Home > 전체기사

AWS의 API 스무 개에서 심각한 ‘스무고개’ 취약점 발견돼

  |  입력 : 2020-11-18 11:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
너무나 친절한 오류 메시지…공격자가 특정 사용자 존재 유무 파악할 수 있어
사용자 이름 등에 무작위 문자열 첨부하고 사용 안 되는 계정 즉시 삭제하고


[보안뉴스 문가용 기자] 20개가 넘는 AWS의 API들이 취약한 것으로 분석됐다. 이 취약점들을 통해 공격자들은 AWS 계정의 내부 구조를 파악할 수 있게 된다고 한다. 그렇게 되면 특정 인물이나 조직에 대한 표적 공격을 실시할 수 있다고 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 경고했다.

[이미지 = utoimage]


이 문제가 심각한 것은, 공격자가 이러한 공격을 하는 데 필요한 재료가 피해자의 AWS ID뿐이기 때문이다. 이 ID는 12자리로 되어 있는 것으로, 공개적으로 공유되는 것이 보통이다. 팔로알토는 취약한 것으로 분석된 모든 API들이 같은 방식으로 익스플로잇 될 수 있고 AWS 세 개 영역인 aws, aws-us-gov, aws-cn 모두에서 적용 가능하다고 밝혔다. 이 취약점의 영향 아래 있는 AWS 서비스들은 S3, 아마존 KMS, 아마존 SQS 등이다.

팔로알토의 수석 클라우드 연구원인 제이 첸(Jay Chen)은 취약점의 근원에 대해 “사용자들이 정책을 작성할 때 오타 등의 실수를 줄이는 걸 돕기 위해 설계된 기능”이라고 설명한다. “오타 등의 실수가 있을 때 오류 메시가 뜨도록 되어 있는데, 여기에 너무 많은 정보가 있다는 게 문제입니다. 이 때문에 공격자는 특정 사용자가 또 다른 AWS 계정 안에 존재하는지 확인할 수 있습니다.”

더 깊게는 AWS의 아이덴티티 및 접근 관리 기능이 특정 유형의 정책을 처리하는 방식에서부터 문제가 시작된다고 한다. 이 특정 유형의 정책이란 ‘자원 기반 정책(resource-based policy)’라고 하는데, S3 버킷이나 아마존 EC2 인스턴스와 같은 AWS 자원과 관련된 정책을 말한다. 26개의 AWS 서비스들이 자원 기반 정책들을 지원하고 있다.

팔로알토에 의하면 AWS 자원 기반 정책들에는 특정 자원에 접근할 수 있는 사용자나 역할을 지정할 수 있게 해 주는 필드가 존재한다고 한다. 이 필드에 포함되어 있지 않은 아이덴티티가 정책 내에 존재할 경우, 이 정책과 관련된 API 호출이 발생할 때 오류 메시지가 발동된다.

유용한 기능이지만 공격자가 일부러 오류 메시지를 반복적으로 발동시켜 필요한 정보를 얻어갈 수 있게 된다는 게 문제다. 특히 AWS 계정에 포함된 모든 사용자와 역할들을 파악할 수 있다는 게 중요하다. “AWS의 자원 기반 정책에 ‘X라는 인물이 이 계정에 존재하는가?’라고 질문을 던지는 것과 같은 것”이라고 첸은 설명한다. 이 질문을 충분히 많이 하게 되면 전체 구조를 이해할 수 있게 된다.

보안 업체 화이트햇 시큐리티(WhiteHat Security)의 부회장인 세투 쿨카니(Setu Kulkarni)는 “문제가 되고 있는 API들은 사용자 정보가 있어야만 제 기능을 발휘할 수 있습니다. 그러므로 부적절한 사용자 정보가 입력되면 오류가 발생하죠. 그리고 그 오류 자체가 공격자에게 큰 도움이 될 수 있습니다. 특정 사용자가 없다는 것을 분명하게 알려주기 때문입니다.”라고 설명한다. “아마존 계정을 여러 개 확보하기만 해도 이런 공격을 통해 어떤 사용자와 역할로 계정이 구성되어 있는지 알 수 있습니다.”

따라서 시간만 충분하다면 공격자는 일종의 브루트포스 공격을 통해 계정의 구조와 각종 설정 오류들 등 공격의 틈바구니를 발견할 수 있게 된다고 보안 업체 디지털 셰도우즈(Digital Shadows)의 보안 엔지니어 찰스 라글란드(Charles Ragland)는 설명한다. “게다가 오류 메시지가 로깅되는 건 공격자의 계정에서죠. 피해자는 공격자가 이런 시도를 하고 있다는 걸 전혀 알 수 없습니다.”

최근 API에 대한 경고가 여기 저기서 나오고 있다. 이번 달 초 포레스터 리서치(Forrester Research)는 API 관련 침해 사고가 가깝게 다가온 주요 사이버 공격의 유형이 될 거라고 발표했었다. 포레스터는 취약한 API를 사용하는 건, 취약한 애플리케이션을 사용하는 것과 같은 수준으로 위험한 건데, 아직 많은 조직들이 API의 보안에는 관심이 없다고 지적했다.

첸은 위에 언급된 AWS API 취약점으로부터 스스로를 보호하려면 기본적인 아이덴티티 및 접근 관리 보안 실천 사항을 준수해야 한다고 강조했다.
1) 비활성화 된 사용자나 역할은 계정에서 즉시 삭제하기
2) 사용자 이름과 역할 이름에 무작위 문자열을 덧붙이기
3) 계정 내 사용자가 추가될 때 관리자의 허가를 반드시 받도록 하기
4) 이중인증
5) 아이덴티티 인증과 관련된 모든 행위들을 모니터링하고 로깅하기

3줄 요약
1. AWS가 제공하는 여러 API들에서 심각한 취약점 발견됨.
2. 공격자가 일종의 스무고개를 통해 계정 구조를 파악할 수 있게 해 주는 취약점.
3. 기본 IAM 실천 사항을 준수함으로써 어느 정도 대응 가능.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)