서버 측 암호화 통한 고도의 보안도구, “해커, 역으로 악용”
‘AES-256 암호화 키’ 로컬로 생성, 피해자 데이터 암호화로 ‘잠금’
AWS “공유 책임 모델 통해 고객 클라우드 리소스 보호 지원”
[애플경제 전윤미 기자] ‘아마존 S3’(Amazon S3)는 AWS의 가장 중요한 기능 중 하나다. 기업이나 개인 고객은 이를 통해 확장성과 데이터 가용성, 보안을 기할 수 있는 객체 스토리지 서비스다. 즉, 데이터에 대한 액세스를 최적화, 구조화, 구성할 수 있는 기능으로 AWS의 핵심 요소 중 하나다. 이처럼 중요한 ‘아마존 S3’ 버킷 암호화를 거꾸로 악용한 해킹이 횡행하고 있어 주의가 필요하다.
특정 기업 조직구도, 규정 악용, 침투 무기로
공격자들은 이를 사용하는 특정 기업이나 조직 구도, 규정을 악용, AWS의 서버 측 암호화를 무기로 쓰고 있는 것이다.
최근 보안업계에 의하면 실제로 해외에선 AWS의 고객 기업 두 곳의 데이터를 훔친 해커들이 플랫폼의 암호화 기능을 사용, 새로운 유형의 랜섬웨어 공격을 자행한 사례가 발견되었다. 이는 보안 기능이 탁월한 것으로 알려진 AWS S3인 만큼, 사용자들에겐 충격적일 수도 있다.
살재로 사이버 보안업체인 헬시온(Halcyon)의 새로운 보고서 역시 ‘아마존 S3’ 버킷을 표적으로 한 새로운 랜섬웨어 범죄가 확인되기도 했다. 이들 범죄자들은 이를 통해 AWS의 서버 측 암호화와 고객 제공 키(SSE-C)를 활용, 피해자 데이터를 암호화한다.
해당 보고서에서 ‘코드핑거’로 언급된 이들 범죄자들은 현재는 피해 대상자가 적지만, 앞으로 더욱 공격 범위를 넓혀갈 것이란 우려다. 더욱이 ‘아마존 S3’ 버킷을 타깃으로 한 공격은 굳이 AWS 플랫폼의 다른 취약점을 악용할 필요가 없기 때문에 더욱 우려스럽다는 지적이다.
만약 공격자가 고객의 계정 자격 증명을 훔칠 수 있다면 AWS가 보안을 위해 마련한 암호화 인프라를 역이용할 수 있다. 그러면 피해자의 데이터를 (암호화로) 잠글 수 있으며, 해커들의 요구 사항을 충족하지 않고는 알려진 복구 방법이 없다. 공격자는 또한 ‘AES-256 암호화 키’를 로컬로 생성, 저장하고 있다. 이에 핼시온사는 “특히 AWS는 암호화 키를 저장하지 않기 때문에, 피해자가 공격을 당한 후 데이터를 복구하는 데 도움을 줄 수 없다”는 점도 한계로 지적했다.
‘서버 측 암호화 기능’ 악용 사례는 처음
AWS는 대신 키의 해시 기반 메시지 인증 코드(HMAC)만 기록한다. 이를 통해선 암호화된 데이터를 복구하거나 공격에 대한 법의학적 분석을 할 수 없다. 그 때문에 해커들은 피해자의 자산을 암호화한 후 몸값을 강요하고, 계정 권한을 변경하거나 액세스를 방해하지 않도록 경고하기 위해 7일 이내에 파일을 삭제하도록 표시한다.
아마존의 서버 측 암호화 기능은 오래 전부터 있었다. 그러나 랜섬웨어 범죄자들이 악의적인 목적으로 사용한 것은 이번이 처음이다. 핼시온사는 이에 대해 “최근 몇 주 동안 공격의 영향을 받은 피해자들이 잇따르고 있다.”고 밝혔다.
그러면 이같은 공격을 어떻게 방어할 수 있을까. 핼시온사는 일단 AWS 사용자가 서버측 암호화 키(SSE-C) 사용을 제한하고, 키를 모니터링 내지 감사할 것을 권했다. 또한 “고급 로깅을 통해 위협을 완화하고 AWS 환경을 강화할 수 있다”고 조언했다. 또 “AWS 키에 대한 권한을 정기적으로 검토해야 하며, 사용하지 않는 키를 비활성화하고, 활성 키를 자주 교체해야 할 것”도 강조했다.
“자격증명 손상시 AWS 안내 따라 조치”
이런 보안 취약점에 대해 AWS측은 “클라우드 자산에 대한 공유 책임 모델을 강화하고, 키가 노출될 때 최선을 다해 고객을 보호한다”고 밝혔다.
또한 “AWS는 공유 책임 모델을 통해 고객이 클라우드 리소스를 보호하도록 하고 있다”면서 “AWS가 노출된 키를 알게 되면 영향을 받는 고객에게 알린다”고 전했다. AWS는 또한 “노출된 키에 대한 모든 보고를 철저히 조사하고, IT 환경을 방해하지 않으면서 고객의 위험을 최소화하기 위해 격리 정책을 적용하는 등 필요한 조치를 신속하게 취한다”고 덧붙였다.
AWS에 따르면 자격 증명이 손상되었을 수 있다고 생각되면 신속하게 조치를 취할 필요가 있다. 보안, ID 및 규정 준수 모범 사례를 따르고, 자격 증명이 노출되었다고 의심되는 경우 AWS가 안내하는 단계를 따라 보안 조치를 시작할 수 있다.
한편 ‘아마존 S3’는 그 동안 데이터 레이크나, 웹 사이트, 모바일 애플리케이션, 백업, 복원, 아카이브, 기업용 앱, IoT 디바이스, 빅 데이터 분석 등 다양한 용도로 데이터를 저장, 보호할 수 있는 유용한 도구다. 그런 신뢰할 만한 도구가 해커 공격의 주요 수법으로 악용되고 있다는 점에서 충격을 안겨주고 있다.