Home > 전체기사
공공 클라우드의 새로운 공격법 발견한 전문가들, 능동성 강조
  |  입력 : 2019-11-12 10:47
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
클라우드 보안에 있어 가장 중요한 건 가시성...허용/비허용 관계도 확보도 중요
현존하는 클라우드 보안 도구들은 대부분 수동적...클라우드에 대한 이해도 높여야


[보안뉴스 문가용 기자] 공공 클라우드라는 인프라는 보안 팀에게 있어 전혀 새로운 과제다. 특히 가시성이라는 측면에 있어서 상당히 다른 종류의 어려움을 제공하고 있으며, 그래서 IT 관리자를 포함한 보안 담당자들은 클라우드를 조금이라도 더 이해하려고 노력하고 있다. 하지만 클라우드에서의 신원 접근 관리(IAM)에 대한 이해가 완전하다고는 할 수 없으며, 따라서 꽤나 자주 사고가 일어나고 있다.

[이미지 = iclickart]


보통 이해의 부족이 가장 선명하게 드러나는 건 환경설정에서다. 설정에서의 실수 때문에 여러 사람들이 - 특히 기업의 고객들 - 위험에 처하게 된다. 최근 발생한 캐피탈 원(Capital One) 침해사고가 바로 그러한 사례다. 여태까지 고수해왔던 보안 실천 사항과 각종 제어 장치만으로는 클라우드를 제대로 보호할 수 없다고 보안 전문가 이갈 고프만(Igal Gofman)과 야론 샤니(Yaron Shani)는 주장한다.

고프만과 샤니는 클라우드에 집중된 여러 가지 위협에 대해 연구를 진행해왔다. 그러면서 “아직까지 많은 클라우드 보안 제품들이 특정 유형의 공격에만 맞춰져 출시되고 있다”는 것을 깨달았다고 한다. 예를 들어 브루트포스만을 막는 솔루션이라든지 비밀번호 스프레이 공격을 막는 애플리케이션 등이 있다. 침해 후를 위한 방어 도구들은 대부분 사용자들의 행동 패턴이나 머신러닝 알고리즘에 기초하여 다양하게 나뉜다.

“이런 접근 방식의 단점은, 본질 상 사후 대처를 위한 것이라 사전적 움직임의 능동성은 배제되어 있다는 것입니다. 네트워크, 애플리케이션, OS에만 집중되어 있기도 하고요. 클라우드 업체가 제공하는 API와 같은 새로운 요소들은 상대적으로 연구가 덜 되어 있습니다. 인터넷에 연결되어 있어서 공격자들이 접근하기 쉽고, 클라우드 내 주요 자산에도 높은 권한으로 접속할 수 있게 해주는 요소인데 말이죠.”

클라우드 내 자원을 관리하는 책임은 현재 대부분 조직에서 데브옵스나 개발, IT 관리를 담당하는 팀에 있다. 이들은 API라는 것에 접근할 때 각자 다른 소프트웨어 개발 키트나 명령행 도구들을 사용한다. “그런데 공격자가 이런 책임자들의 계정 크리덴셜을 침해하는 데 성공했다면 어떤 일이 일어날까요? 간단히 API를 획득하거나 침해해 중요 자산에 접근할 수 있게 됩니다. 아주 간단히 말이죠.”

두 연구원은 사설 서브넷을 인터넷으로부터 차단한다고 해도 인터넷을 통해 간단히 클라우드 API에 접근할 수 있다는 것을 발견했다. “맞는 API 키만 있으면 됩니다. 클라우드 업체가 제공하는 관리 도구들은 보통 사용자의 크리덴셜을 파일 내에 저장하는데요, 이 파일은 대부분 사용자 시스템에 저장됩니다. 이 파일을 훔쳐내는 건 해커들에게 있어 그리 어려운 일이 아닙니다.”

고프만과 샤니는 올해 열리는 블랙햇 유럽(Black Hat Europe)에서 이러한 내용의 연구 자료를 발표할 예정이다. 즉 클라우드 인프라에 대한 전혀 새로운 공격법을 공개한다는 것이다. 간단히 말해 서로 다른 객체들 간의 허용/비허용 관계를 나타내는 그래프를 사용해 위험한 부분을 파악해내는 것으로, 이 그래프를 똑같이 보안 관리에 활용할 수도 있다. “레드팀과 블루팀 모두 이 그래프를 통해 클라우드 인프라에 대해 보다 깊게 이해할 수 있습니다.”

둘은 이 ‘관계성 그래프’를 블랙햇 현장에서 확장함으로써 공격자들이 어떤 부분에서 어떤 방식으로 권한을 높일 수 있는지도 공개할 것이라고 한다. “결론적으로 공격자들이 공공 클라우드 API를 자신들의 목적에 맞게 활용하는 것이 대단히 어렵거나 고급 기술을 요하는 게 아니라는 걸 알게 됐습니다. 하지만 저희의 연구를 통해 드러난 공격 과정을 자동으로 진행해주는 오픈소스 도구는 아직 발견하지 못했습니다.”

그런 자동화 공격 툴이 금방 나온다고 해도 놀라운 일은 아니라고 고프만은 설명했다. “왜냐하면 기술적으로 그런 툴을 만드는 게 어렵지 않거든요. 개발에 필요한 정보들은 사실 이미 대중들에게 널리 공개된 상태고, 클라우드 제공업자들이 정성스럽게 문서화 해두기도 했습니다. 클라우드 업체들이 보안 기능을 너무 상세하게 설명하고 있다는 게 문제라면 문제입니다.” 자신들의 연구 결과를 반영한 공격 도구 만들기가 방어 장치 구축하기보다 더 쉽다고 샤니는 설명을 추가한다.

“규모가 크고 내부 부서나 조직들 간 관계가 복잡하게 얽혀 있는 단체라면, 클라우드 내에서 성립된 허용이나 비허용 관련 상호 관계를 관리하는 게 쉽지 않을 겁니다. 즉 누가 어떤 자원에 접근할 수 있거나 없다는 것에 대해서는 가시성이 확보되지 않은 상태로 클라우드 보안을 하고 있다는 겁니다. 보다 안전한 클라우드 사용을 위해서라면 모든 요소들에 대한 가시성을 확보하는 게 필수적입니다.”

3줄 요약
1. 두 보안 전문가, 클라우드 API에 쉽게 접근하는 법 발견.
2. 자세한 방법은 추후에 공개할 예정이지만, 여러 자원과 계정들 간 허용/비허용 관계를 파악하는 것과 관련이 있음.
3. 둘은 클라우드 보안 장치 대부분 수동적이라는 게 문제라고 지적함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/VR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제