전체메뉴

[애플경제 전윤미 기자] 2024년의 가장 큰 클라우드 보안 위험은 자격 증명 도난과 노출이 될 것이란 전망이 나와 주목을 끈다. 사이버보안 탐지․대응업체인 ‘익스펠(Expel)’과 이를 인용한 IT프로포탈은 “다단계 인증으로 계정을 잠그고 비밀번호 위반을 조사하면 이런 공격자를 차단하는 데 도움이 될 수 있을 것”이라며 이같이 밝혔다.

실제로 익스펠 조사에 따르면 비즈니스 애플리케이션과 클라우드 인프라에 침입하려는 해킹 시도가 전보다 2배로 늘어난 것으로 나타났다. 이메일이나 각종 비즈니스 애플리케이션에 침입하려는 ‘신원 절취’가 전체 칩입 사건의 64%를 차지했으며, 그 규모가 2022년에 비해 144% 증가했다는 것이다.

2023년, 클라우드 인프라 사고 72% 증가

이에 따르면 또 2023년에 클라우드 인프라 사고가 72% 증가했으며, 도난 또는 자격 증명이 유출된 경우가 전체 사고 5분의 2에 해당하는 것으로 나타났다. ID 도용도 크게 늘어났다. 무단 이메일 로그인가 60%를 차지했으며, Microsoft Entra ID(이전의 Azure Active Directory), Okta, Ping, Duo와 같은 ID 플랫폼에 대한 인증 속임수가 그 뒤를 이었다.

익스펠은 “한 비영리 조직은 무려 255차례나 표적이 되기도 했으며, 보통 한 개의 기업이나 조직당 일년 동안 평균 8건의 신원 절취 사고가 발생했다”고 밝혔다.

그중 2/3는 예상치 못한 호스팅 제공업체나 프록시 등 의심스러운 인프라에서 발생한 악의적인 로그인과 관련이 있었다. “특히 공격자가 더 많은 프록시와 VPN을 사용하는 방향으로 전환하고 있어, 기업이 다중 요소 인증(MFA)과 같은 ‘효과적인 장애물’을 지속적으로 배치할 때까지 계속될 것”이라고 했다.

익스펠은 또 “이처럼 자격증명 절취 공격이 증가하는 것은 날로 피싱 플랫폼이 파고들 여지가 많아지기 때문”이라며 “사용자를 속여 비밀번호를 넘겨줄 수 있는 설득력 있는 로그인 페이지를 더 쉽게 만들 수 있게 된 것도 큰 원인”이라고 지적했다.

해킹 그룹 ‘The Com’ 가장 많은 공격 퍼부어

익스펠은 또한 “‘The Com’으로 알려진 특정 그룹이 올해 자격증명 도용과 같은 공격을 가장 많이 자행했다”고 밝혔다. 이 그룹은 주로 Okta나 마이크로소프트 계정을 표적으로 삼아 비밀번호 규정을 악용하곤 했다.

이들은 IT업체 상담 코너에 전화를 걸어 계정이 잠겨 있는 직원인 것처럼 가장하고 비밀번호 재설정을 요청한다. 상담 코너나 셀프 서비스 시스템을 통해 그런 요청이 수락되면, 공격자는 실제 사용자에게 MFA 인증을 요청한다. 사용자가 MFA 인증을 수락하면 공격자는 마침내 계정에 대한 액세스 권한을 얻게되는 것이다.

한편, MFA에 의해 로그인이 차단되더라도 사용자 비밀번호를 손상한 모든 흔적이 신원 사고로 분류된다. “많은 인증 차단 방법은 공격자에게 그저 속도가 좀 늦춰진 것일 뿐이므로, 이를 방지하기 위해 전문가에 의한 추가 보안 조치가 반드시 있어야 한다”는 것이다.

실제로 공격자가 로그인을 시도했지만 지리적 위치나 MFA를 기반으로 한 조건부 액세스에 의해 차단된 후, 즉시 VPN이나 레거시 프로토콜과 같은 우회적인 방법으로 로그인에 성공한 사례도 많이 있다.

따라서 기업은 “사용자가 자신도 모르게 비밀번호를 손상시킬 수 있는 모든 상황을 철저히 조사해야 한다”는 것이다.

이처럼 클라우드 인프라 사고가 가속화되고 있는 가운데, 클라우드 자격 증명의 도난 또는 유출이 가장 큰 위협으로 꼽히고 있다. 도난당한 자격 증명을 통해 공격자는 해당 ID 또는 역할에 연결된 권한을 사용, 클라우드 환경에 대한 지속적인 액세스를 유지할 수 있는 것이다.

공격자 ‘제어 및 엑세스 플레인 획득’이 특히 위험

특히 심각한 것은 공격자가 클라우드 환경에서 제어 플레인이나, 데이터 플레인 액세스 권한을 얻어내는 상황이다. 이같은 사고의 96%가 AWS에서 발생했으며 나머지 4%는 GCP와 애저에서 일어났다. 이는 클라우드 고객의 약 절반이 AWS를 사용하고, 약 33%가 애저를, 약 17%가 GCP를 사용하고 있음을 감안하면, AWS의 보안이 상대적으로 허술함을 보여주는 대목이란 지적이다. 물론 “공격자가 남용할 수 있는 AWS 보안 연구 및 감사 도구가 더 많아진 결과일 가능성도 크다”는 해석도 있다.

‘노출’된 자격 증명도 클라우드 인프라 사고의 가장 큰 원인으로 꼽혔다. 이로 인해 공격자는 프레임워크나 명령줄 유틸리티를 통해 클라우드 제어 플레인에 액세스할 수 있다. 자격증명은 사용자의 무심한 업로드나 취약점, 또는 정보 도용 악성 코드를 통해 노출될 수 있다. 도난 또는 유출된 자격 증명은 클라우드 사고의 40% 이상을 차지하는 것으로 나타났다.

또 공개 웹 애플리케이션을 속여 중요한 정보를 노출시키는 서버 측 요청 위조 공격도 비일비재하다. 특히 AWS EC2 인스턴스를 속여 비밀번호를 노출시키곤 한다. 다음으로 기본 자격 증명 도용도 많았는데, 이는 암호화폐 채굴기를 배포하기 위해 인터넷을 검색하는 공격자들에 의해 가장 많이 남용되었다.

익스펠은 이에 몇 가지 대응방안을 주문했다. 우선 “강력한 ID 관리 관행을 준수하고, 정기적으로 불필요한 키를 제거하고 액세스 키를 순환하며, 클라우드 콘솔에 액세스하기 위해 MFA를 요구해야 한다”고 했다.

또 “아무리 강조해도 비밀번호를 변경하는 것을 잊어버리는 경우가 있다”면서 “이에 기업은 인터넷에 연결된 자산의 목록을 유지하고, 웹 액세스 로깅의 가용성을 보장해야 한다”고 주문했다. 그러면서 “늘 비밀번호와 각종 자격 증명에 신경쓰며, 이상한 로그인 동작을 주의하고, 가능한 한 MFA를 사용할 것”을 당부했다.