2012년 사이버 보안 및 인프라 보안 기관(CISA)은 건물 시스템을 모니터링하고 제어하는 한 소프트웨어에 관한 분석 결과를 발표했다. 그러나 10년도 더 지난 2023년 워치타워(watchtower)의 사이버 보안 연구진은 2012년 언급된 취약점이 CISA의 한 버려진 아마존 S3 버킷에 여전히 취약성을 품은 채 활성화된 것을 발견했다.
10년 넘게 방치되어 있던 이 버킷을 만약 악의적인 행위자가 다시 등록했다면, 악성코드를 전달하거나 파괴적인 공급망 공격을 시작할 수 있었다. 다행히도 연구원들은 CISA에 알렸고, CISA는 취약한 자원을 즉시 회수했다. 이 사건은 사이버 보안을 담당하는 조직조차 방치된 디지털 인프라의 위험에 노출될 수 있음을 보여준다.
이러한 이야기는 드문 사례가 아니다. 산업, 정부, 기업에 걸쳐 구조화된 문제다. 워치타워의 최근 조사에 따르면, 방치되거나 잘못 구성된 클라우드 인프라가 긴급한 위험성을 내포하고 있다. 업계의 관심이 절실히 필요한 광범위한 사각지대라고 할 수 있다.
방치된 접근 지점
4개월 동안의 조사 기간 동안 워치타워 연구진은 포춘 500대 기업, 정부 기관, 학술 기관, 사이버 보안 회사 등 다양한 사용자의 AWS S3 버킷 약 150개의 제어권을 확보할 수 있었다. 분석 결과 버려진 클라우드 자산은 여전히 수백만 건의 HTTP 요청을 통해 쿼리되고 있었다. 즉 버려졌지만 합법적인 시스템들이 각종 소프트웨어 업데이트, 서명되지 않은 가상 머신, 자바스크립트 파일, 서버 구성과 같은 중요한 리소스와 연결돼 있었다. 2개월 동안 800만 건 이상의 호출이 기록됐다.
이는 심각한 현실이다. 이러한 호출은 악의적인 행위자가 악성 소프트웨어를 전달하거나, 민감한 정보를 수집하거나, 대규모 공급망 공격을 조율하는 데 쉽게 악용될 수 있다. 악용될 경우 2020년 솔라윈즈 공격의 규모와 영향을 능가할 수 있다고 워치타워는 경고했다. 이 보안 기업이 밝혀낸 놀라운 사례로는 다음과 같은 것들이 있다.
• SSL VPN 어플라이언스 공급업체에 연결된 S3 버킷이 여전히 배포 템플릿과 구성을 제공하고 있었다.
• 깃허브 오래된 커밋(2015년)은 인기 있는 오픈소스 웹어셈블리 컴파일러에 연결된 S3 버킷을 노출시켰다.
• 연구자들은 버려진 리소스에서 가상머신 이미지를 가져오는 시스템을 발견했다.
사소한 감독 실수가 초래할 수 있는 재앙
이 버려진 자산과 연결된 조직들은 다양하다. 정부 기관(미국의 NASA와 주정부 기관 등), 군사 네트워크, 포춘 100대 기업, 주요 은행, 대학 등이 이에 포함돼 있었다. 이처럼 거대 조직들이 여전히 잘못 관리되거나 간과된 자원을 활용하고 있는 셈이며, 부실한 감독이 만연하고 있는 현실을 보여준다.
워치타워 연구진은 이러한 현실이 AWS에만 국한되지 않는다고 강조했다. 또 특정 조직이나 산업에 국한되지도 않았다고 지적했다. 즉 이는 클라우드 컴퓨팅 시대에 디지털 자산을 효과적으로 관리하는 데 있어 더 광범위한 체계적 실패를 반영한다는 설명이다. 연구자들은 인터넷 인프라(S3 버킷, 도메인 이름 또는 IP 주소)를 쉽게 획득할 수 있다는 점과 이러한 자원에 대한 강력한 거버넌스와 수명 주기 관리를 도입하지 못한 점을 강조했다.
소홀히 다뤄지는 디지털 인프라는 대규모 보안 취약점이다. 기업은 이러한 취약점을 피하기 위해 클라우드 거버넌스와 인프라 관리에 대해 보다 강력하고 적극적인 접근 방식을 채택해야 한다. 다음은 워치타워가 권장하는 해결법이다.
• 온프레미스 또는 클라우드에 있는 모든 디지털 자산에 대한 명확하고 포괄적인 목록을 작성한다.
• 클라우드 환경에 대한 보안 검토를 자주 수행하고 잘못된 구성이나 오래된 리소스를 해결한다.
• 모든 클라우드 자원에 대해 조직 내의 소유자 각각이 유지보수 또는 폐기에 대한 책임을 지도록 한다.
• 자동화된 스크립트를 사용하여 사용하지 않는 자원을 식별하고 제거한다.
• 개발 라이프 사이클에 보안 모범 사례를 포함한다. 배포 전에 클라우드 자원의 모든 구성이 특정 보안 벤치마크를 충족하도록 하고 인프라를 코드화하여 적절하게 감독할 수 있도록 한다.
• 조직이 제3자 클라우드 자원이나 오픈소스 도구를 활용하고 있다면, 이러한 자원이 버려지거나 손상되었을 때 이를 감지할 수 있는 모니터링 체계를 구축한다.
변화의 기회
취약한 클라우드 인프라에 대한 이번 경고는 기회이기도 하다. 기업은 강력한 자산 관리에 투자하며, 자동화된 보안 관행을 통합함으로써 위험 노출을 크게 줄일 수 있다.
특히 ‘방치’ 사고방식을 넘어서야 한다. 기업의 목표를 진정으로 지원하기 위해서는 경계, 장기 전략, 그리고 보안에 대한 지속적인 투자가 필요하다. 지금 이러한 취약점을 해결함으로써, 기업은 클라우드 컴퓨팅으로부터 초래되는, 의도하지 않은 치명적 대가를 치르지 않을 수 있다. 기억해야 할 경고가 이렇게 등장했다.
[email protected]
Read More from This Article: “솔라윈즈 사태 넘어설 수도”··· 방치된 클라우드 인프라가 초래하는 숨은 위협
Source: News