아마존이 검사하는 건 마켓플레이스 AMI...커뮤니티 AMI에는 관리자 없어
암호화폐 채굴 코드 섞인 AMI 실제로 발견돼...다른 악성 AMI도 존재할 가능성 높아
[보안뉴스 문가용 기자] 엘라스틱 클라우드 컴퓨트(Elastic Cloud Compute, EC2)를 사용하는 AWS 고객들에게 해당하는 위험 징조가 나타났다. 커뮤니티 AMI를 통해 암호화폐 채굴 코드가 담긴 윈도가 배포되는 것이 목격되었던 것이다. 이에 보안 전문가들이 경고의 목소리를 내기 시작했다.
[이미지 = utoimage]
먼저 AMI란 ‘소프트웨어 환경설정 내용, OS, 애플리케이션 서버, 애플리케이션 등이 포함된 템플릿’으로, 가상 기계를 운영하는 데에 필요하다. 사용자들은 AMI로부터 인스턴스나 클라우드 내 가상 서버 역할을 하는 AMI의 복사본을 시작한다. 필요에 따라 한 개의 AMI로부터 다량의 인스턴스들을 실행시키는 것도 가능하다.
필요에 따라 유연하게 조절되는 AMI인 만큼 그 종류도 다양하고, 구하는 방법도 여러 가지다. 대표적인 건 AWS 마켓플레이스(AWS Marketplace)를 활용하는 것이다. 일종의 앱 스토어처럼 운영되는 곳으로 사용자들은 AMI를 구매하거나 대영할 수 있다. 아마존에서 공식적으로 확인한 AMI들만 등록 및 거래된다.
하지만 AMI가 사용자들 사이에서 자유롭게 개발되고 공유되기도 하는데, 이를 커뮤니티 AMI라고 부른다. 커뮤니티 AMI를 개발한 사람은 자신의 AMI를 전체 공개 혹은 일부 공개로 지정할 수 있다. 사용자들은 커뮤니티 AMI 자체에 대한 비용을 지불하지는 않지만 해당 AMI를 사용해 만든 기계에서 이행되는 컴퓨트 기능과 스토리지에 대한 값은 낸다.
보안 대응 업체인 미티가(Mitiga)의 CTO인 오퍼 마오(Ofer Maor)는 “커뮤니티 AMI는 경제적인 솔루션을 필요로 하는 사람들에게 꽤나 좋은 답이 될 수 있다”고 설명한다. “하지만 커뮤니티 AMI는 마켓플레이스의 AMI와 달리 아마존이 아무런 점검을 하지 않습니다. 공격 시나리오가 매우 쉽게 성립될 수 있다는 뜻입니다.”
실제 최근 미티가의 연구원들은 “커뮤니티 AMI 중에서 악성 윈도 2008을 포함하고 있는 경우를 봤다”며 “속도가 너무 느려서 뭔가 수상해 보였고, 분석을 더 해보니 암호화폐 채굴 코드가 실행되고 있는 것을 알 수 있었다”고 설명한다. “컴퓨트 자원이 꽤나 많이, 비정상적으로 소모되고 있었습니다. 채굴에 드는 자원은 AMI를 사용한 사람이 대고, 채굴로 들어오는 수익은 공격자가 거둬가는 구조였습니다.” 이 악성 AMI는 최소 5년 동안 존재해 왔던 것으로 분석된다. 암호화폐 채굴 코드 역시 시작부터 있었을 가능성이 높다.
미티가 측은 “수천~수만 개의 AMI를 조사한 건 아니지만, 이렇게 AMI가 악용되는 것이 이 악성 윈도 버전에만 있는 건 아니었을 것”이라고 보고 있다. 마오는 “보안 업계에서 경력을 25년째 쌓아오고 있는데, 경험상 이론상 가능한 공격들은 거의 대부분 실제로 발생하더라”라고 말한다. “심지어 이 AMI 공격은 전혀 어렵지도 않습니다. 아마존 클라우드 생태계에 대한 사용 경험만 조금 있으면 됩니다.”
중요한 건 이런 식의 AMI 응용 공격이 ‘암호화폐 채굴’과는 비교도 안 될 정도로 악화될 가능성이 높다는 것이다. “암호화폐 채굴 코드가 아니라 백도어가 심긴 버전이 유통되고 있다면 어떨까요? 해당 AMI 개발자가 광범위한 사용자들의 컴퓨터에 출입할 수 있게 됩니다. 심지어 랜섬웨어를 심어놓은 버전이 있을 수도 있습니다. 커뮤니티 AMI 생태계는 관리자가 없으므로 무슨 일이든 가능합니다.”
때문에 미키가는 커뮤니티 AMI를 사용하는 사람들을 위해 보안 권고문을 발표하기도 했다. 미티가의 연구원들은 “악성 코드 존재 여부를 확인하기 위해 인스턴스를 검사하고, 출처가 신뢰할 만한 곳에서부터 AMI를 받으라”고 권고했다. 마오는 “솔직히 말하자면 비용이 조금 더 들더라도 마켓플레이스에서 AMI를 받는 편이 훨씬 낫다”고 말한다.
3줄 요약
1. AWS 생태계에서 앱처럼 유통 및 사용되는 소프트웨어 템플릿, AMI.
2. 공식 경로 통해 유통되기도 하지만 사용자 커뮤니티 안에서 유통되는 경우도 잦음.
3. 이 커뮤니티 통해 유통 및 개발되는 AMI들 중 악성 섞여 있을 가능성 높음.
[국제부 문가용 기자(globoan@boannews.com)]
암호화폐 채굴 코드 섞인 AMI 실제로 발견돼...다른 악성 AMI도 존재할 가능성 높아
[보안뉴스 문가용 기자] 엘라스틱 클라우드 컴퓨트(Elastic Cloud Compute, EC2)를 사용하는 AWS 고객들에게 해당하는 위험 징조가 나타났다. 커뮤니티 AMI를 통해 암호화폐 채굴 코드가 담긴 윈도가 배포되는 것이 목격되었던 것이다. 이에 보안 전문가들이 경고의 목소리를 내기 시작했다.
[이미지 = utoimage]
먼저 AMI란 ‘소프트웨어 환경설정 내용, OS, 애플리케이션 서버, 애플리케이션 등이 포함된 템플릿’으로, 가상 기계를 운영하는 데에 필요하다. 사용자들은 AMI로부터 인스턴스나 클라우드 내 가상 서버 역할을 하는 AMI의 복사본을 시작한다. 필요에 따라 한 개의 AMI로부터 다량의 인스턴스들을 실행시키는 것도 가능하다.
필요에 따라 유연하게 조절되는 AMI인 만큼 그 종류도 다양하고, 구하는 방법도 여러 가지다. 대표적인 건 AWS 마켓플레이스(AWS Marketplace)를 활용하는 것이다. 일종의 앱 스토어처럼 운영되는 곳으로 사용자들은 AMI를 구매하거나 대영할 수 있다. 아마존에서 공식적으로 확인한 AMI들만 등록 및 거래된다.
하지만 AMI가 사용자들 사이에서 자유롭게 개발되고 공유되기도 하는데, 이를 커뮤니티 AMI라고 부른다. 커뮤니티 AMI를 개발한 사람은 자신의 AMI를 전체 공개 혹은 일부 공개로 지정할 수 있다. 사용자들은 커뮤니티 AMI 자체에 대한 비용을 지불하지는 않지만 해당 AMI를 사용해 만든 기계에서 이행되는 컴퓨트 기능과 스토리지에 대한 값은 낸다.
보안 대응 업체인 미티가(Mitiga)의 CTO인 오퍼 마오(Ofer Maor)는 “커뮤니티 AMI는 경제적인 솔루션을 필요로 하는 사람들에게 꽤나 좋은 답이 될 수 있다”고 설명한다. “하지만 커뮤니티 AMI는 마켓플레이스의 AMI와 달리 아마존이 아무런 점검을 하지 않습니다. 공격 시나리오가 매우 쉽게 성립될 수 있다는 뜻입니다.”
실제 최근 미티가의 연구원들은 “커뮤니티 AMI 중에서 악성 윈도 2008을 포함하고 있는 경우를 봤다”며 “속도가 너무 느려서 뭔가 수상해 보였고, 분석을 더 해보니 암호화폐 채굴 코드가 실행되고 있는 것을 알 수 있었다”고 설명한다. “컴퓨트 자원이 꽤나 많이, 비정상적으로 소모되고 있었습니다. 채굴에 드는 자원은 AMI를 사용한 사람이 대고, 채굴로 들어오는 수익은 공격자가 거둬가는 구조였습니다.” 이 악성 AMI는 최소 5년 동안 존재해 왔던 것으로 분석된다. 암호화폐 채굴 코드 역시 시작부터 있었을 가능성이 높다.
미티가 측은 “수천~수만 개의 AMI를 조사한 건 아니지만, 이렇게 AMI가 악용되는 것이 이 악성 윈도 버전에만 있는 건 아니었을 것”이라고 보고 있다. 마오는 “보안 업계에서 경력을 25년째 쌓아오고 있는데, 경험상 이론상 가능한 공격들은 거의 대부분 실제로 발생하더라”라고 말한다. “심지어 이 AMI 공격은 전혀 어렵지도 않습니다. 아마존 클라우드 생태계에 대한 사용 경험만 조금 있으면 됩니다.”
중요한 건 이런 식의 AMI 응용 공격이 ‘암호화폐 채굴’과는 비교도 안 될 정도로 악화될 가능성이 높다는 것이다. “암호화폐 채굴 코드가 아니라 백도어가 심긴 버전이 유통되고 있다면 어떨까요? 해당 AMI 개발자가 광범위한 사용자들의 컴퓨터에 출입할 수 있게 됩니다. 심지어 랜섬웨어를 심어놓은 버전이 있을 수도 있습니다. 커뮤니티 AMI 생태계는 관리자가 없으므로 무슨 일이든 가능합니다.”
때문에 미키가는 커뮤니티 AMI를 사용하는 사람들을 위해 보안 권고문을 발표하기도 했다. 미티가의 연구원들은 “악성 코드 존재 여부를 확인하기 위해 인스턴스를 검사하고, 출처가 신뢰할 만한 곳에서부터 AMI를 받으라”고 권고했다. 마오는 “솔직히 말하자면 비용이 조금 더 들더라도 마켓플레이스에서 AMI를 받는 편이 훨씬 낫다”고 말한다.
3줄 요약
1. AWS 생태계에서 앱처럼 유통 및 사용되는 소프트웨어 템플릿, AMI.
2. 공식 경로 통해 유통되기도 하지만 사용자 커뮤니티 안에서 유통되는 경우도 잦음.
3. 이 커뮤니티 통해 유통 및 개발되는 AMI들 중 악성 섞여 있을 가능성 높음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
