지하시장서 클라우드 권한 무료 판매…공격 방법 온라인 강좌도 운영
[데이터넷] 클라우드 최대 위협은 잘못된 설정, 사용자의 실수다. 지난해 잘못된 환경 구성으로 10억개가 넘는 데이터가 유출됐으며, 클라우드 자산에 무단으로 액세스해 1시간에 5만달러(약 5700만원)의 손실이 발생할 수 있는 것으로 나타났다.
이는 IBM ‘클라우드 위협 환경 보고서 2020’에 따른 것으로, 사이버 범죄자들은 클라우드 애플리케이션에 대한 무차별 대입과 익스플로잇 공격을 진행했고, 개인식별정보 탈취 공격을 가장 많이 진행했다. 클라우드에 가장 많이 배포된 멀웨어는 랜섬웨어로, 암호화폐 채굴·봇넷 멀웨어보다 3배 더 발생했다.
중요 시스템 접근 위해 클라우드 이용
보고서의 상세 내용을 살펴보면, 공격자들은 주로 금전적 목적을 위해 클라우드를 공격하고 있으며, 이들을 위해 지하시장에서 클라우드 서비스와 계정을 판매한다. 러시아어로 운영되는 한 지하 포럼에서는 대규모 퍼블릭 클라우드를 매월 무제한으로 이용할 수 있는 권한을 판매하고 있으며, 다른 그룹에서는 15달러에 대규모 퍼블릭 클라우드 액세스 키를 판매하고 있다.
클라우드에 호스팅된 특정 계정에 침투할 수 있도록 도와주는 서비스도 판매되고 있으며, 피싱 사이트를 운영하는 방법, 훔친 신용카드 정보를 사용해 공격하는 방법을 알려주는 온라인 강좌도 운영되고 있다.
금전적 목적의 공격보다 빈도는 낮지만 국가주도형 공격도 많은 피해를 양산한다. 이들은 스파이 활동 혹은 금전적 수익을 위한 활동을 병행하기도 하며, 제 3자 시스템에 액세스하기 위해 공격하는 경우도 있다. 이들은 전략적 인텔리전스를 획득하기 위해 클라우드를 표적으로 삼고 있는 것으로 보인다.
익스플로잇 이용 공격 45%
범죄자들이 클라우드에 접근하는 방법은 익스플로잇이다. IBM이 지난해 1월부터 올해 5월까지 발견한 클라우드 애플리케이션에 대한 원격 익스플로잇은 전체 이벤트의 45%를 차지했다. 또한 섀도우 IT로 인한 취약점도 심각한 상황으로, 사용자들이 승인되지 않은 클라우드 애플리케이션을 사용해 전체 환경을 위험에 빠뜨리고 있다. 클라우드 원격 취약점은 대부분 CVE 범위 밖에 있어 해결하기가 매우 어려운 상황이다.
공격자는 하나의 클라우드를 감염시킨 후 다른 클라우드로 측면 이동하면서 공격 범윌위를 넓혀간다. 대규모 퍼블릭 클라우드는 대규모 통신이 이뤄지는데, 공격자들은 탐지 매커니즘을 피하고 일반적인 운영 활동으로 위장하기 때문에 클라우드 간 통신에서 위협을 찾아내기 매우 어렵다.
클라우드 저장소에 대한 특권 접근 권한을 획득하는 것도 매우 큰 리스크다. 스위밍 업스트림(Swimming Upstream)이라고 불리는 이 공격은 클라우드에 대한 최초 액세스 권한을 확보한 후 호스트에 액세스하고 관리 시스템으로 이동해 여러 클라우드로 이동한다. 특권 권한으로 활동하며 정상적인 관리 활동으로 은폐하기 때문에 이상 정황을 알아차리기 어렵다.
올해 ‘퍼펙트 10.0’이라는 이름으로 공개된 이 취약점은 공격자는 클라우드에서 하드웨어 기반 격리를 해제하고, 코드를 가로채며, 프로그램을 조작해 동일한 하드웨어에 호스팅된 사용자 활동에 영향을 미칠 수 있다.
보안 사각지대 제거 방법 시급
한편 보고서는 클라우드를 안전하게 운영하기 위해 하이브리드 클라우드 보안에 대한 포괄적인 서비스를 제공하는 파트너를 이용할 것을 조언했으며, 예측되는·예측되지 않은 보안 이벤트를 시뮬레이션 해 공격 가능성을 제거하는 한편, 정책의 사각지대를 없애고, 클라우드 보안 베스트 프랙티스를 적용하며, 모니터링과 기록을 강화할 것을 권고했다. 더불어 위협 인텔리전스를 사용한 모니터링과 안전한 클라우드의 재배포, 인시던트 대응 자동화 등도 필요하다고 설명했다.
