. 그런데 아직 AWS를 사용하면서도 이 IMDSv2를 사용하는 사례가 그리 많지 않은 것으로 조사됐다.
“IMDSv2는 2019년에 출시됐습니다. 하지만 2022년에 조사했을 때 IMDSv2의 보호를 받고 있는 인스턴스는 단지 7%에 불과했습니다. 지금은 21%로 다소 늘었습니다만 여전히 부족한 상황입니다. 늘어나고 있다는 것 자체는 반가운 소식입니다만 아직 갈 길이 많이 남아있다는 뜻도 됩니다. 사용자 전체적으로 IMDSv2를 활용하고 있는 경우는 평균 25%인 것으로 알려져 있는데, 이 역시 2022년의 11%보다 훨씬 늘어난 수치입니다.”
4. AWS, 애저, 구글 클라우드에서 RBAC가 잘못 설정되어 있어
유명 공공 클라우드에서 공통적으로 발견되는 문제인데, 역할 기반 접근 제어(Role-based Access Control, RBAC)가 제대로 설정되어 있지 않다는 것 역시 이번 조사를 통해 발견됐다. 이것 역시 클라우드 초창기부터 꾸준히 강조되어 온 기본 덕목인데 거의 지켜지지 않고 있는 게 현실이다. 다만 서비스 제공 업체들인 아마존, MS, 구글은 이를 세부적으로 제어할 수 있는 기능 자체를 사용자들에게 제공하고 있긴 했다. 즉 사용자들의 활용이 아직 보편화 되지 않고 있다는 뜻이다.
“AWS의 경우 모든 계정들 중 61%가 과도히 높은 권한을 부여 받고 있는 것으로 조사됐습니다. 애저의 경우 31%가 이런 경우에 해당되는 것으로 나타나 AWS보다는 상황이 나은 것으로 보입니다. 다만 31%나 과도히 높은 권한을 가지고 있다는 건 그 자체로 문제라고 할 수 있습니다. 훨씬 더 낮아져야 한다는 뜻입니다. AWS 사용자라면 aws:PermissinoBoundary 조건 키를 사용하여 추가 보호 장치를 마련하는 걸 추천합니다. 애저와 구글 클라우드에서도 적절한 도구를 활용하여 권한을 미세 조정해야 합니다.”
5. 오래된 사용자 계정과 역할, 제거되지 않아
사용자가 더 이상 사용하지 않는데도 계정이 남아 있는 경우가 상당히 존재한다는 것 역시 이번 조사를 통해 발견됐다. “사용자가 수천 명씩 되는 거대 조직의 경우, 그런데다가 팀과 네트워크가 분산되어 있을 경우, IAM과 ID 관리가 말처럼 쉽지 않은 게 맞습니다. 하지만 그럼에도 이를 잘 관리하는 게 클라우드 보안의 핵심입니다. 공격자들은 만들어져 있지만 사용되지 않는 그런 계정들을 잘 찾아내고, 이를 공격의 통로로 사용하기 때문입니다. 관리의 난이도가 높다고 그들이 사정을 봐주지 않습니다.”
AWS 생태계에서는 60% 이상의 IAM 사용자가 1년 이상 계정을 사용하지 않고 있던 것으로 조사됐다. 3년 이상 사용 흔적이 없는 계정은 21%였다. 애저에서의 경우 1년 이상 미사용된 계정이 29%였다. “보안 팀은 클라우드 계정을 3개월, 6개월, 1년 정도의 시간을 간격으로 해서 현재 사용 실태를 조사하고, 사용되지 않은 것들을 삭제하는 조치를 취해야 합니다. 이는 자동화 프로세스로 할 수 있기 때문에 구축만 잘 해두면 클라우드를 훨씬 안전하게 사용할 수 있는 쉽고 간편한 방법이 됩니다.”
여기에 더해 사업 활동에 따른 역할 변화 역시 클라우드 계정 권한에 반영해야 한다고 데이터독은 강조한다. “사용 유무에 따라 계정을 살리거나 삭제하는 것도 중요합니다만, 살아있는 계정들의 역할과 권한을 상황에 맞게 실시간으로 바꿔주는 것도 중요합니다. 이 관리가 제대로 되지 않아 과도한 권한을 가진 계정들이 많아지는 것이지요. 최소한의 권한의 법칙을 가장 용이하게 준수할 수 있는 기술적 방법을 찾아내야 합니다.”
데이터독은 “클라우드가 많은 장점을 가지고 있는 인프라이지만, 그만큼 안전한 보호에는 손이 많이 간다”고 말한다. “공짜로 좋은 걸 얻을 수 없지요. 대가를 지불해야 하는데, 그걸 보안 담당자들이 해야 합니다. 클라우드는 현재 기술 자체보다 사용자들의 사용 습관과 방법이 거의 모든 보안 사고의 원인이 된다는 걸 보안 담당자와 사용자들이 기억해야 합니다. 공격자들은 사용자들의 실수와 부주의를 공략하는 것만으로 많은 것을 얻어가고 있습니다.”
3줄 요약
1. 클라우드라는 놀라운 기술, 보안이 대가를 지불해야 함.
2. 고질적인 클라우드 보안 문제, 거의 개선되지 않고 있음.
3. 어떤 클라우드 환경에서나 공통으로 나타나는 고질병 고치는 게 최우선/최선.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 클라우드의 편의성에 대해 많은 기업과 사용자들이 알기 시작했고, 그러면서 클라우드의 도입률은 점점 더 빨라지고 있다. 클라우드 인프라를 활용해 현대 소프트웨어를 빠르게 개발할 수 있게 되었으나 그만큼 인프라가 복잡해지면서 각종 부작용들이 생겨나기도 하는데, 그 중 하나는 해커들에 의한 공격이다. 클라우드를 공략하는 해커들의 실력이 날이 갈수록 눈부시게 변하고 있다. 하지만 우리의 보호 실력은 그 수준을 맞추지 못하고 있다고 보안 업체 데이터독(Datadog)이 오늘 발표했다.
[이미지 = gettyimagesbank]
“현재 클라우드 보안 상태를 확인하기 위해 저희는 AWS, 애저(Azure), 구글 클라우드(Google Cloud)를 사용하는 수천 개 기업과 기관들의 보안 관련 데이터를 분석했습니다. 그 중에서도 공공 클라우드 환경에서 잘 알려진 위험들을 어떻게 다루고 있는지를 집중적으로 조명했습니다. 그 결과 아직도 굉장히 많은 문제들이 개선되지 않고 있음을 알게 됐습니다.” 데이터독 측의 설명이다. 그 ‘개선되어야 할 문제들’은 다음과 같았다.
1. 너무 오랜 시간 바뀌지 않는 크리덴셜
클라우드를 가장 취약하게 만드는 것 중 악명 높은 것은 오래되고 자주 사용되면서 바뀌지 않는 로그인 크리덴셜이다. 이 문제는 클라우드 초기 때부터 지적되어 온 것인데 아직도 1번 위협으로 남아 있다. 심지어 이 문제는 클라우드만의 문제가 아니다. 로그인이 필요한 다양한 환경에서 이는 고질적인 문제로 지적되고 있고, 고쳐지지 않고 있다. 이런 크리덴셜들은 소스코드나 컨테이너 이미지, 구성 파일을 통해 자주 유출되기도 한다.
“물론 클라우드를 사용하는 기업들에서도 개선의 의지가 발견되기는 했습니다. 다만 사용자들은 의지가 있음에도 ‘대체할 수 있는 방법’을 쉽게 찾지 못하고 있었습니다. 중앙 집중식 ID 관리와 단기 로그인 자동 발행 및 관리 솔루션이 있다는 걸 알려주면 쉽게 바꿀만한 사용자들이 있다는 뜻이죠. 클라우드를 사용하는 사람들이 고집을 부려서 크리덴셜을 오래 유지하고 있는 게 아니라, 알지 못해서 유지하고 있다는 결론을 내릴 수 있습니다. 클라우드 안전에 대한 교육을 보다 폭넓게 진행하면 해결될 수 있는 문제라고 보입니다.”
AWS의 경우 아이덴티티와 접근 관리(IAM) 솔루션을 사용하는 사람들이 작년 72%에서 올해 76%로 증가했다. 하지만 이런 기술을 적극적으로 활용하는 사례가 그리 많지 않은 것으로 조사됐다. “이런 사용자들 중 49%는 지난 90일 동안 한 번도 사용하지 않은 접근 키를 유지하고 있었습니다. 작년에는 이러한 사용자가 40%였는데 오히려 늘어났습니다. 또한 33%의 IAM 사용자들은 1년 이상 된 로그인 크리덴셜을 보유하고 있기도 했습니다. 이러한 사례 역시 작년에 비해 증가했습니다.” 데이터독은 “어떠한 환경에서든지 오래된 크리덴셜을 사용하지 않는 게 좋다”고 강조한다.
2. 다중인증, 아직 보편적으로 사용되지 않아
클라우드 서비스 공급 업체의 관리용 인터페이스는 클라우드의 특성상 인터넷에 노출되어 있는 경우가 많다. 이로 인해 클라우드에서는 사용자의 ID가 그 자체로 하나의 ‘네트워크 경계선’이 된다는 게 데이터독의 설명이다. “온프레미스에서 네트워크 경계선을 방화벽 등으로 보호한 것처럼, 클라우드에서는 ID를 보호하는 게 가장 중요해집니다. ID를 보호하는 가장 효율적이며 가장 효과적이기도 한 방법은 다중인증을 도입하는 것이고요.”
다중인증은 클라우드 서비스 제공자가 아니라 사용자, 즉 테넌트 층위에서 얼마든지 시행될 수 있으며, 최신 방어법이자 인증법인 FIDO2와 같은 기술을 활용해 다중인증을 구축할 경우 ID를 단단하게 걸어잠그는 게 가능하다고 데이터독은 강조한다. “보다 안전하고 건전한 클라우드 보안을 위한 기본 시작점이자 필수 요소라고 생각하는 게 좋습니다. 인터넷 시대에 로그인 비밀번호가 있었다면, 클라우드 시대에는 다중인증이 있습니다.”
AWS에서 IAM을 사용하는 사람들의 31%는 다중인증을 활용하고 있지 않는 것으로 조사됐다. 전체 AWS 사용자 기업의 45%가 다중인증 없이 활용하고 있기도 했다. 애저도 사정은 크게 다르지 않아, 다중인증을 설정하고 운영한 사용자는 20%에 불과했다. “아직 많은 사용자들이 다중인증을 도입하고 있지 않음을 드러내는 조사 결과입니다. 클라우드는 보편적으로 퍼지고 있는데 다중인증은 한참 뒤쳐져 있습니다.”
3. 인스턴스 메타데이터 서비스 2(IMDS v2) 시행도 아직 부족
AWS에서 인스턴스 메타데이터 서비스(IMDS) 2는 서버 측 요청 위조 공격(SSRF)을 방어하는 데 있어 강력한 성능을 자랑한다. 그러므로 공격자는 AWS 생태계에서 클라우드 로그인 정보를 훔치고 악용하는 데 있어 꽤나 어려움을 겪게 된다. 그런데 아직 AWS를 사용하면서도 이 IMDSv2를 사용하는 사례가 그리 많지 않은 것으로 조사됐다.
“IMDSv2는 2019년에 출시됐습니다. 하지만 2022년에 조사했을 때 IMDSv2의 보호를 받고 있는 인스턴스는 단지 7%에 불과했습니다. 지금은 21%로 다소 늘었습니다만 여전히 부족한 상황입니다. 늘어나고 있다는 것 자체는 반가운 소식입니다만 아직 갈 길이 많이 남아있다는 뜻도 됩니다. 사용자 전체적으로 IMDSv2를 활용하고 있는 경우는 평균 25%인 것으로 알려져 있는데, 이 역시 2022년의 11%보다 훨씬 늘어난 수치입니다.”
4. AWS, 애저, 구글 클라우드에서 RBAC가 잘못 설정되어 있어
유명 공공 클라우드에서 공통적으로 발견되는 문제인데, 역할 기반 접근 제어(Role-based Access Control, RBAC)가 제대로 설정되어 있지 않다는 것 역시 이번 조사를 통해 발견됐다. 이것 역시 클라우드 초창기부터 꾸준히 강조되어 온 기본 덕목인데 거의 지켜지지 않고 있는 게 현실이다. 다만 서비스 제공 업체들인 아마존, MS, 구글은 이를 세부적으로 제어할 수 있는 기능 자체를 사용자들에게 제공하고 있긴 했다. 즉 사용자들의 활용이 아직 보편화 되지 않고 있다는 뜻이다.
“AWS의 경우 모든 계정들 중 61%가 과도히 높은 권한을 부여 받고 있는 것으로 조사됐습니다. 애저의 경우 31%가 이런 경우에 해당되는 것으로 나타나 AWS보다는 상황이 나은 것으로 보입니다. 다만 31%나 과도히 높은 권한을 가지고 있다는 건 그 자체로 문제라고 할 수 있습니다. 훨씬 더 낮아져야 한다는 뜻입니다. AWS 사용자라면 aws:PermissinoBoundary 조건 키를 사용하여 추가 보호 장치를 마련하는 걸 추천합니다. 애저와 구글 클라우드에서도 적절한 도구를 활용하여 권한을 미세 조정해야 합니다.”
5. 오래된 사용자 계정과 역할, 제거되지 않아
사용자가 더 이상 사용하지 않는데도 계정이 남아 있는 경우가 상당히 존재한다는 것 역시 이번 조사를 통해 발견됐다. “사용자가 수천 명씩 되는 거대 조직의 경우, 그런데다가 팀과 네트워크가 분산되어 있을 경우, IAM과 ID 관리가 말처럼 쉽지 않은 게 맞습니다. 하지만 그럼에도 이를 잘 관리하는 게 클라우드 보안의 핵심입니다. 공격자들은 만들어져 있지만 사용되지 않는 그런 계정들을 잘 찾아내고, 이를 공격의 통로로 사용하기 때문입니다. 관리의 난이도가 높다고 그들이 사정을 봐주지 않습니다.”
AWS 생태계에서는 60% 이상의 IAM 사용자가 1년 이상 계정을 사용하지 않고 있던 것으로 조사됐다. 3년 이상 사용 흔적이 없는 계정은 21%였다. 애저에서의 경우 1년 이상 미사용된 계정이 29%였다. “보안 팀은 클라우드 계정을 3개월, 6개월, 1년 정도의 시간을 간격으로 해서 현재 사용 실태를 조사하고, 사용되지 않은 것들을 삭제하는 조치를 취해야 합니다. 이는 자동화 프로세스로 할 수 있기 때문에 구축만 잘 해두면 클라우드를 훨씬 안전하게 사용할 수 있는 쉽고 간편한 방법이 됩니다.”
여기에 더해 사업 활동에 따른 역할 변화 역시 클라우드 계정 권한에 반영해야 한다고 데이터독은 강조한다. “사용 유무에 따라 계정을 살리거나 삭제하는 것도 중요합니다만, 살아있는 계정들의 역할과 권한을 상황에 맞게 실시간으로 바꿔주는 것도 중요합니다. 이 관리가 제대로 되지 않아 과도한 권한을 가진 계정들이 많아지는 것이지요. 최소한의 권한의 법칙을 가장 용이하게 준수할 수 있는 기술적 방법을 찾아내야 합니다.”
데이터독은 “클라우드가 많은 장점을 가지고 있는 인프라이지만, 그만큼 안전한 보호에는 손이 많이 간다”고 말한다. “공짜로 좋은 걸 얻을 수 없지요. 대가를 지불해야 하는데, 그걸 보안 담당자들이 해야 합니다. 클라우드는 현재 기술 자체보다 사용자들의 사용 습관과 방법이 거의 모든 보안 사고의 원인이 된다는 걸 보안 담당자와 사용자들이 기억해야 합니다. 공격자들은 사용자들의 실수와 부주의를 공략하는 것만으로 많은 것을 얻어가고 있습니다.”
3줄 요약
1. 클라우드라는 놀라운 기술, 보안이 대가를 지불해야 함.
2. 고질적인 클라우드 보안 문제, 거의 개선되지 않고 있음.
3. 어떤 클라우드 환경에서나 공통으로 나타나는 고질병 고치는 게 최우선/최선.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.png)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
