Offcanvas

보안 / 분쟁|갈등 / 악성코드 / 클라우드

“크립토재커가 1달러 벌 때마다 피해자는 53달러 손해본다” 시스딕

2022.09.29 Apurva Venkat  |  CSO
사이버 보안 업체 시스딕(Sysdig)의 ‘2022 클라우드 네이티브 위협 보고서(2022 Sysdig Cloud Native Threat Report)’에 따르면 크립토재커가 ‘1달러’를 벌 때마다 피해자는 ‘53달러’를 잃는 것으로 조사됐다. 

지난 수요일 발표된 보고서는 ‘크립토재킹’이 클라우드에서 실행되는 컨테이너 기반 기스템을 타깃으로 하는 일반적인 공격 유형이 됐으며, 지정학적 갈등(주로 러시아의 우크라이나 침공과 관련 있음)이 올해 디도스(DDoS) 공격 증가에 영향을 미쳤다고 밝혔다. 

아울러 보고서는 컨테이너가 클라우드 기반 시스템에서 점점 더 많이 사용되면서 공급망 공격의 중요한 공격 벡터가 됐다고 덧붙였다. “컨테이너 이미지는 이식 가능하도록 설계됐기 때문에 한 개발자가 다른 사용자와 컨테이너를 공유하기가 매우 쉽다. 개발자가 컨테이너 이미지를 공유할 수 있도록 컨테이너 레지스트리를 배포하기 위한 소스 코드를 제공하거나, 컨테이너 레지스트리를 무료로 액세스할 수 있는 여러 오픈소스 프로젝트가 있다”라고 보고서는 설명했다.  
 
ⓒGetty Images Bank

악성 이미지가 포함된 퍼블릭 컨테이너 리포지토리
보고서는 도커 허브(Docker Hub)와 같은 퍼블릭 컨테이너 이미지 리포지토리가 합법적인 소프트웨어 애플리케이션으로 위장한 크립토마이너, 백도어 및 기타 위협 벡터를 포함하는 악성 이미지로 채워지고 있다고 언급했다. 

이어 암호화폐를 채굴하기 위해 컴퓨팅 인프라를 무단으로 사용하는 크립토재킹이 (광범위하게 공격한 다음 누군가 걸려들길 기다리는) 기회주의형 공격자의 주된 동기이며, 치명적인 취약점과 취약한 시스템 구성을 악용한다고 보고서는 전했다. 

시스딕의 위협 연구 부문 책임자 마이클 클라크는 “도커 허브를 분석한 결과 데이터 세트에서 발견된 총 고유 악성 이미지는 1,777개였다. 그중 608개 또는 34%의 컨테이너에 마이너 악성코드가 있었다”라고 말했다. 

그에 의하면 크립토재킹이 확산되고 있는 이유는 공격자가 ‘로우리스크 하이리턴’, 즉 큰 위험을 감수하지 않고도 큰돈을 벌 수 있기 때문이다. 실제로 크립토재커가 1달러를 벌 때마다 피해자는 53달러의 컴퓨팅 리소스 비용을 청구 받는 것으로 조사됐다. 

이는 ‘팀TNT(TeamTNT)’라고 알려진 사이버 범죄 그룹이 수행한 크립토재킹 활동과 크립토마이닝 비용을 분석한 결과를 바탕으로 한다고 회사 측은 설명했다. 

시스딕의 위협 리서치 팀(Sysdig TRT)은 허니팟의 글로벌 네트워크를 사용하여 해당 팀의 크립토재킹 활동을 추적할 수 있었는데, 팀TNT가 훔친 클라우드 인프라에서 8,100달러의 암호화폐를 채굴하면서 피해자들은 43만 달러 이상의 피해를 입었다. “이는 AWS 인스턴스에서 하나의 암호화폐 코인을 채굴하는 데 드는 비용이 얼마인지 파악하고, 해당 코인의 달러 가치와 비교하여 계산했다”라고 클라크는 덧붙였다. 

이어 “피해자가 값비싼 클라우드 인프라 비용을 부담하는 동안 공격자가 부담하는 비용은 사실상 0원이다”라고 그는 덧붙였다. 

‘러시아-우크라이나 분쟁’으로 늘어난 디도스(DDoS) 공격 
또한 보고서는 러시아의 우크라이나 침공 이후 컨테이너를 사용한 디도스 공격이 급증했다고 밝혔다. “IT 인프라와 유틸리티를 교란시키려는 목표로 인해 디도스 공격이 4Q21에서 1Q22 사이에 무려 4배 증가했다. 이에 (우크라이나 부총리가 도움의 손길을 요청했고) 15만 명 이상의 이른바 ‘자원봉사 해커’가 러시아를 타깃으로 한 디도스 공격에 참여했다”라고 보고서는 전했다. 

이 밖에 킬넷(Killnet)이라고 하는 친러시아 핵티비스트 그룹도 나토(NATO) 국가에 여러 차례 디도스 공격을 감행했다. 여기에는 이탈리아, 폴란드, 에스토니아, 우크라이나, 미국의 웹 사이트가 포함됐다. 시스딕은 “오늘날 수많은 사이트가 클라우드에서 호스팅되기 때문에 디도스 보호가 중요하지만 아직 보편화되진 않았다. 때때는 숙련된 해커가 이를 우회할 수도 있다”라고 설명했다.  

클라우드 시스템 공격 방지
시스딕에 따르면 클라우드 기반 시스템을 타깃으로 한 공격을 막는 가장 좋은 방법은 계층화된 방어다. 클라크는 “클라우드 보안팀은 공격자가 인프라를 손상시키기 어렵도록 취약점 및 권한 관리 등의 사전예방적 통제를 구축해야 한다”라고 말했다. 아울러 머신러닝 기반 크립토마이너 탐지 등의 기술을 활용해 보안팀에 위험을 경고하고, 통과하는 모든 공격을 차단해야 한다고 그는 언급했다. 

이를테면 IAM(Identity and Access Management)과 CIEM(Cloud Infrastructure Entitlements Manager) 기술을 기반으로 한 사전예방적 통제를 사용하면 공격자가 합법적인 사용자를 대신해 인스턴스를 프로비저닝하기 어렵다고 클라크는 설명했다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.