최근 IT 관리자와 개발자의 단말을 노린 자격증명 탈취 공격이 증가하고 있다. 공격자는 출처가 불분명한 유틸리티나 개발 도구를 통해 악성코드를 유포하고, 단말에 저장된 클라우드 자격증명(Access Key)을 탈취한다. 그런 다음 탈취한 권한으로 클라우드 내 자산을 조회하고 백업 데이터에 접근해 민감정보를 유출한다. 특히 초기 정보 수집 행위는 정상적인 관리자 API 호출과 구분하기 어려워 침해 사실을 뒤늦게 인지할 수 있다. 피해가 확산되기 전에 IT 관리자와 개발자가 점검해야 할 클라우드 자격증명 보안 수칙을 살펴보자.

(이미지 출처: 안랩 - https://www.ahnlab.com/ko/contents/content-center/36192)

개발자·관리자 단말 노리는 자격증명 탈취

클라우드 환경에서는 Access Key는 주요 자산에 접근하기 위한 핵심 인증 수단이다. 개발자나 시스템 운영자는 업무 과정에서 클라우드 리소스에 접근하기 위해 Access Key, API Key, Secret Key 등 다양한 자격 증명을 사용한다.

그런데 문제는 이런 자격증명이 개발자 단말, 소스코드 저장소, 설정 파일, 개발 환경 등에 저장돼 있을 경우 공격자의 주요 표적이 될 수 있다는 점이다. 공격자가 IT 관리자나 개발자의 단말을 감염시키면, 단말 내부에 남아 있는 클라우드 자격증명을 수집해 외부로 유출할 수 있다.

탈취한 Access Key가 클라우드 침해로 이어지는 과정

클라우드 자격증명 탈취 공격은 개발자나 IT 관리자 단말에서 시작되는 경우가 많다. 공격자는 업무에 필요한 도구처럼 위장한 파일로 단말을 감염시키고, 그 안에 저장된 Access Key를 찾아낸다. 이렇게 탈취된 키는 클라우드 환경에 접근하는 열쇠가 돼 민감 정보 유출로 이어질 수 있다.

1) 초기 침투
IT 관리자나 개발자가 출처가 불분명한 유틸리티, 오픈소스 개발 도구, 업무 보조 프로그램 등을 다운로드하는 과정에서 인포스틸러(Infostealer) 악성코드에 감염될 수 있다.

2) 정보 탈취
인포스틸러는 감염된 로컬 단말에서 소스코드 저장소, 설정 파일, 개발 환경 등을 탐색한다.이 과정에서 하드코딩돼 있거나 파일 형태로 저장된 클라우드 자격증명을 수집해 외부에 유출한다.

3) 무단 접근
공격자는 탈취한 자격증명에 부여된 권한을 악용해 클라우드 자산 목록을 조회하고, 접근 가능한 리소스를 확인한다. 이후 백업 데이터, 개인정보 등 민감정보가 저장된 자산에 접근해 데이터를 탈취할 수 있다.

그런데 더 큰 문제는 초기 정보 수집 행위가 정상적인 관리 작업과 구분하기 어렵다는 점이다. 자산 리스팅, 설정 조회, 리소스 접근과 같은 API 호출은 실제 관리자 업무에서도 발생할 수 있다. 이 때문에 이상 행위 탐지 체계가 충분히 갖춰져 있지 않으면 침해 사실을 즉시 인지하지 못하고 대응이 지연될 수 있다.

침해가 의심될 때 취해야 할 조치

1) 권한 제한
클라우드 자격증명 유출이 의심된다면 해당 Access Key의 권한을 즉시 제한하거나 비활성화해야 한다. 이후 신규 Key를 발급해 교체하고, 기존 키가 더 이상 사용되지 않도록 조치해야 한다.

2) 로그 분석 및 추적
CloudTrail 등 클라우드 사용 로그를 분석해 비정상적인 API 호출, 자산 리스팅, 타 지역 또는 해외 IP에서의 데이터 접근 내역을 정밀하게 추적해야 한다.

3) 증적 보존
사고 인지 시점 확인 및 원인 분석을 위해 로그 데이터를 변조 없이 즉시 백업(보존)해야 한다. 침해사고가 확인되거나 의심되는 경우에는 한국인터넷진흥원(KISA) 인터넷침해대응센터에 신고한다.

상시 예방 수칙

1) 하드코딩 금지
클라우드 침해를 예방하려면 Access Key를 소스코드나 설정 파일에 직접 저장하는 관행부터 개선해야 한다. Access Key를 코드에 하드코딩하거나 공개 저장소에 업로드할 경우, 의도치 않게 외부에 노출될 수 있다. 자격 증명은 환경 변수나 비밀 관리 서비스(Secrets Manager 등)를 활용해 안전하게 관리하는 것이 바람직하다.

2) 임시 자격증명 활용
장기 Access Key 사용도 지양해야 한다. 고정된 키를 장기간 사용하는 방식은 탈취 시 피해가 커질 수 있으므로, IAM Role과 임시 자격증명(STS) 기반의 운영 방식으로 전환하는 것이 권장된다. 임시 자격증명을 활용하면 사용 기간과 권한 범위를 제한할 수 있어 침해사고가 발생해도 피해 확산을 줄일 수 있다.

3) 최소 권한 부여
IAM 정책 전반을 점검해’ 최소 권한 원칙(Least Privilege)’을 적용해야 한다. 업무 수행에 꼭 필요한 권한만 부여하고, 사용하지 않는 권한이나 과도한 관리자 권한은 축소해야 한다. 또한, 주요 관리자 계정에는 다단계 인증(MFA)을 필수 적용해 계정 탈취 위험을 낮춰야 한다.

4) 보안 인식 제고
출처가 불분명한 유틸리티, 오픈소스 개발 도구, 설치 파일은 악성코드 감염 경로가 될 수 있다. 업무에 필요한 도구라도 공식 배포처와 파일 무결성을 확인한 뒤 설치하고, 의심스러운 실행 파일은 사용하지 않도록 내부적으로 안내가 필요하다.

침해사고 의심 시 신고 방법

클라우드 자격증명 탈취가 의심되거나 실제 침해 정황이 확인된 경우에는 내부 보안 조직을 통해 즉시 대응하고, 필요 시 한국인터넷진흥원(KISA) 인터넷침해대응센터나 관할 기관에 신고해야 한다.

• 한국인터넷진흥원 인터넷침해대응센터 종합상황실
  - 전화: 02-405-4911~5
  - 이메일: certgen@krcert.or.kr
• ‘KISA 인터넷보호나라&KrCERT’ 홈페이지 → 침해사고 신고 메뉴 이용

출처 : AhnLab