AWS의 API 스무 개에서 심각한 ‘스무고개’ 취약점 발견돼

너무나 친절한 오류 메시지…공격자가 특정 사용자 존재 유무 파악할 수 있어
사용자 이름 등에 무작위 문자열 첨부하고 사용 안 되는 계정 즉시 삭제하고

[보안뉴스 문가용 기자] 20개가 넘는 AWS의 API들이 취약한 것으로 분석됐다. 이 취약점들을 통해 공격자들은 AWS 계정의 내부 구조를 파악할 수 있게 된다고 한다. 그렇게 되면 특정 인물이나 조직에 대한 표적 공격을 실시할 수 있다고 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 경고했다.

[이미지 = utoimage]

이 문제가 심각한 것은, 공격자가 이러한 공격을 하는 데 필요한 재료가 피해자의 AWS ID뿐이기 때문이다. 이 ID는 12자리로 되어 있는 것으로, 공개적으로 공유되는 것이 보통이다. 팔로알토는 취약한 것으로 분석된 모든 API들이 같은 방식으로 익스플로잇 될 수 있고 AWS 세 개 영역인 aws, aws-us-gov, aws-cn 모두에서 적용 가능하다고 밝혔다. 이 취약점의 영향 아래 있는 AWS 서비스들은 S3, 아마존 KMS, 아마존 SQS 등이다.

팔로알토의 수석 클라우드 연구원인 제이 첸(Jay Chen)은 취약점의 근원에 대해 “사용자들이 정책을 작성할 때 오타 등의 실수를 줄이는 걸 돕기 위해 설계된 기능”이라고 설명한다. “오타 등의 실수가 있을 때 오류 메시가 뜨도록 되어 있는데, 여기에 너무 많은 정보가 있다는 게 문제입니다. 이 때문에 공격자는 특정 사용자가 또 다른 AWS 계정 안에 존재하는지 확인할 수 있습니다.”

더 깊게는 AWS의 아이덴티티 및 접근 관리 기능이 특정 유형의 정책을 처리하는 방식에서부터 문제가 시작된다고 한다. 이 특정 유형의 정책이란 ‘자원 기반 정책(resource-based policy)’라고 하는데, S3 버킷이나 아마존 EC2 인스턴스와 같은 AWS 자원과 관련된 정책을 말한다. 26개의 AWS 서비스들이 자원 기반 정책들을 지원하고 있다.

팔로알토에 의하면 AWS 자원 기반 정책들에는 특정 자원에 접근할 수 있는 사용자나 역할을 지정할 수 있게 해 주는 필드가 존재한다고 한다. 이 필드에 포함되어 있지 않은 아이덴티티가 정책 내에 존재할 경우, 이 정책과 관련된 API 호출이 발생할 때 오류 메시지가 발동된다.

유용한 기능이지만 공격자가 일부러 오류 메시지를 반복적으로 발동시켜 필요한 정보를 얻어갈 수 있게 된다는 게 문제다. 특히 AWS 계정에 포함된 모든 사용자와 역할들을 파악할 수 있다는 게 중요하다. “AWS의 자원 기반 정책에 ‘X라는 인물이 이 계정에 존재하는가?’라고 질문을 던지는 것과 같은 것”이라고 첸은 설명한다. 이 질문을 충분히 많이 하게 되면 전체 구조를 이해할 수 있게 된다.

보안 업체 화이트햇 시큐리티(WhiteHat Security)의 부회장인 세투 쿨카니(Setu Kulkarni)는 “문제가 되고 있는 API들은 사용자 정보가 있어야만 제 기능을 발휘할 수 있습니다. 그러므로 부적절한 사용자 정보가 입력되면 오류가 발생하죠. 그리고 그 오류 자체가 공격자에게 큰 도움이 될 수 있습니다. 특정 사용자가 없다는 것을 분명하게 알려주기 때문입니다.”라고 설명한다. “아마존 계정을 여러 개 확보하기만 해도 이런 공격을 통해 어떤 사용자와 역할로 계정이 구성되어 있는지 알 수 있습니다.”

따라서 시간만 충분하다면 공격자는 일종의 브루트포스 공격을 통해 계정의 구조와 각종 설정 오류들 등 공격의 틈바구니를 발견할 수 있게 된다고 보안 업체 디지털 셰도우즈(Digital Shadows)의 보안 엔지니어 찰스 라글란드(Charles Ragland)는 설명한다. “게다가 오류 메시지가 로깅되는 건 공격자의 계정에서죠. 피해자는 공격자가 이런 시도를 하고 있다는 걸 전혀 알 수 없습니다.”

최근 API에 대한 경고가 여기 저기서 나오고 있다. 이번 달 초 포레스터 리서치(Forrester Research)는 API 관련 침해 사고가 가깝게 다가온 주요 사이버 공격의 유형이 될 거라고 발표했었다. 포레스터는 취약한 API를 사용하는 건, 취약한 애플리케이션을 사용하는 것과 같은 수준으로 위험한 건데, 아직 많은 조직들이 API의 보안에는 관심이 없다고 지적했다.

첸은 위에 언급된 AWS API 취약점으로부터 스스로를 보호하려면 기본적인 아이덴티티 및 접근 관리 보안 실천 사항을 준수해야 한다고 강조했다.
1) 비활성화 된 사용자나 역할은 계정에서 즉시 삭제하기
2) 사용자 이름과 역할 이름에 무작위 문자열을 덧붙이기
3) 계정 내 사용자가 추가될 때 관리자의 허가를 반드시 받도록 하기
4) 이중인증
5) 아이덴티티 인증과 관련된 모든 행위들을 모니터링하고 로깅하기

3줄 요약
1. AWS가 제공하는 여러 API들에서 심각한 취약점 발견됨.
2. 공격자가 일종의 스무고개를 통해 계정 구조를 파악할 수 있게 해 주는 취약점.
3. 기본 IAM 실천 사항을 준수함으로써 어느 정도 대응 가능.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)