클라우드 계정을 훔치는 공격이 유행 중이다. 정상적인 계정으로 클라우드에 접근하기만 하면 온갖 데이터에 접근할 수 있기 때문에 공격자들로서는 ‘노다지’가 따로 없다. 지금 이 시점에 클라우드 재킹 공격이 인기를 얻는다는 건 무슨 뜻일까? 이런 현상을 통해 우리가 배울 수 있는 건 무엇일까?
[보안뉴스 문가용 기자] 새로운 위협이 떠오르고 있다. 바로 ‘클라우드 재킹.’ 클라우드 기술에 의존하는 개인과 기업이 늘어나면서 자연스럽게 생겨난 것으로, 조만간 사이버 범죄 시장의 주류 공격 기법이 될 것으로 보인다. 클라우드 재킹(cloud jacking)은 ‘클라우드 계정 하이재킹(cloud account hijacking)’이라고 불리기도 한다.
[이미지 = utoimage]
간단히 말해 클라우드 재킹이란, 기업이나 개인의 클라우드 접속 계정을 훔쳐내는 것을 말한다. 주로 소셜엔지니어링 기법이 활용된다. 계정을 훔친 공격자는 사실상 모든 일을 할 수 있다. 특히 클라우드에 저장된 데이터들이 위험하다. 아이덴티티 도난 역시 간과할 수 없는 위험이다. 심지어 랜섬웨어 공격도 가능하다.
이는 클라우드라는 기술이 떠오르기 시작하면서 예견된 일이기도 하다. 클라우드 컴퓨팅은 데이터 저장과 활용, 협력 등이란 면에서 전혀 새로운 경험을 제공하면서 각광을 받아오고 있다. 그 경험이 얼마나 괜찮고 편리한지, 이제 우리는 클라우드 이전의 때로 돌아갈 수 없게 되었다. 하지만 해커들은 알고 있었다. 의존하는 요소는 공격 요소가 된다는 것을 말이다.
이론상 클라우드를 기반으로 하고 있는 자산들은 탄탄하고 물샐 틈 없는 인증 시스템으로 보호 받아야 한다. 클라우드 내에 자리 잡고 있는 자산들을 생각하면 엉성한 비밀번호 한 가지로 보호한다는 게 얼마나 무식하도록 대담무쌍한 일인지 알 수 있다. 클라우드 환경에서는 다중 인증이 최소한의 보호 장치가 되어야 한다.
하지만 흥미롭게도 다중 인증을 실제로 도입하는 사용자들은 극히 드물다. 데이터에 접근하는 데 있어 장애물을 두기 싫어하는 마음 때문이다. 인증은 사용자들에게 언제나 장애물처럼 인식될 수밖에 없다. 이런 인식이 좀 바뀌고, 다중 인증이 대세가 되면 클라우드와 관련된 사건 사고가 좀 줄어들 것이다. 소셜엔지니어링으로 비밀번호를 알아내는 것이 주요 수법인 클라우드 재킹 공격 역시 유행하기 힘들 것이다.
혹시 산업 내 소식들에 귀를 기울이는 편인가? 필자는 다른 건 몰라도 보안 사고 소식은 한 번쯤 읽어보길 권한다. 왜냐하면 보안 사고 거의 대부분이 피해자의 실수나 부주의와 관련되어 있기 때문이다. 즉, 사건 하나하나가 보안 강화 교육 자료라는 것이다. 물론 국가의 지원을 받는 조직적인 해킹 단체가 뛰어난 기술력을 발휘해 방어막들을 뚫고 들어오는 것은 불가항력적이라 교육으로 어떻게 할 수 없다.
클라우드와 관련된 보안 교육을 강화하고 보안 기술력을 높이는 건 지금 시점에서 매우 중요하다. 앞으로 인공지능 기술까지 가세하여 클라우드는 더 살벌한 전쟁터가 될 것이기 때문이다. 특히 클라우드 환경에서의 실시간 인증 혹은 지속적, 맥락적 인증이라는 기술이 강조되고 있다는 걸 생각해보면 앞으로 본 주인을 인증하려는 시도는 더 강화되고 공격은 더 치열해질 것이라는 게 당연하다. 클라우드 전쟁은 이제 막 막이 올랐다.
현재 클라우드 재킹을 시도하는 사이버 공격자들은 ‘시스템 내 취약점’과 ‘사용자의 취약점’ 두 가지를 노리고 있다고 말할 수 있다. 그렇다면 클라우드 재킹에 대한 방어는 어떻게 해야 할까? 시스템 내 취약점과 사용자의 취약점을 반복해서 줄이고 제거해야 한다. 패치는 기계에만 적용하는 게 아니다. 보안 교육도 항상 진행해야 한다. 특히 공격자들이 새로운 전략과 기법에 대한 교육도 지속해야 한다. 뿐만 아니라 실수와 부주의를 최소화 하기 위한 업무 프로세스와 정책도 필수다.
클라우드는 지난 달의 데이터 뱅크와 달리 해커들이 정말로 공격해보고 싶은 표적이다. 실제 2019년 한 해 동안 클라우드 시스템들의 3/4이 사이버 공격을 경험했다. 클라우드가 태생적으로 보유할 수밖에 없는 그 수많은 데이터를 생각해 보라. 해커들이 건드려보지 않는 게 더 이상할 정도다. 심지어 코로나를 지나며 더 많은 데이터가 클라우드로 옮겨 갔으니 2021년은 더 심한 ‘클라우드 공격의 해’가 될 예정이다.
주요 클라우드 서비스 제공자들은 복잡하고 어려운 클라우드 사용 정책과 약관을 운영하고 있다. 왜? 보안 사고에 대한 책임이 고객들에게 있다는 근거를 마련하기 위해서다. 그리고 실제로 이들은 이런 규정들을 근거로 해서 책임을 고객들에게 잘도 물린다. 이런 흐름은 옳고 그름을 떠나 고객들이 클라우드 서비스에 대해 더 잘 이해하고 있어야 한다는 걸 의미한다. 개인적으로 클라우드에서의 보안 사고는 고객 잘못이라는 인식이 상식처럼 굳어질 것으로 보고 있다.
상기했지만, 우리는 이제 클라우드 이전 시대로 되돌아갈 수 없다. 오히려 클라우드 안으로 들어가려는 수많은 이들의 걸음이 이미 예정되어 있다. 이 흐름에 해커들도 섞여들 것 역시 예정되어 있다시피 하다. 서비스 제공업자들이 일방적으로 해주는 설명만 믿고 클라우드 인프라로 들어갈 것인가? 아니면 앞으로 우리 조직이 머물러야 할 환경에 대해 더 적극 배워볼 것인가? 이건 선택의 문제가 아니다.
‘아무 것도 하지 않으면 중간은 간다’는 건 오래된 말이고, 클라우드 시대에는 통하지 않는 말이다. 새로운 시대에는 새로운 보호 장치가 어울린다. 비밀번호 하나로 관문을 지키는 건 더 오래된 방식이다. 시스템과 인프라는 자꾸만 새 것으로 바뀌는데 왜 예전 것들을 부여잡고 있는지 각자가 스스로를 검토해야 할 때다.
글 : 버나드 브로드(Bernard Brode), Researcher, Microscopic Machines
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 새로운 위협이 떠오르고 있다. 바로 ‘클라우드 재킹.’ 클라우드 기술에 의존하는 개인과 기업이 늘어나면서 자연스럽게 생겨난 것으로, 조만간 사이버 범죄 시장의 주류 공격 기법이 될 것으로 보인다. 클라우드 재킹(cloud jacking)은 ‘클라우드 계정 하이재킹(cloud account hijacking)’이라고 불리기도 한다.
[이미지 = utoimage]
간단히 말해 클라우드 재킹이란, 기업이나 개인의 클라우드 접속 계정을 훔쳐내는 것을 말한다. 주로 소셜엔지니어링 기법이 활용된다. 계정을 훔친 공격자는 사실상 모든 일을 할 수 있다. 특히 클라우드에 저장된 데이터들이 위험하다. 아이덴티티 도난 역시 간과할 수 없는 위험이다. 심지어 랜섬웨어 공격도 가능하다.
이는 클라우드라는 기술이 떠오르기 시작하면서 예견된 일이기도 하다. 클라우드 컴퓨팅은 데이터 저장과 활용, 협력 등이란 면에서 전혀 새로운 경험을 제공하면서 각광을 받아오고 있다. 그 경험이 얼마나 괜찮고 편리한지, 이제 우리는 클라우드 이전의 때로 돌아갈 수 없게 되었다. 하지만 해커들은 알고 있었다. 의존하는 요소는 공격 요소가 된다는 것을 말이다.
이론상 클라우드를 기반으로 하고 있는 자산들은 탄탄하고 물샐 틈 없는 인증 시스템으로 보호 받아야 한다. 클라우드 내에 자리 잡고 있는 자산들을 생각하면 엉성한 비밀번호 한 가지로 보호한다는 게 얼마나 무식하도록 대담무쌍한 일인지 알 수 있다. 클라우드 환경에서는 다중 인증이 최소한의 보호 장치가 되어야 한다.
하지만 흥미롭게도 다중 인증을 실제로 도입하는 사용자들은 극히 드물다. 데이터에 접근하는 데 있어 장애물을 두기 싫어하는 마음 때문이다. 인증은 사용자들에게 언제나 장애물처럼 인식될 수밖에 없다. 이런 인식이 좀 바뀌고, 다중 인증이 대세가 되면 클라우드와 관련된 사건 사고가 좀 줄어들 것이다. 소셜엔지니어링으로 비밀번호를 알아내는 것이 주요 수법인 클라우드 재킹 공격 역시 유행하기 힘들 것이다.
혹시 산업 내 소식들에 귀를 기울이는 편인가? 필자는 다른 건 몰라도 보안 사고 소식은 한 번쯤 읽어보길 권한다. 왜냐하면 보안 사고 거의 대부분이 피해자의 실수나 부주의와 관련되어 있기 때문이다. 즉, 사건 하나하나가 보안 강화 교육 자료라는 것이다. 물론 국가의 지원을 받는 조직적인 해킹 단체가 뛰어난 기술력을 발휘해 방어막들을 뚫고 들어오는 것은 불가항력적이라 교육으로 어떻게 할 수 없다.
클라우드와 관련된 보안 교육을 강화하고 보안 기술력을 높이는 건 지금 시점에서 매우 중요하다. 앞으로 인공지능 기술까지 가세하여 클라우드는 더 살벌한 전쟁터가 될 것이기 때문이다. 특히 클라우드 환경에서의 실시간 인증 혹은 지속적, 맥락적 인증이라는 기술이 강조되고 있다는 걸 생각해보면 앞으로 본 주인을 인증하려는 시도는 더 강화되고 공격은 더 치열해질 것이라는 게 당연하다. 클라우드 전쟁은 이제 막 막이 올랐다.
현재 클라우드 재킹을 시도하는 사이버 공격자들은 ‘시스템 내 취약점’과 ‘사용자의 취약점’ 두 가지를 노리고 있다고 말할 수 있다. 그렇다면 클라우드 재킹에 대한 방어는 어떻게 해야 할까? 시스템 내 취약점과 사용자의 취약점을 반복해서 줄이고 제거해야 한다. 패치는 기계에만 적용하는 게 아니다. 보안 교육도 항상 진행해야 한다. 특히 공격자들이 새로운 전략과 기법에 대한 교육도 지속해야 한다. 뿐만 아니라 실수와 부주의를 최소화 하기 위한 업무 프로세스와 정책도 필수다.
클라우드는 지난 달의 데이터 뱅크와 달리 해커들이 정말로 공격해보고 싶은 표적이다. 실제 2019년 한 해 동안 클라우드 시스템들의 3/4이 사이버 공격을 경험했다. 클라우드가 태생적으로 보유할 수밖에 없는 그 수많은 데이터를 생각해 보라. 해커들이 건드려보지 않는 게 더 이상할 정도다. 심지어 코로나를 지나며 더 많은 데이터가 클라우드로 옮겨 갔으니 2021년은 더 심한 ‘클라우드 공격의 해’가 될 예정이다.
주요 클라우드 서비스 제공자들은 복잡하고 어려운 클라우드 사용 정책과 약관을 운영하고 있다. 왜? 보안 사고에 대한 책임이 고객들에게 있다는 근거를 마련하기 위해서다. 그리고 실제로 이들은 이런 규정들을 근거로 해서 책임을 고객들에게 잘도 물린다. 이런 흐름은 옳고 그름을 떠나 고객들이 클라우드 서비스에 대해 더 잘 이해하고 있어야 한다는 걸 의미한다. 개인적으로 클라우드에서의 보안 사고는 고객 잘못이라는 인식이 상식처럼 굳어질 것으로 보고 있다.
상기했지만, 우리는 이제 클라우드 이전 시대로 되돌아갈 수 없다. 오히려 클라우드 안으로 들어가려는 수많은 이들의 걸음이 이미 예정되어 있다. 이 흐름에 해커들도 섞여들 것 역시 예정되어 있다시피 하다. 서비스 제공업자들이 일방적으로 해주는 설명만 믿고 클라우드 인프라로 들어갈 것인가? 아니면 앞으로 우리 조직이 머물러야 할 환경에 대해 더 적극 배워볼 것인가? 이건 선택의 문제가 아니다.
‘아무 것도 하지 않으면 중간은 간다’는 건 오래된 말이고, 클라우드 시대에는 통하지 않는 말이다. 새로운 시대에는 새로운 보호 장치가 어울린다. 비밀번호 하나로 관문을 지키는 건 더 오래된 방식이다. 시스템과 인프라는 자꾸만 새 것으로 바뀌는데 왜 예전 것들을 부여잡고 있는지 각자가 스스로를 검토해야 할 때다.
글 : 버나드 브로드(Bernard Brode), Researcher, Microscopic Machines
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 th.jpg)
.jpg)
.jpg){kind=spacer}
.jpg)
 THJ.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
