클라우드 환경에서 반복적으로 나타나는 해킹 그룹 이씨투그루퍼

최근 몇몇 공공 클라우드 환경에서 새로운 해킹 그룹이 반복적으로 등장하고 있다. 이들은 클라우드에 잠입한 후 가상 방화벽을 생성하여 스스로의 규칙을 설정하거나 파워셸 도구를 악용하는 등의 패턴을 보이고 있다. 다만 그 이후의 행적은 존재하지 않는다.

3줄 요약
1. 클라우드 생태계 안에서 자신들만의 영역을 구축하려는 시도가 발견됨.
2. 이 공격의 배후 세력에는 이씨투그루퍼라는 이름이 붙음.
3. 다행히 영역 확보 시도 후에는 별다른 악성 행위가 없음.

[보안뉴스 문가용 기자] 보안 업체들은 수많은 고객사들의 네트워크와 시스템들을 들여다보며 보안 상태를 점검하거나 위협을 제거하는 등의 활동을 한다. 그러다 보면 대단히 비슷한 유형의 위협들을 꾸준히 마주치기도 하고, 심지어 동일 인물이나 단체로 여겨지는 세력과 자꾸만 조우하기도 한다. 보안 업체 포티넷(Fortinet)의 경우, 이씨투그루퍼(EC2 Grouper)라는 단체와 수년 동안 맞닥트렸다고 한다. 이들은 공격을 진행할 때마다 비슷한 사용자 에이전트를 사용하거나 동일한 보안 그룹 네이밍 규칙과 패턴을 보였다.

[이미지 = gettyimagesbank]

공격 진행 순서
이씨투그루퍼가 실시하는 모든 공격 중 클라우드와 관련된 활동들은 주로 자동화 기술을 기반으로 진행되는 것으로 보인다는 게 포티넷의 설명이다. “공격자는 처음에 DescribeInstanceTypes라는 호출 명령을 통해 환경 내 EC2 유형에 어떤 것이 있는지 확인하여 목록화 하고, 이후 DescribeRegions를 호출해 사용할 수 있는 클라우드 리전을 수집합니다. 사용 가능한 리전을 확보한 뒤에는 각 리전에 대해 API 호출들을 반복적으로 실행합니다. 클라우드 자원 상황을 요청한다든가, 보안 그룹을 조회한다던가, 리소스를 할당하는 등의 호출들입니다.”

여기서 흥미로운 점이 하나 나온다고 포티넷은 지적한다. “AuthorizeSecurityGroupIngress가 호출된 사례가 한 번도 없다는 겁니다. 이는 EC2 보안 그룹에 인바운드 접근 규칙을 설정하는 데 꼭 필요한 필수 작업인 말입니다. 하지만 위의 호출들 외에 CreateInternetGateway와 CreateVpc는 여러 번 발견됐습니다. 이 두 가지는 원격 접근을 위해 꼭 필요한 작업들을 수행합니다.”

그렇다면 이 이씨투그루퍼는 왜 사용자들의 클라우드 환경에 접근하여 설정을 바꾸거나 가상 방화벽을 생성하는 걸까? 무엇을 위한 것일까? “사실 그런 행동들 이후 특별히 뭔가를 하려는 시도가 발견된 적은 없습니다. 특히 공격자들이 수동적으로 뭔가를 하려는 시도가 전혀 나오지 않습니다. 클라우드 플랫폼들이 본격적인 악성 행위가 시작되기 전에, 즉 이들이 위에 묘사된 방법으로 공격의 준비를 하는 동안 탐지와 차단 작업을 마치는 것으로 보입니다.”

이씨투그루퍼가 클라우드 환경에 침투하여 하는 모든 일들의 궁극적 목적은 아직 알 수 없다는 설명이다. 아직 조사가 덜 되서 그랬다기보다 본격적 공격의 기회가 주어지지 않았기 때문일 확률이 높다는 게 포티넷의 추측이다. “하지만 클라우드라는 자원을 중간에서 가로채 자신들의 컴퓨팅 파워로서 활용하려 했을 가능성이 높아 보입니다. 보통 클라우드를 공략하는 사이버 공격자들은 클라우드 자원을 활용해 암호화폐를 채굴하려고 하는 편이었는데, 이씨투그루퍼도 그 중 하나일지 아닐지는 아직 확실히 말할 수 없습니다.”

어떻게 탐지해야 하는가?
그런데 여기서 한 가지 의문이 남는다. 이씨투그루퍼가 애초에 어떻게 클라우드 환경에 접근하냐는 것이다. 그들이 파워셸 도구를 악용하든, 보안 그룹을 생성해 이름을 비슷한 패턴으로 짓든, 결국 클라우드에 대한 접근이 성립되어야만 가능한 일이다. 포티넷은 아직 이들의 최초 침투 방법을 파악하지는 못했다.

“어떤 클라우드 공격이라도 실제 정상 계정이 사용됐다면, 그건 그 계정의 로그인 크리덴셜이 어떤 식으로든 유출됐다는 뜻입니다. 크리덴셜이 유출되는 경로는 여러 가지입니다만, 코드 공유 리포지터리가 주된 노출 경로로 작용할 때가 많습니다. 개발자가 소프트웨어나 서비스를 개발하고 실험하는 단계에서 접근 키나 크리덴셜을 실수로 코드 속에 저장해놓고 잊어버리는 경우가 빈번하거든요. 공격자들도 이걸 알고 있어서 코드 리포지터리를 종종 스캔하며, 크리덴셜을 그런 식으로 자주 수거해 갑니다.”

이씨투그루퍼도 이런 식으로 크리덴셜을 확보하여 공격을 수행했을 거라고 포티넷은 추측하고 있다. “이씨투그루퍼만이 아니라 다른 해킹 단체들도 이런 방법으로 클라우드 계정에 접근합니다. 그러므로 코드 리포지터리 등을 스캔하는 서비스를 활용하여 혹시 우리 회사 개발자가 남긴 크리덴셜이 어디엔가 공개되어 있지 않은지 주기적으로 확인하는 게 좋습니다.” 예를 들어 깃가디언(GitGuardian)과 깃허브(GitHub)에서 제공하는 스캔 서비스 등이 있다고 포티넷은 추천한다.

그래서?
클라우드 환경에서 일어나는 악성 행위를 식별한다는 건 그리 쉬운 일이 아니다. 특히 일반 클라우드 사용자들이 이상함을 느낌으로 파악하는 건 대단히 어렵다. 하지만 클라우드 서비스 자체가 취약하여 침투를 당하는 사례는 거의 없고, 대부분은 사용자의 크리덴셜을 여러 가지 방법으로 빼앗는 것으로 클라우드 공격은 시작된다. 그러므로 클라우드 환경을 보호하려면 이상함을 탐지하려고 애쓰는 것보다 각자가 자기 계정의 크리덴셜을 잘 관리하는, 예방적 조치부터 시작해야 한다.

이씨투그루퍼의 공격에서 나타나는 유사성들에 대한 상세 정보와, 이들이 공격에 활용하는 여러 API 호출에 대한 상세 내용은 1월 9일에 발행되는 프리미엄 리포트 내 보안뉴스 확장판 섹션을 통해 열람이 가능합니다.
[국제부 문가용 기자(globoan@boannews.com)]

올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)