클라우드 환경에서의 잠재적 갈취 위협에 대한 보안 전략

Securing Cloud Environments Against Potential Extortion Threats | Qualys Security Blog

Securing Cloud Environments Against Potential Extortion Threats | Qualys Security Blog

 

• 소개
  • 클라우드 인프라에 대한 의존이 증가함에 따라 잘못된 구성 및 약한 접근 제어를 겨냥한 갈취 위협에 대한 대비가 필요
  • 2024 Verizon 데이터 침해 조사 보고서(DBIR)에 따르면, 모든 침해의 약 3분의 1이 랜섬웨어 또는 기타 갈취 기법과 관련됨
  • 갈취 공격은 공개된 파일과 자격 증명을 활용해 클라우드 환경을 침투하고 권한을 상승시켜 민감한 데이터를 탈취할 수 있음
• 갈취 공격의 진행 과정
  • 공격자는 공개된 환경 파일(예: .env)을 스캔하여 클라우드 접근 키, 데이터베이스 자격 증명 및 API 토큰 등을 확보
  • 이를 통해 클라우드 환경에 침입하여 지속적인 접근을 확보하고 권한을 상승시킴
• MITRE ATT&CK 프레임워크: 주요 전술과 기법
  • 초기 접근(T1078 – 유효 계정): 유출된 자격 증명 또는 잘못된 공개 권한을 통해 접근
  • 탐색(T1580 – 클라우드 인프라 탐색): API 호출(GetCallerIdentity, ListBuckets)을 통해 클라우드 구조 및 리소스를 탐색
  • 권한 상승(T1548 – 권한 상승 제어 메커니즘 악용): 잘못된 권한 구성을 악용하여 새로운 고권한 역할 생성
  • 지속성(T1136 – 계정 생성): 새 계정을 생성하여 장기적인 접근 유지
  • 실행(T1072 – 소프트웨어 배포 도구): 악성 AWS Lambda 함수 배포로 추가 취약점을 자동으로 검색
  • 수집(T1530 – 클라우드 스토리지의 데이터): 민감한 클라우드 리소스를 확인하고 데이터를 다운로드
  • 탈취(T1048 – 대체 프로토콜을 통한 데이터 탈취): API 호출 등을 이용해 데이터를 외부로 전송하고 랜섬 노트를 남김
• 공격 확장을 위한 자동화의 역할
  • 자동화 도구를 통해 다수의 피해자를 대상으로 대규모로 실행
  • 클라우드 네이티브 도구(AWS Lambda 등)를 활용해 여러 도메인과 지역에서 스캔을 자동화
• 잠재적 공격의 영향
  • 데이터 손실 및 규정 위반: 민감한 데이터 탈취는 법적 및 규제 문제 초래
  • 랜섬 요구: 데이터 공개를 막기 위해 금전을 요구
  • 자격 증명 남용: 유출된 자격 증명으로 추가 공격 확대
• 갈취 위협 완화를 위한 주요 보안 조치
  • 환경 파일 보호: .env 파일 등 민감한 구성 파일의 공개 방지 및 접근 제한
    • 예: S3 버킷 접근 제어 정책 적용
  • 자격 증명 회전 및 수명 제한: 임시 자격 증명을 사용하고 정기적으로 회전
    • 예: 90일 이하 주기로 접근 키 회전
  • 최소 권한 원칙 준수: IAM 역할, 사용자, 정책에 최소 권한만 부여
    • 예: :과 같은 전체 관리자 권한 정책 금지
  • 이상 활동 모니터링: AWS GuardDuty 등 도구를 활용해 예상치 못한 API 호출 및 데이터 접근 탐지
  • 자동 응답 조치: 탐지된 보안 문제에 대한 자동 대응으로 계정 비활성화, 자격 증명 회전, 민감 리소스 접근 제한
• 결론
  • 클라우드 갈취 캠페인의 전술과 기법을 이해함으로써 방어 능력을 강화할 수 있음
  • 구성 파일 보안, 최소 권한 접근, 자동화된 사고 대응과 같은 최선의 보안 관행 적용 필요
  • 지속적인 감시와 사전 대응으로 클라우드 기반 위협에 대한 강한 회복력을 확보해야 함