이 글은 IDG의 아티클을 전재하여 제공합니다.
[원문보기]
클라우드 보안 기업 테너블(Tenable) 보고서에 따르면, 기업의 74%가 공개적으로 노출된 스토리지를 갖고 있거나 잘못된 설정을 하고 있어 사이버 범죄자에게 취약한 상태인 것으로 나타났습니다. 테너블이 10월 8일에 발표한 ‘클라우드 고객 원격 측정 데이터 연구’에 의하면, 올해 상반기 기준으로 기업의 38%가 최소 1개 이상의 클라우드 워크로드에서 심각한 취약점, 과도한 권한, 공개 노출 등의 위험 요소를 보유하고 있는 것으로 나타났습니다. 보고서는 이를 ‘클라우드의 유해한 3가지 요소’라고 언급하며 ‘이 요소는 위험한 공격 경로를 만들어 해당 워크로드를 악의적 행위자의 주요 표적으로 만든다. 3분의 1 이상의 기업이 잠재적으로 내일의 헤드라인을 장식할 수 있다.’고 지적했습니다. 또한 워크로드에 위험 요소 중 한두 가지만 있어도 기업에 막대한 보안 영향을 미칠 수 있습니다.
한편, 인포테크 리서치 그룹(Info-Tech Research Group)의 수석 연구 이사 제레미 로버츠는 최종 사용자 기업도 책임이 있다고 지적합니다. 클라우드는 다른 도구와 마찬가지로 사용 방법이 중요합니다. 많은 클라우드 침해 사고가 서비스 업체의 문제가 아니라, 2019년 캐피털원 데이터 유출 사건처럼 비효율적인 관리로 인해 발생합니다. 권한을 정기적으로 감사하고, 제로 트러스트 원칙을 적용하며, 중앙 관리(컨트롤 타워 등)를 통해 보안 기준을 표준화해야 합니다.
보고서의 핵심 내용을 다시 한번 요약해 보면, ‘전체 기업 중 74%가 공개적으로 노출된 스토리지를 가지고 있고, 일부 기업의 스토리지에는 민감한 데이터를 포함하고 있다.’는 것이었습니다. 노출의 원인은 주로 불필요하거나 과도한 권한 때문이었습니다. 기업이 클라우드 네이티브 애플리케이션 사용을 확대하면서 고객 및 직원 정보, 기업 지적 재산 등 민감한 데이터의 저장량이 증가하고 있습니다. 해커들은 클라우드에 저장된 데이터를 항상 노리고 있습니다. 보고 기간 동안 클라우드 스토리지를 대상으로 한 랜섬웨어 공격 가운데 상당수가 과도한 액세스 권한을 가진 퍼블릭 클라우드 리소스를 노렸는데, 사실 이를 충분히 예방할 수도 있었습니다.
노출된 스토리지의 원격 측정 데이터를 분석한 결과, 기업의 39%가 공개 버킷을, 29%가 과도한 접근 권한을 가진 공개 또는 비공개 버킷을, 6%가 과도한 접근 권한을 가진 공개 버킷을 보유하고 있는 것으로 확인되었습니다.
그러나 스토리지만 문제가 있는 것이 아니었습니다. 기업의 84%가 심각하거나 높은 수준의 권한을 가진 미사용 또는 장기 사용 액세스 키를 보유하고 있었습니다. 이런 액세스 키가 수많은 신원 기반 공격과 침해에서 주요한 역할을 한 것으로 나타났습니다. MGM 리조트의 데이터 유출, 마이크로소프트의 이메일 해킹, AWS의 IAM(Identity and Access Management) 사용자를 통해 AWS에서 지속성을 확보하고 전파된 웹 서버, 클라우드 서비스 및 SaaS를 대상으로 하는 FBot 맬웨어 등이 이러한 키가 악용될 수 있었던 사례로 언급되었습니다. IAM 리스크의 핵심은 액세스 키와 그에 할당된 권한입니다. 이 2가지가 결합하면 말 그대로 클라우드 저장 데이터를 여는 열쇠가 됩니다. 여기에 주요 하이퍼스케일러(아마존 웹 서비스, 구글 클라우드 플랫폼, 마이크로소프트 애저)의 클라우드 신원 중 23%가 인간과 비인간 모두에서 심각하거나 높은 수준의 과도한 권한을 가지고 있다는 사실을 더하면 심각한 사고가 발생할 가능성이 있습니다.
인포테크 리서치 그룹의 수석 자문 이사 스콧 영은 이런 상황이 부분적으로 사람의 본성 때문일 수 있다고 설명합니다. 계정에 중요한 권한을 부여하는 비율이 높은 이유는 저항이 가장 적은 경로를 선호하는 사람의 자연스러운 성향 때문입니다. 안타깝게도 저항은 이유가 있어 존재합니다. 시스템 작업 시 마찰을 줄이려는 의도가 계정 유출 시 심각한 잠재적 결과로 이어지는 것입니다.
또한 보고서에 의하면, 기업의 78%가 공개적으로 접근 가능한 쿠버네티스 API 서버를 보유하고 있으며, 그중 41%가 인바운드 인터넷 접속을 허용하고 있어 ‘문제가 될 수 있다’고 합니다. 또한 58%가 특정 사용자에게 쿠버네티스 환경에 대해 무제한 제어 권한을 부여하고 있으며, 44%가 권한 모드에서 컨테이너를 실행하고 있어 보안 위험을 증폭시키는 것으로 나타났습니다. 잘못된 구성으로 인한 취약점 외에도, 워크로드의 80% 이상이 패치가 가능하지만, CVE-2024-21626과 같은 심각한 컨테이너 탈출 취약점을 해결하지 않은 상태였습니다.
테너블은 기업이 리스크를 줄이는 데 도움이 될 수 있는 완화 전략을 제시했습니다.
• 맥락 중심의 사고방식 구축: 통합 도구에 신원, 취약점, 잘못된 구성, 데이터 위험 정보를 결합해 클라우드 보안 리스크에 대한 정확한 시각화, 맥락, 우선순위를 확보합니다. 모든 리스크가 동등하게 생성되는 것은 아니며, 유해한 조합을 식별하면 위험을 크게 줄일 수 있습니다.
• 쿠버네티스/컨테이너 접근 관리: 권한 있는 컨테이너를 제한하고 접속 제어를 시행하는 등 파드 보안 표준을 준수합니다. 인바운드 접속을 차단하고, 쿠버네티스 API 서버에 대한 인바운드 접속을 제한하며, 쿠블릿(Kubelet) 구성에서 익명 인증을 비활성화합니다. 또한 클러스터-관리자의 클러스터 역할 바인딩을 검토하고 정말 필요한지 확인하고, 필요하지 않다면 사용자를 더 낮은 권한의 역할에 바인딩합니다.
• 자격 증명 및 권한 관리: 자격 증명을 정기적으로 교체하고, 장기 지속 액세스 키 사용을 피하며, JIT(Just-in-Time) 액세스 메커니즘을 구현합니다. 인간 및 비인간 신원에 대한 권한을 정기적으로 감사하고 조정하여 최소 권한 원칙을 준수합니다.
• 취약점 우선순위 지정: VPR 점수가 높은 고위험 취약점에 패치를 적용하는 등 해결 노력에 집중합니다.
• 노출 최소화: 공개적으로 노출된 자산을 검토해 노출이 필요한지, 기밀 정보나 중요 인프라를 손상하지 않는지 확인합니다. 또한 패치를 최신 상태로 유지합니다.
문제를 예방하는 방법이 새로운 것은 아닙니다. 해킹 시도의 구조가 큰 틀에서 변하지 않았기 때문입니다. 악의적 행위자는 사용자를 찾고, 진입점을 통과하고, 가치 있는 것을 찾기 위해 측면으로 이동하려 합니다. 전체적으로 볼 때 진입점을 지키고, 측면 이동을 제한하기 위해 계정을 보호하고 제어하는 데 느리지만, 클라우드를 사용하면 쉽게 찾을 수 있습니다. 성숙한 보안 관행, 잘 정의된 프로세스, 철저한 감사가 눈에 띄게 증가하지 않고서, 속도와 일관성을 위한 자동화 및 오케스트레이션을 모두 결합하지 않으면 이러한 수치는 크게 줄어들지 않을 것입니다. 간단히 말해서, 잘 운영할 수 있는 거버넌스, 위험 및 규정 준수(GRC) 관행이 꼭 필요합니다.
▶ 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 기고자에게 저작권이 있습니다.
▶ 해당 콘텐츠는 사전 동의 없이 2차 가공 및 영리적인 이용을 금하고 있습니다.
Tech Writer