랜섬웨어 및 사이버 범죄 조직이 클라우드 기반 백업 시스템을 집중적으로 겨냥하면서 기존 재해 복구 방식이 새로운 위협에 직면하고 있다.
구글클라우드 보안 연구진이 클라우드 보안 위협의 진화에 대한 보고서에서 데이터 탈취, 신원 위조, 공급망 공격 등 정교함을 더해가는 공격자들로 인해 클라우드 기반 백업을 노린 공격이 점점 더 일반화되고 있다고 경고했다.
2025년 상반기를 다룬 최신 구글클라우드 위협 보고서(Google Cloud Threat Horizons Report)에 따르면, 자격 증명 탈취와 설정 오류가 여전히 위협 행위자들이 클라우드 환경에 침투하는 주요 경로인 것으로 나타났다.
‘클라우드 네이티브 갈취’
이번 보고서는 구글클라우드(Google Cloud)의 정보, 보안, 제품 부서가 공동 참여해 작성했으며, 다수의 클라우드 서비스 업체와 고객 기업이 직면한 위협 전반을 다뤘다.
외부 보안 전문가들 역시 랜섬웨어 조직이 클라우드 내 백업 인프라를 집중적으로 겨냥하고 있다는 구글클라우드의 분석에 동의했다.
레몬그래스(Lemongrass)의 글로벌 CISO이자 수석부사장인 데이브 매닝은 “이제 공격은 엔드포인트에만 국한되지 않는다. 공격자는 데이터를 따라 움직이며, 그 대상에는 스냅샷, S3 버킷, 클라우드 객체 스토리지까지 포함된다. SSE-C 암호화 같은 클라우드 네이티브 기능조차도 코드핑거(Codefinger) 캠페인과 같이 데이터를 재암호화해 몸값을 요구하는 방식으로 악용되고 있다”라고 말했다.
매닝은 “오늘날 랜섬웨어는 단순한 암호화가 아니라 클라우드 네이티브 갈취”라고 덧붙였다.
구글클라우드 연구진은 공격자가 사이버 킬 체인(kill chain)의 초반 단계에서 클라우드에 저장된 백업을 비활성화하거나 삭제해 피해 기업의 대응 여지를 없애고 압박 강도를 높이고 있다고 지적했다.
디지털 전환 기업 콘시아(Conscia)의 보안 부문인 ITGL의 수석 위협 인텔리전스 분석가 데이비드 카사브지는 “헬캣(HellCat), 아키라(Akira), ALPHV/블랙캣(BlackCat) 등의 최근 침해 사례에서도 동일한 양상이 나타났다. 공격자는 변조 불가능한 백업본을 먼저 찾아내 삭제한 뒤에야 몸값 요구를 시작했다. 운영 시스템과 동일한 제어 영역에 백업이 존재할 경우, 공격자는 그것도 공격 대상으로 간주하는 것이 현실”이라고 설명했다.
카사브지는 “격리되고 버전이 관리되며, 접근 권한이 통제되는 복구 계층이 이제 필수적이다”라고 조언했다.
랜섬웨어 조직은 피해자의 클라우드 기반 도구를 역으로 활용해 무기화하고 있다. 예를 들어, 블랙캣과 리시다(Rhysida) 같은 악명 높은 조직은 애저 블롭 스토리지(Azure Blob Storage), 아마존 S3 트랜스퍼 액셀러레이션(Amazon S3 Transfer Acceleration), 애저 스토리지 익스플로러(Azure Storage Explorer) 등의 백업 서비스를 악용해 민감한 파일을 탈취하고 암호화하는 공격을 벌여왔다.
센티넬원(SentinelOne)의 클라우드 보안 디렉터 캐머런 사이프스는 “위협은 단순 암호화에 그치지 않는다. 코드핑거 공격 사례처럼, 공격자는 파일을 며칠 내 자동 삭제하도록 수명주기 정책을 변경해 압박하고 있다. 이런 전술은 기존 엔드포인트 보안을 우회하며, 클라우드 자원의 탄력성을 활용해 빠르고 복구가 어려운 피해를 유발한다”라고 말했다.
사이프스는 “록빗(LockBit)의 사칭 조직이 벌인 캠페인에서는 아마존 S3 트랜스퍼 액셀러레이션을 통해 랜섬웨어를 배포했다. 이때 네이티브 클라우드 인프라를 다시 한번 악용해 암호화에 앞서 데이터를 유출시켰다”라고 말했다.
자격 증명 탈취와 설정 오류의 위험
일부 위협 그룹은 사회공학 기법을 정교하게 발전시켜 다단계 인증(MFA)을 우회하도록 피해자를 속이는 데까지 이르렀다. 이후 이들은 침해된 클라우드 호스팅 환경을 무차별적으로 공격하고 있다.
예를 들어, 구글클라우드 연구진은 공격자들이 탈취한 오픈 인증(OAuth) 토큰을 활용해 MFA를 우회하고, 자동화된 CI/CD 파이프라인을 통해 개발 환경에 악성 코드를 주입하고 있다고 언급했다.
이 같은 공격 벡터에 대응하기 위해, 구글은 클라우드 기반 빌드 프로세스에서 사용되는 비인간 신원(non-human identity)을 보호하기 위한 제어 기능(Verified CRX Upload)을 도입했다.
테너블(Tenable)의 EMEA 기술 디렉터이자 보안 전략가인 버나드 몽텔은 “자격 증명 탈취와 설정 오류는 여전히 클라우드 보안의 ‘아킬레스건’”이라며, 이는 구글클라우드 연구진의 핵심 분석 결과와도 일치한다고 말했다.
테너블 조사에 따르면, 클라우드 환경 전반에서 비밀 정보와 자격 증명이 일상적으로 잘못 관리되고 있었다. 구체적으로 AWS ECS 작업 정의를 사용하는 조직의 54%, 구글클라우드 클라우드런(CloudRun)을 사용하는 조직의 52%가 설정 파일 내에 비밀 정보를 포함했으며, AWS EC2 인스턴스의 약 3.5%가 사용자 데이터에 비밀 정보를 담은 것으로 나타났다.
몽텔은 “비밀 정보는 주로 API 키나 토큰 형태로 존재하며, 공격자에게는 핵심 표적이 될 수 있고 클라우드 환경 전체가 탈취될 위험이 있다”라고 설명했다.
이런 위협은 랜섬웨어에 국한되지 않는다. 예를 들어, 킨싱(Kinsing) 악성코드 캠페인은 설정이 잘못된 리눅스 기반 클라우드 인프라 컨테이너와 서버를 노려 암호화폐 채굴기를 설치하는 방식으로 운영되고 있다.
일부 공격자는 매뉴얼 페이지 디렉터리와 같이 눈에 띄지 않는 파일 시스템 경로에 악성코드를 숨겨 탐지를 회피하기도 한다.
몽텔은 “자격 증명이 한 번 탈취되면 측면 이동과 권한 상승이 가능해져 전통적인 경계 기반 보안 체계를 우회하고 민감한 데이터를 노출시킬 수 있다”라고 지적했다.
ITGL의 카사브지는 “북한 연계 UNC4899 그룹은 이런 전술을 사이버 범죄에 악용한 대표 사례”라고 지적했다. 그는 “링크드인(LinkedIn)이나 텔레그램(Telegram)으로 엔지니어에게 접근해 악성 컨테이너를 실행하도록 유도하고, 그 결과 MFA를 완전히 우회할 수 있는 장기 유효 클라우드 토큰을 손에 넣는다”라고 설명했다.
대응 전략
클라우드 보안을 위한 최전선 방어 수단에는 여전히 신원 관리(identity hygiene)와 설정 관리가 꼽힌다.
구글클라우드 보고서는 강력한 신원 및 접근 관리(IAM)와 선제적인 취약점 관리, 복원력 있는 복구 체계, 공급망 무결성 점검, 그리고 정교한 사회공학 공격에 대한 지속적 경계를 갖출 것을 권고했다.
테너블의 몽텔은 “위협에 대응하려면 조직은 다계층 방어 전략을 채택해야 한다. 최소 권한 원칙을 철저히 적용하고, MFA와 JIT(Just-in-Time) 방식의 접근 제어로 신원을 보호하며, 설정 오류 및 외부 노출 여부를 지속적으로 모니터링해야 한다”라고 조언했다.
dl-ciokorea@foundryco.com
Read More from This Article: 클라우드 네이티브 노리는 랜섬웨어··· “백업 인프라 공격 확산 중”
Source: News