사이버 공격자들, AWS마저 악성 행위에 활용하기 시작

기초적인 암호화폐 채굴이나 AWS 키 탈취하는 것과는 달라
AWS가 제공하는 기능과 서비스 최대한 활용...APT 공격자들의 신무기

[보안뉴스 문가용 기자] 사이버 공격자들이 고급 기술을 활용하고 있다는 증거들이 속속 등장하고 있다. 최근에는 공격자들이 아마존과 같은 초대형 클라우드 공급자들을 노리며, 클라우드에 특정되어 있는 기능들을 사용해 자신들의 활동을 감추고 있다는 내용이 발표됐다. 한 마디로 클라우드를 자신들의 공격에 이용한다는 것이다.

[이미지 = iclickart]

이 발표는 보안 업체 쓰레트 스택(Threat Stack)에서 한 것으로, 지난 몇 년 동안 클라우드를 활용한 공격자들을 추적해온 성과물이라고 볼 수 있다. 쓰레트 스택이 가장 먼저 의심스러운 패턴을 발견한 건 2016년의 일이었다. 클라우드의 대표주자 AWS에서였다. 쓰레트 스택의 CSO인 샘 비즈비(Sam Bisbee)는 “공격자들의 클라우드 활용 숙련도가 갈수록 좋아지고 있더군요. 그 흐름은 2017년에도 이어졌습니다.”

연구를 이어갔는데, 문제는 AWS가 아니었다. 공격자들이 영악하게 AWS를 사용하고 있었다. “AWS 서비스나 소프트웨어에 내 취약점이 있었던 것도 아니고, 아마존 측에서 뭔가 허점을 내준 것도 아닙니다. 공격자들이 AWS의 기능들과 속성들을 매우 수준 높은 방법으로 교묘하게 활용하던 것이었죠.”

보통 AWS를 공격자들이 노린다고 하면, AWS 키를 훔치거나 설정 오류로 인터넷에 노출된 S3 버킷을 찾는 것이 거의 전부였다. 조금 더 발전하면 새로운 아마존 엘라스틱 컴퓨트 클라우드(EC2)를 새롭게 만들어 암호화폐를 채굴하는 것이 고작이었다. 심지어 사용자 기업들이 설정을 잘못하는 바람에 이런 활동을 공짜로 하는 경우도 있었다. 그래서 아마존은 AWS S3 데이터를 보호하기 위해 메이시(Macie)라는 보안 도구를 도입시키기도 했다.

이런 식의 공격도 충분히 골칫거리인데, 비즈비에 의하면 AWS를 활용한 사이버 공격은 훨씬 복잡해지고 정교해지고 있다고 한다. “최근 공격자들은 AWS에 있는 기능들에 네트워크 기반 침투 공격 기법을 합쳐내고 있습니다. 보안은 공격자와 방어자 간의 우위 점하기 싸움입니다. 이번에 공격자가 엄청난 기법을 들고 나타났으니 이제 방어자들이 대처해야 할 차례입니다.”

어떤 원리로 공격할까?
공격의 대부분은 크리덴셜 탈취로부터 시작된다. 비즈비는 “크리덴셜을 훔침으로써 시작하는 공격은 꽤나 흔해졌다”고 설명한다. 즉, 흔하디흔한 공격과 시작은 비슷하다는 것이다. “피싱 공격이나 정보 탈취 멀웨어, 깃허브 등의 레포지토리 검색과 같은 방법으로 해커들은 크리덴셜이나 접근 키를 쉽게 훔쳐낼 수 있습니다.”

크리덴셜을 훔치는 데 성공했다면 다음으로는 권한을 최대한 높게 올려야 한다. 훔쳐낸 계정이 어느 정도 권한이 있는지 확인한 후, 필요한 만큼 충분한 권한이 부여되어 있다면 의도했던 공격을 계속 진행하면 된다. 그렇지 않다면 AWS에 추가적인 역할이나 크리덴셜을 생성하고 새로운 EC2 인스턴스를 공격 대상이 되는 환경 내에 만든다.

“보통 AWS 계정들이 어떤 식으로 설정되어 있냐면, AWS 인스턴스를 네트워크 어디든 만들 수 있게 되어 있습니다.” 비즈비의 설명이다. 네트워크의 끝단에도 인스턴스를 만들 수 있고, 네트워크 중앙에도 만들 수 있는 것이다. 당연히 네트워크 중앙에는 가장 핵심적인 인프라와 데이터베이스가 있다.

그러므로 공격자는 이 시점부터 네트워크에 대한 교두보를 마련하는 것이 되고, 여기서부터 표적을 스캐닝할 수 있게 된다. 또한 자신이 만든 EC2 인스턴스를 통해 네트워크 내에서 횡적으로 움직이는 것도 가능하다. 비즈비는 “그러므로 네트워크 내에서 다른 호스트들을 익스플로잇 할 수도 있다”고 설명한다. EC2 인스턴스들은 IAM 권한도 가지고 있으며, 이를 바탕으로 RDS나 S3와 같은 AWS 서비스들에도 접근할 수 있게 된다.

이렇게 새로운 호스트에 접근하는 것에 성공하면 공격자는 AWS 권한을 확인한다. 필요한 권한이 다 있는 호스트라면 RDS API 호출을 통해서 데이터베이스로 들어간다. 그리고 필요한 정보를 찾아낸다. 찾는 데이터의 양이 적다면 단말기나 침해한 호스트들을 통해 DLP 툴을 우회해 정보를 빼갈 수 있다.

이런 식의 공격 패턴은 표적화된 지속 공격에서 주로 발견된다. 무작위 데이터가 아니라, 원하는 정보가 명확할 때, 그리고 그 정보가 저장되어 있는 곳이 어디인지 알고 있을 때 이런 식의 고급 공격이 시작된다고 비즈비는 설명한다. “생산, 금융 기술 분야 등이 공격자들 사이에서 인기가 높습니다.”

이런 식으로 AWS를 통한 공격 및 횡적 움직임을 탐지하기 어려운 건 보안 모니터링 기술에 한 가지 전제조건이 있기 때문이다. “공격자들이 호스트 내부로 깊이 파고들어 권한을 상승시킬 것이라는 전제 하에 대부분의 보안 기술은 초점을 맞추고 있습니다. 하지만 이번 공격은 그렇지 않죠. 호스트 층위에서부터 AWS 제어 층위로 파고드니까요. 이러한 방법은 모의 침해 팀들도 좀처럼 택하지 않는 것입니다.”

비즈비는 “기업 네트워크와 서버가 중요한 것만큼 AWS도 기업 환경의 절대적으로 중요한 위치를 차지하게 되었다”고 강조한다. “이제 환경의 모든 요소들을 면밀히 모니터링 해야만 공격을 탐지할 수 있습니다.”

3줄 요약
1. AWS를 공격에 활용하는 자들이 생겨났다. 시작은 크리덴셜 탈취부터.
2. 훔친 크리덴셜로 AWS에 접속하고 나서 EC2 인스턴스를 생성함으로써 교두보 마련.
3. 생성한 EC2를 통해 횡적으로 움직여 필요한 데이터에 접근.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)