기업들은 클라우드 인프라를 안전하게 유지하는 데 어려움을 겪고 있다. 특히 애플리케이션과 업무 프로세스에 AI 서비스를 도입하고 통합하는 경쟁이 이 문제를 더 악화시키고 있다.
오르카 시큐리티(Orca Security)가 올해 AWS, 애저(Azure), 구글 클라우드, 오라클 클라우드, 알리바바 클라우드 등 주요 클라우드 환경에서 수십억 개에 달하는 운영 자산을 분석한 결과를 제시했다. 이에 따르면 클라우드 자산 하나당 평균 115개의 취약점이 존재하며, 전체 조직의 절반 이상이 20년 이상 된 취약점을 최소 1개 이상 보유하고 있는 것으로 나타났다. 국가가 지원하는 사이버 스파이 그룹을 포함한 공격자들이 최근 몇 년 사이 클라우드 인프라를 집중적으로 겨냥하고 있다는 점에서 매우 우려스러운 추세라고 오르카는 분석했다.
전체 분석 대상 클라우드 자산의 3분의 1은 오르카가 ‘방치 자산’으로 분류한 항목에 해당했다. 이는 운영체제 지원이 종료되고 180일 이상 보안 패치가 이뤄지지 않은 리소스를 의미하며, 대부분 가상머신 형태로 존재한다. 대부분의 기업이 이러한 방치 자산을 최소 1개 이상 보유하고 있는 상황이다.
한편 기업들은 AI 도입에 뒤처지지 않기 위해 서두르고 있으며, 이런 성급한 움직임이 보안 측면에서 상당한 리스크를 수반하고 있다. 오르카는 전체 조직의 62%가 클라우드 환경 내 AI 관련 패키지에 하나 이상의 취약점을 보유하고 있으며 이 중 상당수가 중간 이상 수준의 심각도라고 밝혔다. 데이터 유출이나 원격 코드 실행 등 공격으로 이어질 수 있다는 설명이다.
취약점 악용 증가세
버라이즌(Verizon)의 2025년 데이터 유출 조사 보고서(DBIR)에 따르면, 139개국에서 발생한 2만 2,000건의 보안 사고(이 중 1만 2,195건은 실제 데이터 유출)에서 취약점 악용이 자격 증명 오용에 이어 2번째로 흔한 초기 침입 경로로 나타났다. 이번에는 피싱보다도 높은 비중을 차지할 만큼 취약점 기반 공격이 급격히 증가하고 있는 것으로 나타났다.
많은 조직이 현재 온프레미스와 클라우드를 결합한 하이브리드 환경을 운영하고 있는 가운데, 어느 쪽 환경에서든 취약점은 공격자에게 주요 표적이 되고 있다.
오르카는 기업의 3분의 2 이상이 외부에 노출된 클라우드 자산을 보유하고 있으며, 이 자산들이 측면 이동을 가능하게 한다고 지적했다. 또한 전체 조직의 55%는 다수의 클라우드 벤더에 걸쳐 자산을 분산 배치하고 있었다.
웹서비스는 가장 취약한 자산 유형으로, 전체 조직의 82%가 최소 1개 이상의 패치되지 않은 웹서비스를 보유하고 있었다. 이 가운데 상당수는 최신이 아닌 10년 이상 된 취약점으로, 조직의 98%가 최소 1개 이상 오래된 취약점을 안고 있는 것으로 드러났다.
지난 2021년과 2022년에 각각 보고된 로그4쉘(Log4Shell)과 스프링4쉘(Spring4Shell) 취약점이 대표적인 사례다. 오르카는 전체 조직의 60%가 이들 취약점의 영향을 받는 자산을 여전히 보유하고 있으며, 3분의 1은 로그4쉘에 노출된 인터넷 연결 자산을 운용하고 있다고 밝혔다. 이는 원격 코드 실행으로 이어질 수 있는 치명적인 결함이다.
오르카는 “위협 그룹들이 가장 취약한 경로를 노려 침투를 시도하고 있는 상황에서, 보다 정교한 패치 관리 전략의 필요성을 보여준다”라고 밝혔다.
예를 들어, 러시아 연방 외무정보국(SVR)에 소속된 사이버 스파이 그룹인 APT29는 초기 침투 수단으로 취약점을 악용하고 클라우드 인프라를 주요 타깃으로 삼는 것으로 알려져 있다. 이 조직은 특히 기술 기업을 주된 표적으로 삼고 있으며, 이들 기업이 침해될 경우 공급망 공격으로 이어질 가능성이 있다.
개별 리스크가 결합돼 더 큰 위협으로 확대
오르카는 전체 조직의 절반이 민감 정보 노출로 이어질 수 있는 공격 경로를 갖고 있으며, 23%는 과도한 권한 획득이나 호스트 침해로 이어질 수 있는 경로를 방치하고 있다고 경고했다. 공격 경로란 각각은 사소해 보일 수 있으나, 결합될 경우 훨씬 더 큰 피해로 이어질 수 있는 리스크 구조를 의미한다.
예를 들어, 오르카는 전체 조직의 3분의 1 이상이 100개 이상의 공격 경로를 생성하는 자산을 최소 1개 이상 보유하고 있으며, 10%는 1,000개 이상 공격 경로를 만들어내는 자산을 운영 중이라고 분석했다. 이 가운데 가장 위험한 자산은 16만 5,142개의 공격 경로를 만들어내는 것으로 나타났다.
민감 데이터 노출 역시 빈번한 문제로, 전체 조직의 3곳 중 1곳이 민감 데이터가 담긴 스토리지 버킷이나 데이터베이스를 외부에 노출하고 있는 상태였다.
오르카는 “AI 혁신으로 인해 데이터 수요가 지속적으로 증가하는 시점에서, 위협 행위자들이 민감 데이터를 중시하는 경향은 더욱 뚜렷하다”라며 “데이터 보안의 중요성이 더욱 커지고 있음을 보여주는 경고 신호”라고 언급했다.
신원 기반 위협도 심각
버라이즌 보고서에서 취약점은 2번째로 흔한 초기 침입 경로였지만, 가장 많은 사례는 자격 증명 악용으로 나타났다. 이 같은 정체성 기반 위협은 최종 사용자 계정뿐 아니라, API 키, 액세스 토큰, 서비스 계정, 클라우드 함수, 그리고 머신·서비스·워크로드가 사용하는 비인간 정체성(NHI) 등으로 구성된다.
오르카는 “NHI는 인간 사용자보다 평균 50배 더 많다. 이들이 보안 없이 방치될 경우 클라우드 리스크가 급격히 증가할 수 있으며, 특히 NHI에 필요 이상으로 많은 권한을 부여할 때 리스크는 더 커질 수 있다”라고 설명했다.
또한 오르카는 AWS를 사용하는 조직 가운데 77%가 서로 다른 2개 이상의 계정에 접근할 수 있는 서비스 계정을 최소 하나 이상 운용하고 있으며, 12%는 50개 이상의 인스턴스에 과도한 역할을 할당한 상태라고 밝혔다. 이 가운데 상당수 역할은 생성 후 사용되지 않았으며, 조직의 90%가 90일 이상 사용되지 않은 IAM(Identity and Access Management) 자격 증명을 보유하고 있었다.
한편 민감한 리소스에 접근할 수 있게 하는 비밀 정보 중 상당수가 소스코드 저장소에서 노출(85%)됐으며, 이 중 절반 이상은 최신 코드 버전에서 제거되더라도 깃(Git) 히스토리에 남아있는 상태였다.
여기에 더해 공격자들은 코드형 인프라스트럭처(infrastructure-as-code) 템플릿(20%), 람다(Lambda) 함수(77%), 깃허브(GitHub) 및 깃랩(GitLab) 같은 소스코드 관리 플랫폼(57%)에 존재하는 구성 오류도 악용할 수 있다.
오르카는 “클라우드 보안은 중대한 전환점에 도달했다. 조직들이 혁신과 성장을 가속화하기 위해 클라우드에 점점 더 의존함에 따라 다양한 보안 과제가 부상하고 있다. 이를 대응하기 위한 전략 역시 근본적인 변화가 필요한 시점”이라고 분석했다.
dl-ciokorea@foundryco.com
Read More from This Article: “클라우드 자산 평균 115개 취약점 보유··· 수년 된 결함도 다수” 오르카
Source: News