Home > 전체기사

구글, 자사 클라우드 플랫폼을 분석해 최신 공격 트렌드 공개해

  |  입력 : 2021-11-30 19:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
클라우드 워크로드와 서버 인스턴스들을 노리는 사이버 공격자들이 늘어나고 있다. 공격을 성공시키는 게 너무 쉽고, 공격을 통해 얻어갈 수 있는 게 많기 때문이다. 클라우드 보안의 열쇠는 사용자들이 쥐고 있는데, 사용자들은 아직 그 역할을 제대로 수행하지 못하고 있다.

[보안뉴스 문가용 기자] 자동화 스캐닝, 고급화 된 공격 도구들, 기회를 노리는 각종 기법과 전략들이 등장하면서 클라우드 워크로드와 서버 인스턴스들이 중요한 공격의 표적이 되고 있다고 구글이 ‘위협 지형도(Threat Horizons)’라는 보고서를 통해 경고했다.

[이미지 = utoimage]


클라우드의 워크로드와 서버 인스턴스들을 노린다는 것 자체는 새로운 소식은 아니다. 구글의 경고는 “점점 더 많은 공격자들이 이 두 가지 요소가 얼마나 효과적이며 공격을 효율적으로 만드는지 깨닫고 있다”는 데에 방점이 찍혀 있다. “공격자들은 클라우드를 공격하기 위해 설정 오류, 간과된 보안 실천 사항, 취약한 서드파티 소프트웨어 등을 노립니다. 이 세 가지 경로를 통해 공격에 성공하는 사례가 75%에 달합니다.”

구글은 이 보고서를 발표하기 위해 최근 침해된 이력이 있는 구글 클라우드 플랫폼(GCP) 인스턴스 50개를 분석했다. 그 결과 48%가 취약한 비밀번호를 통해 보호되어 있었다. 이 중에는 아예 비밀번호가 설정되어 있지 않은 경우도 다수 있었다고 한다. 그 외에 26%는 서드파티 소프트웨어 취약점을 통해, 12%는 설정 오류를 통해 공격이 성공한 것으로 나타났다.

GCP의 CISO인 밥 메클러(Bob Mechler)는 “이런 공격 경로가 존재한다는 것을 모른다는 사람은 이제 없지만 그럼에도 공격자들에게 여러 가지 기회를 제공하는 건 마찬가지”라고 말한다. “클라우드 환경을 겨냥한 공격이 성공하는 경우는 주로 사용자들 편에서의 설정 오류나 실수, 기본적인 보안 장치 결여 등과 같은 이유로 발생합니다. 즉 ‘보안 위생’과 관련된 부분에서 공격이 자꾸만 허용되고 있는 것이죠.” GCP의 보안 담당자인 세스 로젠블랏(Seth Rosenblatt)의 설명이다.

클라우드 인스턴스들에 설정 오류가 있는 상태에서, 자동화 공격이 자꾸만 향상되고 있다는 건 무슨 뜻일까? 클라우드 워크로드의 방어에 주어지는 시간이 상당히 짧아진다는 뜻이다. 그래서 구글의 분석 결과 40%의 침해 공격이 8시간 이내에 이뤄졌다. 심지어 침해에 걸린 시간이 30분도 되지 않는 경우도 있었다.

그렇다면 공격자들이 클라우드 환경을 침해하여 하고자 하는 건 무엇일까? 랜섬웨어 페이로드를 유포하거나 암호화폐를 채굴하는 것이다. 즉 클라우드 컴퓨팅의 뛰어난 성능을 바탕으로 돈을 만들고자 하는 게 그들의 가장 주된 의도라는 것이다. “구글 클라우드 플랫폼의 인스턴스가 침해된 경우, 86%에서 암호화폐 채굴 소프트웨어가 심겼습니다.” 그 외 약 10%의 경우 공격자들은 침해된 인스턴스를 사용해 인터넷을 스캔하기도 했다.

구글이 ‘위협 지형도’ 보고서를 발표한 건 이번이 처음이다. 첫 보고서라서 그런지 구글 내부의 여러 팀이 보고서 작성에 참여했다. 구글 위협 분석 그룹(Google Threat Anaysis Group, TAG), 구글 클라우드 보안 신뢰 센터(Google Cloud Security and Trust Center), 크로니클, 신뢰, 안전을 위한 구글 클라우드 위협 첩보(Google Cloud Threat Intelligence for Chronicle, Trust, Safety)가 각종 데이터를 제공했다고 한다.

이번 조사를 진행하며 러시아의 APT 단체인 팬시베어(Fancy Bear) 혹은 APT28이 1만 2천 개가 넘는 지메일 계정을 만들어 피싱 캠페인에 활용했다는 사실도 드러났다. 이들의 목적은 구글 사용자들 중 자신들이 노리는 인물들의 정상 크리덴셜을 수집하는 것으로 보인다. 피싱 공격에 지메일 계정을 사용함으로써 피싱 탐지 솔루션을 피해갈 수 있었다고 한다. 미국, 영국, 인도, 브라질, 캐나다, 유럽연합 회원국들에서 피해가 속출했다.

구글은 클라우드를 통해 구축한 소프트웨어와, 클라우드를 기반으로 한 워크로드의 설정부터 탄탄히 해야 한다고 강조했다. 또한 이중 인증 시스템을 도입하고, 웹 애플리케이션을 주기적으로 스캔하며, 비밀번호와 암호화 키, 인증서가 실수로 공개되는 일이 없도록 해야 한다는 것도 짚었다. “모든 서드파티 코드들은 사용 전에 검사부터 하고, 무결성 확인도 진행해야 합니다. 클라우드의 편리와 이점을 누리려면 그에 맞는 보안 수칙도 지켜야 한다는 겁니다.”

구글은 보고서를 통해 “사이버 보안과 스피어피싱, 소셜 엔지니어링 공격에 대해 점점 더 많은 사람들이 알아가고 있지만, 그럼에도 공격 성공률은 여전히 높다”고 지적했다. 아는 것과 지키는 것의 간극을 여전히 메우고 있지 못하는 것이다. “클라우드나 다른 시스템이나 보안의 기본 철칙은 한 가지입니다. 아는 것을 지키는 것이죠. 조직 입장에서 보다 방대하고 다양한 층위로 구성된 방어 대책을 반드시 마련해야 합니다. 그리고 그것을 구성원들은 준수해야 합니다.”

3줄 요약
1. 클라우드 자원을 노리는 사이버 공격, 점점 늘어나고 있음.
2. 쉬운 비밀번호, 설정 오류, 보안 실천 사항 간과가 가장 큰 공격의 통로.
3. 클라우드 자원을 가지고 공격자들이 하는 건 랜섬웨어 공격과 암호화폐 채굴.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화