.jpg)
.gif)
클라우드 계정 환경설정 오류와 채굴 코드 복합된 사건
누구에게 책임이 있나? ...문제 해결부터 할 수 있어야
[보안뉴스 문가용 기자] 테슬라의 아마존 웹 서버 클라우드 시스템이 하이재킹 됐다. 그리고 암호화폐 채굴 코드가 심기는 일이 발생했다. 최근 유행하는 클라우드 서버 설정 오류 및 관리 실패 문제와 암호화폐 채굴 코드 공격이 합쳐진 사건이다. 그것도 테슬라라는 IT 업계 거인이 연루된.
[이미지 = iclickart]
이는 보안 전문 업체인 레드록(RedLock)이 보호 장치가 없는 쿠버네티스(Kubernetes) 콘솔을 발견하면서 드러났다. 이 콘솔은 테슬라의 것이었고, 보호 장치가 없었기 때문에 테슬라의 AWS 크리뎐셀이 노출되고 있었던 것이다. 공격자들은 이를 통해 간단히 AWS로 접속, 채굴을 시작한 것으로 보인다.
레드록은 이 사건을 발표하며 “해커들이 테슬라 소유의 쿠버네티스 인스턴스를 사용해 암호화폐 채굴 코드를 돌리고 있었다”고 설명했다. 또한 “해커들은 정체를 숨기기 위해 클라우드플레어(CloudFlare)라는 콘텐츠 배포 네트워크 뒤에 숨겨진 서버와 스크립트를 연동시켰다”고도 말했다.
더 큰 문제는 해당 AWS 시스템에는 각종 정보들이 저장되어 있었다는 것과, 채굴 코드로부터 발생하는 악성 트래픽을 테슬라가 전혀 탐지하지 못했다는 것이다. 하지만 후자의 경우, 테슬라가 보안에 무지했기 때문이라기보다 공격자들이 영리했다고 보는 게 맞다고 레드록은 설명한다.
“도메인과 IP 주소에 근거한 위협 탐지 시스템으로는 악성 트래픽을 발견하기 힘들도록 공격자들이 조치를 취했어요. 채굴 풀의 진짜 IP 주소를 숨기고 CPU 사용량을 낮게 잡아 수상해보이지 않도록 위장한 것입니다. 한 탕 하고 사라질 욕심을 부린 것이 아니라, 최대한 오래 머물며 꾸준히 채굴하려고 했던 것으로 보입니다.”
AWS의 환경설정 오류 및 관리 소홀로 인한 정보 유출 및 계정 도난 사건은 최근 몇 개월 동안 빈번하게 발생하고 있다. 그와는 별개이지만 채굴 코드를 심는 해커들의 공격 행위 또한 최근 급격히 늘어나고 있었다. 이 두 가지가 결합한 사건이 터지는 건 시간문제에 불과했다는 것이다. 예견된 사건을, 누가 막질 못한 걸까?
전문가들은 “테슬라나 아마존 모두 책임이 있다”는 입장이다. 아마존에 책임을 묻는 이들은 사용자들의 환경설정 실수로 인한 사고가 자꾸만 발생하고 있는 상황이니, 가드 듀티(Guard Duty)와 같은 서비스를 아마존이 무료로 제공해야 한다고 주장한다. 가드 듀티는 인공지능 위협 탐지 및 지속적인 모니터링 서비스로, 유료로 제공된다. 즉 보안 기능을 가지고 있으면서 돈 때문에 풀지 않는다고 아마존을 성토하고 있는 것이다.
하지만 테슬라에 책임이 있다는 측은 “그런 기능을 고객들의 손에 공짜로 쥐어준다 한들, 실수할 사람은 여전히 실수를 하고 사고를 일으켜 데이터를 ‘자발적으로’ 잃어버릴 것”이라고 지적한다. 중요한 건 아마존이 보안 기능을 제공하느냐 마느냐가 아니라, 클라우드를 사용하는 회사 측에서 ‘기본적인 보안 실천 사항’을 수립하지 않고 있다는 것이라는 뜻이다.
양쪽 다 봐야 한다는 부류도 있다. “데이터 유출 사고가 발생할 때마다 책임 물을 자를 찾고자 하는데, 솔직히 과실이 누군가에게 100%에만 있고, 한쪽에는 전혀 없는 사건이 현실에 얼마나 됩니까?”라고 이들은 말한다. 환경설정 실수로 인한 사고가 계속해서 일어나는 것에 대해 클라우드 서비스 제공업체와 고객사 모두가 서로에게 책임을 미루고 있는 상황 자체가 개선을 저하시킨다는 지적이다.
한편 클라우드 자원으로의 접근을 가능케 하는 계정들은 암호화폐 채굴자들에게 있어 대단히 먹음직스러운 먹잇감이라고 보안 전문가 지오바니 비그나(Giovanni Vigna)는 설명한다. “쿠버네티스는 도커화된 인스턴스를 자동으로, 다양한 규모로 구축해주는 기능을 가지고 있는데, 이는 대규모 코인 채굴을 실시하는 데에 있어 적합하죠.”
그는 “지금이라도 클라우드 계정과 쿠버네티스 환경이 채굴자들에게 딱 맞는 조건을 제공한다는 걸 알았다면, 그에 대한 강화조치가 클라우드 업체와 고객사 모두로부터 필요하다”고 강조한다. “책임을 묻는 것도 중요하지만, 문제 자체를 다루는 것이 먼저가 아닐까요. 어쨌든 사고는 계속 일어나고 있으니까요.”
[국제부 문가용 기자(globoan@boannews.com)]
누구에게 책임이 있나? ...문제 해결부터 할 수 있어야
[보안뉴스 문가용 기자] 테슬라의 아마존 웹 서버 클라우드 시스템이 하이재킹 됐다. 그리고 암호화폐 채굴 코드가 심기는 일이 발생했다. 최근 유행하는 클라우드 서버 설정 오류 및 관리 실패 문제와 암호화폐 채굴 코드 공격이 합쳐진 사건이다. 그것도 테슬라라는 IT 업계 거인이 연루된.
[이미지 = iclickart]
이는 보안 전문 업체인 레드록(RedLock)이 보호 장치가 없는 쿠버네티스(Kubernetes) 콘솔을 발견하면서 드러났다. 이 콘솔은 테슬라의 것이었고, 보호 장치가 없었기 때문에 테슬라의 AWS 크리뎐셀이 노출되고 있었던 것이다. 공격자들은 이를 통해 간단히 AWS로 접속, 채굴을 시작한 것으로 보인다.
레드록은 이 사건을 발표하며 “해커들이 테슬라 소유의 쿠버네티스 인스턴스를 사용해 암호화폐 채굴 코드를 돌리고 있었다”고 설명했다. 또한 “해커들은 정체를 숨기기 위해 클라우드플레어(CloudFlare)라는 콘텐츠 배포 네트워크 뒤에 숨겨진 서버와 스크립트를 연동시켰다”고도 말했다.
더 큰 문제는 해당 AWS 시스템에는 각종 정보들이 저장되어 있었다는 것과, 채굴 코드로부터 발생하는 악성 트래픽을 테슬라가 전혀 탐지하지 못했다는 것이다. 하지만 후자의 경우, 테슬라가 보안에 무지했기 때문이라기보다 공격자들이 영리했다고 보는 게 맞다고 레드록은 설명한다.
“도메인과 IP 주소에 근거한 위협 탐지 시스템으로는 악성 트래픽을 발견하기 힘들도록 공격자들이 조치를 취했어요. 채굴 풀의 진짜 IP 주소를 숨기고 CPU 사용량을 낮게 잡아 수상해보이지 않도록 위장한 것입니다. 한 탕 하고 사라질 욕심을 부린 것이 아니라, 최대한 오래 머물며 꾸준히 채굴하려고 했던 것으로 보입니다.”
AWS의 환경설정 오류 및 관리 소홀로 인한 정보 유출 및 계정 도난 사건은 최근 몇 개월 동안 빈번하게 발생하고 있다. 그와는 별개이지만 채굴 코드를 심는 해커들의 공격 행위 또한 최근 급격히 늘어나고 있었다. 이 두 가지가 결합한 사건이 터지는 건 시간문제에 불과했다는 것이다. 예견된 사건을, 누가 막질 못한 걸까?
전문가들은 “테슬라나 아마존 모두 책임이 있다”는 입장이다. 아마존에 책임을 묻는 이들은 사용자들의 환경설정 실수로 인한 사고가 자꾸만 발생하고 있는 상황이니, 가드 듀티(Guard Duty)와 같은 서비스를 아마존이 무료로 제공해야 한다고 주장한다. 가드 듀티는 인공지능 위협 탐지 및 지속적인 모니터링 서비스로, 유료로 제공된다. 즉 보안 기능을 가지고 있으면서 돈 때문에 풀지 않는다고 아마존을 성토하고 있는 것이다.
하지만 테슬라에 책임이 있다는 측은 “그런 기능을 고객들의 손에 공짜로 쥐어준다 한들, 실수할 사람은 여전히 실수를 하고 사고를 일으켜 데이터를 ‘자발적으로’ 잃어버릴 것”이라고 지적한다. 중요한 건 아마존이 보안 기능을 제공하느냐 마느냐가 아니라, 클라우드를 사용하는 회사 측에서 ‘기본적인 보안 실천 사항’을 수립하지 않고 있다는 것이라는 뜻이다.
양쪽 다 봐야 한다는 부류도 있다. “데이터 유출 사고가 발생할 때마다 책임 물을 자를 찾고자 하는데, 솔직히 과실이 누군가에게 100%에만 있고, 한쪽에는 전혀 없는 사건이 현실에 얼마나 됩니까?”라고 이들은 말한다. 환경설정 실수로 인한 사고가 계속해서 일어나는 것에 대해 클라우드 서비스 제공업체와 고객사 모두가 서로에게 책임을 미루고 있는 상황 자체가 개선을 저하시킨다는 지적이다.
한편 클라우드 자원으로의 접근을 가능케 하는 계정들은 암호화폐 채굴자들에게 있어 대단히 먹음직스러운 먹잇감이라고 보안 전문가 지오바니 비그나(Giovanni Vigna)는 설명한다. “쿠버네티스는 도커화된 인스턴스를 자동으로, 다양한 규모로 구축해주는 기능을 가지고 있는데, 이는 대규모 코인 채굴을 실시하는 데에 있어 적합하죠.”
그는 “지금이라도 클라우드 계정과 쿠버네티스 환경이 채굴자들에게 딱 맞는 조건을 제공한다는 걸 알았다면, 그에 대한 강화조치가 클라우드 업체와 고객사 모두로부터 필요하다”고 강조한다. “책임을 묻는 것도 중요하지만, 문제 자체를 다루는 것이 먼저가 아닐까요. 어쨌든 사고는 계속 일어나고 있으니까요.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)