[데이터넷] 크립토마이닝이 클라우드 액세스 정보 탈취를 통한 위협 행위의 2/3를 차지했다. 공격자는 정상적인 액세스 권한을 훔쳐 클라우드에서 무단으로 암호화폐를 채굴하고 수익을 얻는다. 이 방식은 클라우드 사용량에 대해 정밀하게 모니터링하지 않으면 발견되기 쉽지 않아 공격자는 장기간 피해조직의 리소스를 사용해 수익을 창출한다.

구글 클라우드의 ‘2024년 1분기 위협 지형’ 보고서에 따르면 구글 클라우드 이용자가 가장 많이 피해를 입는 것이 인증정보로, 데이터 탈취 사고의 절반 이상이 원격 액세스 프로토콜인 보안 셸(SSH), 원격 데스크톱 프로토콜(RDP)을 이용한다. 대부분 비밀번호가 없거나 강도가 약하게 설정된 것이며, 지하시장에서는 클라우드에 접근할 수 있는 인증정보를 몇 달러 수준으로 판매한다.

이렇게 획득한 인증정보로 클라우드 인스턴스에 무단으로 접속한 후 암호화폐 채굴뿐만 아니라 랜섬웨어, 데이터 탈취, 공급망 공격 등의 활동을 진행한다.

클라우드 설정 오류 이용하는 공격자

공격자는 클라우드 설정 상 발생하는 사소한 오류를 이용해서도 공격한다. 클라우드 스토리지 버킷 명명 규칙 악용 공격의 경우, 엔지니어가 *데이터1 및 *데이터2 버킷을 생성하고 사용자가 데이터를 저장했다면, 공격자가 버킷 이름 *데이터3 및 *데이터4를 설정해 사용자가 이 버킷에 데이터를 저장하도록 유도한다.

공격자는 다양한 클라우드 취약점을 이용하고 있는데, 리눅스와 VM웨어 ESXi 취약점을 악용하는 전용 랜섬웨어 빌드를 만들어 더 쉽게 공격하고 있다. 이외에도 백도어, 다운로더, 랜섬웨어 등 100개 이상 툴이 C2, 페이로드 호스팅, 데이터 유출 목적의 클라우드 활용 기술을 갖고 있다.

이 보고서에서는 중국이 클라우드 타깃 공격에 집중하고 있다는 사실을 강조하며 대안 마련이 필요하다고 역설했다. 중국은 디지털 강국을 만들기 위해 아프리카, 남미 대륙을 포함한 전 세계 경계·인프라 프로젝트 일대일로를 진행하고 있다. 동시에 인민해방군(PLA), 국가안전부(MSS), 기타 국방 기관과 연계된 위협 행위자들이 지속적으로 진화하고 있으며, 탄력적인 봇넷을 운영하면서 공격 효과를 높이고 있다.

정교한 모니터링과 로그 분석으로 대응해야

구글 클라우드는 이러한 위협으로부터 클라우드를 보호하기 위해서는 강력한 다중인증과 IAM, 데이터 암호화, 정교한 이상행위 식별과 위협 탐지 기술이 필요하다고 설명했다. 특히 공격자는 로그와 공격 흔적을 지우면서 활동하기 때문에 실시간 모니터링과 로그 분석이 필요하다.

클라우드에서 로그를 관리할 때 관리자 활동, 시스템 이벤트 감사 로그와 같이 기본적으로 사용 설정돼 비활성화할 수 없는 로그가 있는 반면, 데이터 액세스 감사 로그, 네트워크 로그와 같이 비용과 관련이 있고 고객이 사용 설정 및 구성해야 하는 로그도 있다.

또한 사고 발생 시 필요한 주요 인사이트를 사용할 수 있고 자동으로 손실되지 않도록 로그의 보존 기간을 고려하는 것도 중요하다. 사용 설정할 로그 유형에 대한 지침은 다양한 출처에서 제공된다. 일반적으로 엔드포인트, 애플리케이션 로그, 네트워크 로그 및 클라우드 로그의 원격 측정이 포함될 수 있다.

보안 이벤트를 기록하는 것 외에도 네트워크 트래픽, 사용자 활동, 시스템 변경 사항 등 기타 관련 정보를 기록하는 것도 중요하다. 이러한 정보는 향후 활동을 측정하기 위한 기준 동작을 설정하여 조직이 환경을 더 잘 이해하고 잠재적인 보안 위험을 식별하는 데 도움이 될 수 있다.

김선애 기자 다른기사 보기