클라우드 보안사고 36%, 유효한 인증 정보 사용
클라우드 침해 33%, 사용자 엔드포인트 평문 저장된 자격증명
[데이터넷] 공격자가 클라우드를 공격하기 위해 가장 많이 사용하는 유효한 인증정보가 다크웹에서 10.68달러(약 1만4000원)에 판매되고 있으며, 다크웹에서 판매되는 클라우드 자산 중 크리덴셜이 90%에 가까웠다. 더불어 공격자들이 많이 사용하는 RDP 액세스 정보는 지난해 9.98달러에서 올해 10.67달러로 가격이 올랐다.
이는 IBM의 ‘엑스포스(X-Force) 클라우드 위협 보고서 2023’에 따른 것으로, IBM 위협 분석 팀인 엑스포스가 지난해 6월부터 올해 6월까지 자체 인텔리전스와 레드팀 침투테스트, 침해대응(IR) 분석 결과, 레드햇 인사이트, 그리고 다크웹 위협 분석 전문 기업 사이버식스길(Cybersixgill)의 데이터를 분석한 것이다.
보고서에 따르면 클라우드 보안 사고의 36%가 유효한 인증정보를 사용한 것이었으며, 클라우드 환경과 관련된 침해의 33%에서 사용자 엔드포인트에 평문으로 저장된 자격증명이 발견됐는데, 이 자격증명에는 과도한 권한이 부여되어있었다.
다크웹 위협 정보를 분석한 결과, SaaS에 유출된 인증정보를 판매하거나 요청하는 경우가 많았으며, 주로 요구하는 인증 정보는 광범위한 수준의 액세스가 가능한 사용자 이름과 비밀번호 세트였다. 특히 마이크로소프트 아웃룩과 워드프레스, 줌이 가장 자주 언급된 SaaS였다.
클라우드 공격 가능한 취약점, 194% 증가
클라우드 공격 가능한 취약점은 전년대비 194% 증가했다는 점은 매우 주의해야 할 점으로 보인다. 엑스포스는 3900개의 클라우드 관련 취약점을 추적하고 있으며, 올해 632개의 새로운 CVE가 공개됐다. 공격자는 초기 공격 벡터로 CVE 익스플로잇을 사용하며, 크립토마이너, 랜섬웨어, 멀웨어 배포 등에 사용하고 있다. 또 발견된 CVE의 40% 이상은 공격자가 정보를 얻거나(21%) 액세스 권한을 획득(20%)할 수 있는 것으로 나타났다.
보고서에서는 컨테이너·쿠버네티스 보안 문제도 지적했다. 특히 내부 API 사용이 늘어나는 쿠버네티스 클러스터 사용자 리소스 정의(CRD)를 악용한다고 설명했다. CRD 익스플로잇이나 잘못된 설정으로 인한 공격이 쉽게 일어날 수 있다고 설명했다.
가상환경을 이용한 공격도 꾸준히 증가하고 있는데, 미국 사이버 보안 및 인프라 보안국(CISA)과 FBI는 2023년 초 진행중인 랜섬웨어 캠페인에 대한 공동 권고문을 발표하고 VM웨어 ESXi 서버 취약점(CVE-2021-219747)에 대한 빠른 조치를 강조하기도 했다.
피해자 대역폭 재판매하는 ‘프록시재킹’, 한 달3억 수익 올려
프록시웨어를 이용해 피해자 컴퓨터 대역폭을 재판매하는 ‘프록시재킹’도 발견됐다. 공격자는 하나의 IP 주소당 24시간 내에 9.6달러를 벌었으며, 로그포제이(Log4j)를 이용해 배포하면 한 달에 무려 22만달러(약 3억원)의 수익을 올릴 수 있는 것으로 나타났다. 이 공격으로 피해자는 클라우드 요금 폭탄을 맞을 수 있다.
공격자들은 클라우드 리소스를 훔쳐 암호화폐를 채굴하는 크립토마이닝에 사용한다. 특히 자격증명을 탈취한 공격자들이 채굴에 필요한 리소스를 피해자 클라우드에서 사용하는데, 클라우드는 온프레미스에 비해 리소스를 철저하게 관리하지 않기 때문에 불법 채굴 행위를 들키지 않고 장기간 활동할 수 있다고 보고서는 설명했다.
보고서가 관찰한 기간동안 가장 많은 공격을 받은 산업군은 미디어·엔터테인먼트(21%)였는데, 이 산업은 여러 퍼블릭 클라우드를 사용하고 있기 때문이라고 분석했다.
한편 보고서에서는 클라우드 보안 전략을 수립·이행하기 위해 신뢰할 수 있는 전문가와 협력할 것과, 클라우드 침해에 대응하기 위한 계획을 수립하고 정기적인 테스트, 다크웹 모니터링을 통한 공격 정황 파악과 대응, 민감한 데이터 보호, 가상 네트워크 세분화를 통한 침해 확장 방지 등의 조치를 취할 것을 권고했다.
더불어 제로 트러스트 접근 방식을 적용해 MFA, 최소권한원칙의 보안 정책을 수립하며, 시스템 수명주기 전반의 취약성 검사, 정책 준수 검사 등을 수행한다. 개방적이면서 통합된 보안 정책으로 파편화된 클라우드 전반의 보안 데이터를 연결하고, 플랫폼 기반 보안 기술로 특정 기술에 종속되지 않으면서 중앙집중식 통제를 가능하게 해야 한다고 덧붙였다.
