Home > 전체기사
사이버 공격자들, AWS마저 악성 행위에 활용하기 시작
  |  입력 : 2018-08-22 10:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
기초적인 암호화폐 채굴이나 AWS 키 탈취하는 것과는 달라
AWS가 제공하는 기능과 서비스 최대한 활용...APT 공격자들의 신무기


[보안뉴스 문가용 기자] 사이버 공격자들이 고급 기술을 활용하고 있다는 증거들이 속속 등장하고 있다. 최근에는 공격자들이 아마존과 같은 초대형 클라우드 공급자들을 노리며, 클라우드에 특정되어 있는 기능들을 사용해 자신들의 활동을 감추고 있다는 내용이 발표됐다. 한 마디로 클라우드를 자신들의 공격에 이용한다는 것이다.

[이미지 = iclickart]


이 발표는 보안 업체 쓰레트 스택(Threat Stack)에서 한 것으로, 지난 몇 년 동안 클라우드를 활용한 공격자들을 추적해온 성과물이라고 볼 수 있다. 쓰레트 스택이 가장 먼저 의심스러운 패턴을 발견한 건 2016년의 일이었다. 클라우드의 대표주자 AWS에서였다. 쓰레트 스택의 CSO인 샘 비즈비(Sam Bisbee)는 “공격자들의 클라우드 활용 숙련도가 갈수록 좋아지고 있더군요. 그 흐름은 2017년에도 이어졌습니다.”

연구를 이어갔는데, 문제는 AWS가 아니었다. 공격자들이 영악하게 AWS를 사용하고 있었다. “AWS 서비스나 소프트웨어에 내 취약점이 있었던 것도 아니고, 아마존 측에서 뭔가 허점을 내준 것도 아닙니다. 공격자들이 AWS의 기능들과 속성들을 매우 수준 높은 방법으로 교묘하게 활용하던 것이었죠.”

보통 AWS를 공격자들이 노린다고 하면, AWS 키를 훔치거나 설정 오류로 인터넷에 노출된 S3 버킷을 찾는 것이 거의 전부였다. 조금 더 발전하면 새로운 아마존 엘라스틱 컴퓨트 클라우드(EC2)를 새롭게 만들어 암호화폐를 채굴하는 것이 고작이었다. 심지어 사용자 기업들이 설정을 잘못하는 바람에 이런 활동을 공짜로 하는 경우도 있었다. 그래서 아마존은 AWS S3 데이터를 보호하기 위해 메이시(Macie)라는 보안 도구를 도입시키기도 했다.

이런 식의 공격도 충분히 골칫거리인데, 비즈비에 의하면 AWS를 활용한 사이버 공격은 훨씬 복잡해지고 정교해지고 있다고 한다. “최근 공격자들은 AWS에 있는 기능들에 네트워크 기반 침투 공격 기법을 합쳐내고 있습니다. 보안은 공격자와 방어자 간의 우위 점하기 싸움입니다. 이번에 공격자가 엄청난 기법을 들고 나타났으니 이제 방어자들이 대처해야 할 차례입니다.”

어떤 원리로 공격할까?
공격의 대부분은 크리덴셜 탈취로부터 시작된다. 비즈비는 “크리덴셜을 훔침으로써 시작하는 공격은 꽤나 흔해졌다”고 설명한다. 즉, 흔하디흔한 공격과 시작은 비슷하다는 것이다. “피싱 공격이나 정보 탈취 멀웨어, 깃허브 등의 레포지토리 검색과 같은 방법으로 해커들은 크리덴셜이나 접근 키를 쉽게 훔쳐낼 수 있습니다.”

크리덴셜을 훔치는 데 성공했다면 다음으로는 권한을 최대한 높게 올려야 한다. 훔쳐낸 계정이 어느 정도 권한이 있는지 확인한 후, 필요한 만큼 충분한 권한이 부여되어 있다면 의도했던 공격을 계속 진행하면 된다. 그렇지 않다면 AWS에 추가적인 역할이나 크리덴셜을 생성하고 새로운 EC2 인스턴스를 공격 대상이 되는 환경 내에 만든다.

“보통 AWS 계정들이 어떤 식으로 설정되어 있냐면, AWS 인스턴스를 네트워크 어디든 만들 수 있게 되어 있습니다.” 비즈비의 설명이다. 네트워크의 끝단에도 인스턴스를 만들 수 있고, 네트워크 중앙에도 만들 수 있는 것이다. 당연히 네트워크 중앙에는 가장 핵심적인 인프라와 데이터베이스가 있다.

그러므로 공격자는 이 시점부터 네트워크에 대한 교두보를 마련하는 것이 되고, 여기서부터 표적을 스캐닝할 수 있게 된다. 또한 자신이 만든 EC2 인스턴스를 통해 네트워크 내에서 횡적으로 움직이는 것도 가능하다. 비즈비는 “그러므로 네트워크 내에서 다른 호스트들을 익스플로잇 할 수도 있다”고 설명한다. EC2 인스턴스들은 IAM 권한도 가지고 있으며, 이를 바탕으로 RDS나 S3와 같은 AWS 서비스들에도 접근할 수 있게 된다.

이렇게 새로운 호스트에 접근하는 것에 성공하면 공격자는 AWS 권한을 확인한다. 필요한 권한이 다 있는 호스트라면 RDS API 호출을 통해서 데이터베이스로 들어간다. 그리고 필요한 정보를 찾아낸다. 찾는 데이터의 양이 적다면 단말기나 침해한 호스트들을 통해 DLP 툴을 우회해 정보를 빼갈 수 있다.

이런 식의 공격 패턴은 표적화된 지속 공격에서 주로 발견된다. 무작위 데이터가 아니라, 원하는 정보가 명확할 때, 그리고 그 정보가 저장되어 있는 곳이 어디인지 알고 있을 때 이런 식의 고급 공격이 시작된다고 비즈비는 설명한다. “생산, 금융 기술 분야 등이 공격자들 사이에서 인기가 높습니다.”

이런 식으로 AWS를 통한 공격 및 횡적 움직임을 탐지하기 어려운 건 보안 모니터링 기술에 한 가지 전제조건이 있기 때문이다. “공격자들이 호스트 내부로 깊이 파고들어 권한을 상승시킬 것이라는 전제 하에 대부분의 보안 기술은 초점을 맞추고 있습니다. 하지만 이번 공격은 그렇지 않죠. 호스트 층위에서부터 AWS 제어 층위로 파고드니까요. 이러한 방법은 모의 침해 팀들도 좀처럼 택하지 않는 것입니다.”

비즈비는 “기업 네트워크와 서버가 중요한 것만큼 AWS도 기업 환경의 절대적으로 중요한 위치를 차지하게 되었다”고 강조한다. “이제 환경의 모든 요소들을 면밀히 모니터링 해야만 공격을 탐지할 수 있습니다.”

3줄 요약
1. AWS를 공격에 활용하는 자들이 생겨났다. 시작은 크리덴셜 탈취부터.
2. 훔친 크리덴셜로 AWS에 접속하고 나서 EC2 인스턴스를 생성함으로써 교두보 마련.
3. 생성한 EC2를 통해 횡적으로 움직여 필요한 데이터에 접근.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/VR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제