테너블이 지난 8일 발표한 ‘클라우드 고객 원격 측정 데이터 연구’에 의하면, 올해 상반기 기준으로 조직의 38%가 최소 1개 이상의 클라우드 워크로드에서 심각한 취약점, 과도한 권한, 공개 노출 등의 위험 요소를 보유하고 있는 것으로 나타났다.
보고서는 이를 ‘클라우드의 유해한 3가지 요소’라고 언급하며 “이 요소는 위험한 공격 경로를 만들어 해당 워크로드를 악의적 행위자의 주요 표적으로 만든다. 3분의 1 이상의 조직이 잠재적으로 내일의 헤드라인을 장식할 수 있다”라고 지적했다. 연구는 워크로드에 위험 요소 중 한두 가지만 있어도 조직에 막대한 보안 영향을 미칠 수 있다고 언급했다.
한편 인포테크 리서치 그룹(Info-Tech Research Group)의 수석 연구 이사 제레미 로버츠는 최종 사용자 조직도 책임이 있다고 지적했다. 로버츠는 “클라우드는 다른 도구와 마찬가지로 사용 방법이 중요하다. 많은 클라우드 침해 사고가 서비스 업체의 문제가 아니라 2019년 캐피털원 데이터 유출 사건처럼 비효율적인 관리로 인해 발생한다. 권한을 정기적으로 감사하고, 제로 트러스트 원칙을 적용하며, 중앙 관리(컨트롤 타워 등)를 통해 보안 기준을 표준화해야 한다”라고 조언했다.
발견된 문제
보고서에 따르면 전체적으로 조직의 74%가 공개적으로 노출된 스토리지를 가지고 있으며, 일부는 민감한 데이터도 포함하고 있었다. 노출의 원인은 주로 불필요하거나 과도한 권한 때문이었다. 보고서는 “조직이 클라우드 네이티브 애플리케이션 사용을 확대하면서 고객 및 직원 정보, 기업 지적 재산 등 민감한 데이터의 저장량도 증가하고 있다. 해커들은 클라우드 저장 데이터를 노리고 있다”라고 설명했다. 보고 기간 동안 클라우드 스토리지를 대상으로 한 랜섬웨어 공격 중 상당수가 과도한 액세스 권한을 가진 퍼블릭 클라우드 리소스를 노렸으며, 보고서는 이를 충분히 예방할 수 있었다고 밝혔다.
노출된 스토리지 원격 측정 데이터를 분석한 결과, 조직의 39%가 공개 버킷을, 29%가 과도한 접근 권한을 가진 공개 또는 비공개 버킷을, 6%가 과도한 접근 권한을 가진 공개 버킷을 보유하고 있는 것으로 나타났다.
그러나 스토리지만 문제는 아니었다. 조직의 84%가 심각하거나 높은 수준의 권한을 가진 미사용 또는 장기 사용 액세스 키를 보유하고 있었다. 보고서는 “이런 액세스 키가 수많은 신원 기반 공격과 침해에서 주요한 역할을 했다”라고 설명했다. MGM 리조트 데이터 유출, 마이크로소프트 이메일 해킹, AWS IAM(Identity and Access Management) 사용자를 통해 AWS에서 지속성을 확보하고 전파된 웹 서버, 클라우드 서비스 및 SaaS를 대상으로 하는 FBot 멀웨어 등이 이러한 키가 악용될 수 있었던 사례로 언급됐다.
보고서는 “IAM 리스크의 핵심은 액세스 키와 그에 할당된 권한이다. 이 2가지가 결합되면 말 그대로 클라우드 저장 데이터를 여는 열쇠가 된다”라고 지적했다.
여기에 주요 하이퍼스케일러(아마존 웹 서비스, 구글 클라우드 플랫폼, 마이크로소프트 애저)의 클라우드 신원 중 23%가 인간과 비인간 모두에서 심각하거나 높은 수준의 과도한 권한을 가지고 있다는 사실을 더하면 심각한 사고가 발생할 가능성이 있다.
인포테크 리서치 그룹의 수석 자문 이사 스콧 영은 이런 상황이 부분적으로 사람의 본성 때문일 수 있다고 설명했다. 영은 “계정에 중요한 권한을 부여하는 비율이 높은 이유는 저항이 가장 적은 경로를 선호하는 사람의 자연스러운 성향 때문이다. 안타깝게도 저항은 이유가 있어 존재한다. 시스템 작업 시 마찰을 줄이려는 의도가 계정 유출 시 심각한 잠재적 결과로 이어진다”라고 말했다.
연구는 또한 조직의 78%가 공개적으로 접근 가능한 쿠버네티스 API 서버를 보유하고 있으며, 그중 41%가 인바운드 인터넷 접속을 허용하고 있어 ‘문제가 될 수 있다’라고 설명했다. 또한 58%가 특정 사용자에게 쿠버네티스 환경에 대한 무제한 제어 권한을 부여하고 있으며, 44%가 권한 모드에서 컨테이너를 실행하고 있어 보안 위험을 증폭시키는 것으로 나타났다.
잘못된 구성으로 인한 취약점 외에도, 워크로드의 80% 이상이 패치가 가능함에도 불구하고 CVE-2024-21626과 같은 심각한 컨테이너 탈출 취약점을 해결하지 않은 상태였다.
완화 전략
테너블은 조직이 리스크를 줄이는 데 도움이 될 수 있는 완화 전략을 제시했다.
- 맥락 중심의 사고방식 구축: 통합 도구에 신원, 취약점, 잘못된 구성, 데이터 위험 정보를 결합해 클라우드 보안 리스크에 대한 정확한 시각화, 맥락, 우선순위를 확보한다. 테너블은 “모든 리스크가 동등하게 생성되는 것은 아니며, 유해한 조합을 식별하면 위험을 크게 줄일 수 있다”라고 설명했다.
- 쿠버네티스/컨테이너 접근 관리: 권한 있는 컨테이너를 제한하고 접속 제어를 시행하는 등 파드 보안 표준을 준수한다. 인바운드 접속을 차단하고, 쿠버네티스 API 서버에 대한 인바운드 접속을 제한하며, 쿠블릿(Kubelet) 구성에서 익명 인증을 비활성화한다. 또한 클러스터-관리자의 클러스터 역할 바인딩을 검토하고 정말 필요한지 확인하고, 필요하지 않다면 사용자를 더 낮은 권한의 역할에 바인딩한다.
- 자격 증명 및 권한 관리: 테너블은 “자격 증명을 정기적으로 교체하고, 장기 지속 액세스 키 사용을 피하며, JIT(Just-in-Time) 액세스 메커니즘을 구현한다. 인간 및 비인간 신원에 대한 권한을 정기적으로 감사하고 조정하여 최소 권한 원칙을 준수해야 한다”라고 조언했다.
- 취약점 우선순위 지정: VPR 점수가 높은 고위험 취약점에 패치를 적용하는 등 해결 노력에 집중한다.
- 노출 최소화: 공개적으로 노출된 자산을 검토해 노출이 필요한지, 기밀 정보나 중요 인프라를 손상시키지 않는지 확인한다. 또한 패치를 최신 상태로 유지한다.
GRC 관행의 필요성
영은 문제를 예방하는 방법이 새로운 것이 아니라고 말했다. 그는 “해킹 시도의 구조는 큰 틀에서 변하지 않았다. 악의적 행위자는 사용자를 찾고, 진입점을 통과해 가치 있는 것을 찾아야 한다. 테너블의 보고서는 사용자가 전체적으로 진입 지점을 보호하고, 계정을 보호 및 제어해 측면 이동을 제한하는 데 느린 반면 클라우드는 쉽게 찾을 수 있다는 점을 부각한다. 보안 관행의 성숙도 향상, 잘 정의된 프로세스, 철저한 감사, 속도와 일관성을 위한 자동화 및 오케스트레이션이 결합되지 않으면 이 수치는 크게 감소하지 않을 것이다. 요약하자면 보고서는 잘 운영되는 거버넌스, 위험 및 규정 준수(GRC) 관행이 필요하다고 주장하고 있다”라고 설명했다.
dl-ciokorea@foundryco.com
Read More from This Article: “클라우드 환경, 3분의 1 이상이 위험에 노출” 테너블 보고서
Source: News