“클라우드 계정 99% 과잉 권한… 해커에게 문 열어주는 격”

팔로알토 네트웍스 유닛 42(Palo Alto Networks' Unit 42)가 발행한 보고서는 클라우드 인프라를 표적으로 하는 5개의 해커 그룹과 그들의 해킹 수법을 설명한다. 
 

과잉 접근 권한이 기업의 클라우드 보안을 취약하게 하는 것으로 나타났다. 팔로알토 네트웍스 유닛 42가 12일 발표한 보고서에 따르면 잘못 설정된 신원 및 접근 관리(Identity and Access Management, IAM)가 해커에게 공격할 틈을 주고 있다. 

기업이 IAM를 효과적으로 운영하는 데 어려움을 겪고 있다는 뜻이다. 이 보고서에는 5개의 클라우드 해커 그룹과 그들의 해킹 방식이 기술되어 있다. 

클라우드 계정 99%에 과잉 권한
보고서의 '신원 및 접근 관리(IAM): 1차 방어선' 영역에는, 1만 8,000개의 클라우드 계정과 200개 이상의 조직에서 관리하는 68만개 이상의 자격 증명 정보가 분석된 내용이 담겼다. 분석 결과 클라우드 사용자, 역할, 서비스 및 리소스의 99%에 60일 동안 사용하지 않은 '과잉 권한'이 부여된 것으로 나타났다. 보고서는 해커가 이러한 권한을 악용하여 공격 반경을 횡적, 종적으로 모두 확장할 수 있다고 경고했다. 

기업이 설정한 콘텐츠 보안 정책(Content Security Policy, CSP) 중 사용되지 않거나 과잉 부여된 권한이 사용자가 설정한 접근 권한보다 2배 더 많은 것으로 드러났다. 불필요한 권한을 제거하면 각 클라우드의 취약점을 줄일 수 있지만 현재 기업이 IAM 및 계정 정보를 정확하게 설정하지 않아 클라우드 보안이 취약하다는 분석이다. 

또한 부적합한 권한 설정이 클라우드 보안 사고를 초래하는 원인의 65%를 차지했다고 보고서는 밝혔다. 또한 클라우드 계정의 53%는 취약한 암호를 허용했고 44%는 암호 재사용을 허용했다고 한다. 그리고 조직의 거의 2/3(62%)가 클라우드 리소스를 공개 노출했다. “우리가 식별한 해커는 모두 클라우드 자격 증명을 수집하여 서버, 컨테이너 또는 노트북을 해킹하려고 했다. 많은 권한이 부여된 자격 증명이 유출된다면 해커는 전체 시스템에 접근할 수 있게 되니 매우 위험하다”라고 유닛 42는 경고했다. 

유닛 42가 분석한 5개의 클라우드 해커 그룹
유닛 42는 클라우드 서비스 플랫폼을 표적으로 하는 5개의 해커 그룹을 분석했다. 이들의 특징은 특유의 권환 확대(privilege escalation) 수법을 활용하고 자격 증명을 수집한다는 것이다.

이 중 세 그룹은 권한 탐지(permission discovery) 및 컨테이너 리소스 탐지(container resource discovery) 같은 수법으로 컨테이너 자체를 공략했다. 두 그룹은 컨테이너 이스케이프(container escape) 수법을 이용했다. 5개의 그룹 모두 클라우드 자격 증명을 수집했다. 각 해커 그룹의 특징은 다음과 같다:

팀TNT(TeamTNT): 이 그룹은 가장 정교한 클라우드 ID 목록(cloud identity enumeration) 수법을 쓰는 것으로 알려졌다. 해킹 수법으로는 쿠버네티스(Kubernetes) 클러스터 내 횡적 이동, IRC 봇넷 설정, 모네로(Monero) 암호화폐를 채굴하려 해킹된 클라우드 워크로드 리소스를 하이재킹하는 방법이 있다. 

워치독(WatchDog): 유닛 42에 따르면 이 그룹은 정교한 해킹 기술력을 가지고 있음에도 단순한 해킹 방법을 선호한다. 맞춤형 Go 스크립트와 다른 그룹(TeamTNT 포함)의 용도 변경된 크립토재킹 스크립트(cryptojacking script)를 사용하며, 노출된 클라우드 인스턴스(cloud instance) 및 애플리케이션을 공략할 기회를 호심탐탐 노리는 위험한 그룹이다. 

킨싱(Kinsing): 클라우드 자격 증명을 수집할 가능성이 큰 또 다른 클라우드 해커 그룹이다. 이 그룹은 Ubuntu 컨테이너에서 실행되는 GoLang 기반 악성 프로세스를 사용하여 노출된 도커 데몬(Docker Daemon) API를 겨냥한다. 최근에는 컨테이너 및 클라우드 자격 증명 같은 도커(Docker) 컨테이너 외부 파일을 노리기 시작했다. 

록크(Rocke): 갈수록 정교한 클라우드 엔드포인트 목록(cloud endpoint enumeration) 수법을 사용하는 오래된 해커 그룹이다. 클라우드 환경 내 랜섬웨어 및 크립토재킹 공격을 주로 하며 해킹된 Linux 시스템을 이용하는 것으로 알려져 있다.

8220: Rocke의 사촌 뻘인 이 그룹은 공격 대상을 컨테이너까지 확장 중이다. 주로 이용하는 도구는 ‘XMRig Monero’ 채굴기의 변형 버전인 ‘PwnRig’ 또는 ‘DBUsed’이다. 이 그룹은 록크 그룹 소프트웨어의 깃허브(Github) 포크에서 시작된 것으로 알려져 있다.  

잘못 설정된 IAM, 가장 많이 공격받는 취약점 
유닛 42는 기업이 IAM을 올바르게 설정해야 한다고 강조했다. 그래야 불필요한 접근을 방지하고, 클라우드 활동을 가시화하고 보안 사고의 영향을 줄일 수 있다고 설명했다. 그럼에도 클라우드의 역동성과 복잡성 때문에 IAM을 제대로 설정하는 것은 어렵다고 덧붙였다. IAM 관리 부실은 항상 해커들이 공격에 가장 흔히 이용하는 취약점이자 시작점이라고 인정했다. 

유닛 42는 “기업이 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)을 구성하고 IAM 권한을 더 세밀하게 관리하며 보완을 자동화해야 한다”라고 당부했다. ciokr@idg.co.kr