보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

AWS 클라우드 크리덴셜 찾아내 암호화폐 채굴하는 일렉트라리크 캠페인

입력 : 2023-11-02 10:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
새로운 캠페인이 발견됐다. 공격자들은 공공 리포지터리에 실수로 올라온 크리덴셜을 재빨리 낚아채 클라우드에 계정을 만든 뒤, 이 계정으로 채굴을 시작한다. AWS도 이 속도를 쫓아오지 못한다고 한다.

[보안뉴스 문가용 기자] 인기 높은 공공 클라우드 플랫폼인 AWS가 공격자들의 끊임없는 관심을 받고 있다. 공격의 이유도 가지각색인데, 최근에는 일부 공격자들이 깃허브(GitHub)와 같은 공공 리포지터리에 노출되어 있는 AWS 크리덴셜을 수집한 후, 이를 활용해 AWS EC2 인스턴스를 생성한 뒤 암호화폐를 채굴하는 것이 발견됐다.

[이미지 = gettyimagesbank]


보안 업체 팔로알토네트웍스(Palo Alto Networks)가 현재 이 캠페인에 일렉트라리크(Elektra-Leak)라는 이름을 붙여 추적하고 있다. “최근에만 공격자들은 대형 EC2 인스턴스를 생성했으며, 전부 암호화폐 채굴에 사용하고 있습니다.” 팔로알토 측이 말하는 ‘최근’은 8월 30일부터 10월 6일에 이르는 기간을 의미한다.

실시간 리포지터리 스캐닝
팔로알토 측은 일렉트라리크 캠페인에 대한 보고서를 이번 주 발표하면서 “주의 깊게 지켜봐야 할 위협”이라고 주장했다. 아이텐티티 및 접근 관리(IAM) 크리덴셜이 깃허브에 노출되고 5분도 되지 않아 전면적인 공격이 시작되기 때문이라고 한다. “아마존에서도 크리덴셜이 실수로 노출되는 경우 수분 만에 조치를 취하는데요, 공격자들은 그것보다 더 빠르게 움직입니다. 예사롭지 않습니다.”

팔로알토의 연구원 윌리엄 가마조(William Gamazo)와 나다니엘 키스트(Nathaniel Quist)는 “보안 위협들을 연구하기 위한 허니팟을 통해 이 캠페인을 제일 먼저 발견했다”며 “일렉트라리크의 배후에 있는 공격자들이 움직이는 속도를 봤을 때 자동화 도구를 이용해 공공 깃허브 리포지터리들을 복제해서 노출된 AWS 키들을 가져가는 것처럼 보인다”고 말한다. “실제로 깃허브 리포지터리들을 복제해서 사용하는 기업들은 많습니다. 로컬 개발 환경에 리포지터리들을 복제해 사용하면 개발했을 때 편리할 수 있거든요.”

팔로알토의 허니팟을 통해 수집된 정보에 의하면 공격자들은 VPN 뒤에 숨어서 리포지터리들을 실시간으로 스캔하는 것으로 보이며, 자신들이 접근하는 데 성공한 AWS 계정에 대한 정찰을 꼼꼼하게 수행한다고 한다. “최초 정찰을 수행한 후에 공격자들은 AWS API를 활용해 EC2 인스턴스들을 다량으로 생성합니다. 그런 후에는 구글 드라이브에 저장되어 있는 페이로드를 다운로드 받아 실행시킵니다. 이 페이로드는 모네로를 채굴하는 기능을 가지고 있습니다.”

모네로는 사용자의 프라이버시를 굉장히 강조하는 암호화폐로, 팔로알토의 연구원들은 공격자의 모네로를 계속해서 추적할 수 없었다고 한다. 그러므로 현재까지 공격자들이 이번 캠페인을 통해 돈을 얼마나 벌었는지도 알 수 없는 상태다. “게다가 VPN을 사용하고, 구글 드라이브까지 활용하니 공격자들의 지역적 위치도 파악하기 어렵습니다.”

아마존의 ‘격리’ 프로세스를 무용지물로 만든다?
이번 연구를 진행하면서 팔로알토의 연구원들은 일부러 AWS 키들을 공공 깃허브 리포지터리에 노출시켰다. 일종의 덫이었던 건데, AWS 측에서 키가 노출됐다는 사실을 대단히 빠르게 탐지해내는 걸 알 수 있었다. 그리고 이렇게 노출된 키와 계정을 재빨리 격리시켰다. 노출된 키가 악용되는 걸 막기 위한 AWS의 안전장치였던 것이다. 그러고 나니 공격자들이 움직이기 시작했다. 하지만 이미 AWS가 조치를 취한 것이라 할 수 있는 것이 없었다.

“그럼에도 공격자들은 EC2 계정을 여럿 만들어내고 암호화폐 채굴을 시작하더군요. AWS가 저희가 일부러 노출시킨 크리덴셜을 더 빨리 찾아냈지만, 공격자들이 더 빨리 찾아내는 그 외의 경우들도 많다는 뜻입니다. 어떻게 그렇게 할 수 있는지는 확실히 알 수 없지만, 공격자들이 AWS와 같은 대형 IT 기업보다 속도전에서 앞서갈 수 있다는 건 꽤나 의미심장하다고 할 수 있습니다.”

그러나 이 캠페인이 존재할 수 있는 가장 근본적인 이유는 AWS가 느리다는 게 아니라(느리지도 않지만) 크리덴셜 관리를 소홀히 하는 사용자들의 부주의함이라고 보안 업체 콘트라스트시큐리티(Contrast Security)의 CTO 제프 윌리엄즈(Jeff Williams)는 지적한다. “공공 리포지터리와 같이 노출된 곳에 자신의 비밀번호를 노출시키지 않는다는 게 그리 복잡하고 어려운 보안 수칙은 아닌데 말이죠. 현실은 그 기본적인 것도 많은 사람들이 지키지 못하고 있습니다. 게으르거나 안전에 전혀 신경쓰지 않거나, 둘 중 하나죠.”

3줄 요약
1. 노출된 AWS 크리덴셜을 빠르게 가져가는 어떤 공격자들.
2. 가져간 크리덴셜로 EC2 계정 만들어 암호화폐 채굴.
3. AWS도 이런 크리덴셜 빠르게 찾아내는데, 공격자들이 더 빠름.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)