“모든 클라우드 자산·이벤트 통합 분석·대응하는 종합 프로세스 필요”
[데이터넷] 금융기관 A는 머신러닝을 이용한 사기거래 탐지 시스템을 갖춰 점점 더 높은 수준의 정교한 이상거래를 탐지하고 차단해왔다. 그런데 어느날 거액의 금액이 사기범죄 계좌로 이체된 것을 발견했다. 사고를 조사한 결과 공격자들은 악성코드와 같은 공격도구를 사용하지 않았으며, 모든 과정은 인증 시스템의 정책을 지키면서 이뤄졌다.
범죄자는 학습 데이터를 찾아 수정할 수 있는 클라우드 계정에 대한 액세스 권한을 획득했다. 그리고 클라우드 인증을 사용하여 API 키를 생성했다. 스크립트에 API 키를 사용해 스토리지 위치를 열거했으며, 각 스토리지에서 학습 데이터를 검색했다. 허위 이벤트를 많이 삽입할 수 있게 학습 데이터를 수정했다.
금융사기 분석을 위한 배치 작업은 주로 야간에 이뤄지는데, 이 때 공격이 성공하면 수백만 개의 허위 거래 정보가 추가된 변조된 데이터가 포함된다. 다음 날 의심스러운 계좌로 거액의 송금이 이뤄질 때 정상적인 거래로 간주된다. 범죄자는 시스템에서 탐지되지 않고 사기 거래를 성공적으로 마칠 수 있었다.
자동화 기술로 클라우드 이벤트 분석해야
상기 사례는 파이어아이의 클라우드 보안 백서 ‘효과적인 클라우드 보안에 대한 파이어아이의 접근방법’에서 예시로 든 금융사 공격 사례이다. 이 사례에서 공격자가 사용한 것은 머신러닝과 클라우드 계정이다. 범죄자는 정상 프로세스를 이용해 공격을 이어갔지만, 몇 몇 과정에서 이상행위가 발생한 것을 찾을 수 있다.
우선 생소한 네트워크에서 클라우드 콘솔에 로그인했으며, 신규 API 키를 생성했고, 정찰을 위한 ‘list’ 및 ‘describe’ API 호출이 증가했다. 새로운 소스에서 학습 데이터가 변조됐고, 금융 서비스 회사가 통상적으로 사업을 운영하지 않는 클라우드 서비스 지역에 클라우드 리소스가 생성됐다.
개별적인 이상행위는 분명 정상적이지 않지만, 보안운영센터(SOC)에서 주목할만큼 높은 수준의 위협은 아니었다. 따라서 단절된 시스템의 모니터링만 하는 정책으로는 이상거래를 탐지하지 못하며, 이러한 일련의 활동을 지속적으로 추적하고 연관분석해야 SOC에서 주목해야 하는 이벤트로 분류될 수 있다.
파이어아이 백서에서는 ▲모든 관련 이벤트 수집 및 정규화 ▲데이터 주기, 지리적 정보 및 그 외 다른 분석 수행 ▲분석 결과의 상관관계 파악 ▲자세한 검토를 위해 SOC 분석가에게 결과 보고 등이 필요하다고 설명하며 “SOC는 클라우드 감사 이벤트를 수집하는 강력한 자동화 기술이 필요하다. 여러 이벤트가 연속적으로 발생하고 패턴이 형성됐을 때 이를 식별할 수 있어야 한다”고 설명했다.
“침해사고 25%, 클라우드 관련”
백서에서는 퍼블릭 클라우드가 기존 데이터센터보다 안전한 측면이 있지만, 클라우드 이용률이 높아지면서 클라우드로 인한 침해사고가 늘어나고 있다고 지적했다. 로직모니터의 조사에 따르면 올해 엔터프라이즈 워크로드의 83%가 클라우드로 이전했다. 파이어아이 맨디언트가 올해 수행한 침해사고의 25%는 클라우드 자산과 관련돼 있었다. 이른 지난해 보다 증가한 수치이며, 앞으로 더 증가할 것으로 보인다.
클라우드 환경에서 가장 취약한 데이터와 인증 정보가 방치돼 있는 것은 매우 심각한 문제다. 조직의 49%만이 클라우드에서 민감데이터를 암호화한다. 78%가 암호화 키의 특정 책임자만이 권한을 유지하는 것이 중요하다고 말하고 있지만, 이 중 53%는 클라우드에서 데이터를 암호화할 때 암호화 키에 대한 제어가 가능하게 돼 있다.
백서에서는 클라우드 보안 위험성을 경고하면서 퍼블릭 클라우드로 이전하려는 기업의 보안팀은 ▲새로운 보안 역량 및 기술을 강화하고 ▲자산 트래킹을 지속적으로 실시하며 ▲분산 계정을 관리해 쉐도우 IT(shadow IT) 문제를 방지하고 ▲데이터 보호 방안 확보, 클라우드 활동 추적 및 로깅을 진행하는 등 다양한 보안 체계를 마련해야 한다고 제안했다.
한편 파이어아이는 퍼블릭 클라우드 보안을 위해 ▲맨디언트를 통해 클라우드 아키텍처와 보안 평가를 제공하며 ▲‘클라우드바이저리’를 통해 클라우드 가시성과 컴플라이언스를 지원하며 ▲‘네트워크 시큐리티’와 ‘디텍션 온디맨드’를 통해 알려진/알려지지 않은 위협에 대응하고 ▲‘힐릭스’를 통해 보안 툴을 통합하고 SIEM, SOAR, 위협 인텔리전스를 통해 보안성을 높인다.
