Home > 전체기사
공공 클라우드의 새로운 공격법 발견한 전문가들, 능동성 강조
  |  입력 : 2019-11-12 10:47
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
클라우드 보안에 있어 가장 중요한 건 가시성...허용/비허용 관계도 확보도 중요
현존하는 클라우드 보안 도구들은 대부분 수동적...클라우드에 대한 이해도 높여야


[보안뉴스 문가용 기자] 공공 클라우드라는 인프라는 보안 팀에게 있어 전혀 새로운 과제다. 특히 가시성이라는 측면에 있어서 상당히 다른 종류의 어려움을 제공하고 있으며, 그래서 IT 관리자를 포함한 보안 담당자들은 클라우드를 조금이라도 더 이해하려고 노력하고 있다. 하지만 클라우드에서의 신원 접근 관리(IAM)에 대한 이해가 완전하다고는 할 수 없으며, 따라서 꽤나 자주 사고가 일어나고 있다.

[이미지 = iclickart]


보통 이해의 부족이 가장 선명하게 드러나는 건 환경설정에서다. 설정에서의 실수 때문에 여러 사람들이 - 특히 기업의 고객들 - 위험에 처하게 된다. 최근 발생한 캐피탈 원(Capital One) 침해사고가 바로 그러한 사례다. 여태까지 고수해왔던 보안 실천 사항과 각종 제어 장치만으로는 클라우드를 제대로 보호할 수 없다고 보안 전문가 이갈 고프만(Igal Gofman)과 야론 샤니(Yaron Shani)는 주장한다.

고프만과 샤니는 클라우드에 집중된 여러 가지 위협에 대해 연구를 진행해왔다. 그러면서 “아직까지 많은 클라우드 보안 제품들이 특정 유형의 공격에만 맞춰져 출시되고 있다”는 것을 깨달았다고 한다. 예를 들어 브루트포스만을 막는 솔루션이라든지 비밀번호 스프레이 공격을 막는 애플리케이션 등이 있다. 침해 후를 위한 방어 도구들은 대부분 사용자들의 행동 패턴이나 머신러닝 알고리즘에 기초하여 다양하게 나뉜다.

“이런 접근 방식의 단점은, 본질 상 사후 대처를 위한 것이라 사전적 움직임의 능동성은 배제되어 있다는 것입니다. 네트워크, 애플리케이션, OS에만 집중되어 있기도 하고요. 클라우드 업체가 제공하는 API와 같은 새로운 요소들은 상대적으로 연구가 덜 되어 있습니다. 인터넷에 연결되어 있어서 공격자들이 접근하기 쉽고, 클라우드 내 주요 자산에도 높은 권한으로 접속할 수 있게 해주는 요소인데 말이죠.”

클라우드 내 자원을 관리하는 책임은 현재 대부분 조직에서 데브옵스나 개발, IT 관리를 담당하는 팀에 있다. 이들은 API라는 것에 접근할 때 각자 다른 소프트웨어 개발 키트나 명령행 도구들을 사용한다. “그런데 공격자가 이런 책임자들의 계정 크리덴셜을 침해하는 데 성공했다면 어떤 일이 일어날까요? 간단히 API를 획득하거나 침해해 중요 자산에 접근할 수 있게 됩니다. 아주 간단히 말이죠.”

두 연구원은 사설 서브넷을 인터넷으로부터 차단한다고 해도 인터넷을 통해 간단히 클라우드 API에 접근할 수 있다는 것을 발견했다. “맞는 API 키만 있으면 됩니다. 클라우드 업체가 제공하는 관리 도구들은 보통 사용자의 크리덴셜을 파일 내에 저장하는데요, 이 파일은 대부분 사용자 시스템에 저장됩니다. 이 파일을 훔쳐내는 건 해커들에게 있어 그리 어려운 일이 아닙니다.”

고프만과 샤니는 올해 열리는 블랙햇 유럽(Black Hat Europe)에서 이러한 내용의 연구 자료를 발표할 예정이다. 즉 클라우드 인프라에 대한 전혀 새로운 공격법을 공개한다는 것이다. 간단히 말해 서로 다른 객체들 간의 허용/비허용 관계를 나타내는 그래프를 사용해 위험한 부분을 파악해내는 것으로, 이 그래프를 똑같이 보안 관리에 활용할 수도 있다. “레드팀과 블루팀 모두 이 그래프를 통해 클라우드 인프라에 대해 보다 깊게 이해할 수 있습니다.”

둘은 이 ‘관계성 그래프’를 블랙햇 현장에서 확장함으로써 공격자들이 어떤 부분에서 어떤 방식으로 권한을 높일 수 있는지도 공개할 것이라고 한다. “결론적으로 공격자들이 공공 클라우드 API를 자신들의 목적에 맞게 활용하는 것이 대단히 어렵거나 고급 기술을 요하는 게 아니라는 걸 알게 됐습니다. 하지만 저희의 연구를 통해 드러난 공격 과정을 자동으로 진행해주는 오픈소스 도구는 아직 발견하지 못했습니다.”

그런 자동화 공격 툴이 금방 나온다고 해도 놀라운 일은 아니라고 고프만은 설명했다. “왜냐하면 기술적으로 그런 툴을 만드는 게 어렵지 않거든요. 개발에 필요한 정보들은 사실 이미 대중들에게 널리 공개된 상태고, 클라우드 제공업자들이 정성스럽게 문서화 해두기도 했습니다. 클라우드 업체들이 보안 기능을 너무 상세하게 설명하고 있다는 게 문제라면 문제입니다.” 자신들의 연구 결과를 반영한 공격 도구 만들기가 방어 장치 구축하기보다 더 쉽다고 샤니는 설명을 추가한다.

“규모가 크고 내부 부서나 조직들 간 관계가 복잡하게 얽혀 있는 단체라면, 클라우드 내에서 성립된 허용이나 비허용 관련 상호 관계를 관리하는 게 쉽지 않을 겁니다. 즉 누가 어떤 자원에 접근할 수 있거나 없다는 것에 대해서는 가시성이 확보되지 않은 상태로 클라우드 보안을 하고 있다는 겁니다. 보다 안전한 클라우드 사용을 위해서라면 모든 요소들에 대한 가시성을 확보하는 게 필수적입니다.”

3줄 요약
1. 두 보안 전문가, 클라우드 API에 쉽게 접근하는 법 발견.
2. 자세한 방법은 추후에 공개할 예정이지만, 여러 자원과 계정들 간 허용/비허용 관계를 파악하는 것과 관련이 있음.
3. 둘은 클라우드 보안 장치 대부분 수동적이라는 게 문제라고 지적함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)