클라우드 스토리지 ‘설정 오류’가 중요 데이터 유출 사고 부른다

클라우드 스토리지 설정 오류로 중요 데이터가 유출될 위험이 커지고 있다.

팔로알토네트웍스코리아(대표 최원식)은 18일 ‘2018년 사이버보안 전망’을 발표하면서 클라우드 시스템상의 데이터 보호를 강조했다.

퍼블릭 클라우드 서비스는 책임 공유 모델을 통해 네트워크와 스토리지, 컴퓨팅 등 클라우드 인프라의 가용성과 보안을 책임지고 있지만, 클라우드상에 저장된 데이터 보안은 서비스 사용자들이 직접 책임져야 한다.

중요 데이터가 저장되는 클라우드 스토리지 사용자 설정 오류로 최근 중요한 데이터가 유출되는 사례가 늘어나고 있다. 대표적인 사례가 아마존웹서비스의 S3(Simple Storage Service)를 위한 콘테이너인 ‘버킷’의 보안설정 오류로 인해 1억9000만명의 미국 유권자들의 중요 파일, 패스워드, 집주소 등 개인정보가 인터넷에 노출된 사고다.

AWS S3 콘테이너 ‘버킷’ 설정을 읽기(Read) 상태로 열어두면 자동으로 데이터가 노출될 수 있다. 덮어쓰기(Overwrite)될 수 있는 데이터의 경우엔 더욱 큰 위협이 될 수 있다.

만일 임의의 공격자가 수정 가능한 버킷을 찾아낸다면 해당 버킷에 멀웨어를 업로드해 파일들을 덮어쓸 수 있기 때문이다. 또한 이러한 저장소에 코드를 저장해둘 경우 이 또한 변경될 수 있다.

AWS뿐 아니라 마이크로소프트 애저, 구글 클라우드 플랫폼도 클라우드 스토리지 설정 오류가 발생할 경우 누구라도 인터넷을 통해 데이터에 자유롭게 접근할 수 있기 때문에 데이터 유출 사고로 이어질 수 있다는 것이 팔로알토네트웍스의 설명이다.

인터넷상에는 이미 잘못된 설정을 검색해 찾아낼 수 있는 AWS 버킷 덤프와 같은 툴들을 손쉽게 구할 수 있다.

조현석 팔로알토네트웍스코리아 부장은 “클라우드 데이터의 민감도를 고려해 보안수준별 등급과 접근권한 설정이 필요하다”라면서 “클라우드 데이터와 응용 프로그램 접근제어, 위협분석, 접근 로그 저장관리 등이 수행돼야 한다”고 강조했다.

팔로알토네트웍스는 데이터 무결성 관리 중요성도 강조했다. 데이터 분석 결과가 비즈니스에 널리 활용되면서 데이터는 4차 산업혁명 시대의 새로운 유전(油田)으로 떠올랐다. 이로 인해 데이터 유실·도난뿐 아니라 데이터 무결성 확보가 중요해지고 있는 상황이다.

데이터 무결성이 침해당하는 경우 금융시장에 치명타를 입힐 수 있다. 예를 들어 매출 실적을 조작해 기업의 주가를 부풀리는 일이 가능하다. 스마트시티를 추진하는 공공기관의 경우 교통 신호등에서 상수도에 이르는 사물인터넷(IoT) 시스템의 데이터가 변조될 경우 심각한 지장이 초래될 수 있다. 또 가상화폐 주소가 변조되면 막대한 금전 손실과 복구 불능 사태에 빠질 수 있다는 게 팔로알토네트웍스의 지적이다.

데이터 무결성을 확보하기 위해서는 보유 데이터가 어떤 것이고 그 수집·생성 방법은 무엇이며, 해당 데이터 중 가장 민감한 부분은 어디에 있는지 파악해야 한다. 또한 다중인증(MFA) 기법을 이용해 사용자명이나 암호가 보안 기능을 제공하지 못하게 될 경우 추가적인 보안 계층을 제공할 수 있도록 해야 한다. 이와 함께 암호화를 적용해 민감 데이터를 보호해야 한다. 암호화 적용시 키 관리 전략을 채택하는 것도 중요하다.

팔로알토네트웍스는 이밖에도 올해 사이버범죄자들에게 높은 수익을 안겨다주는 랜섬웨어 열기가 지속될 것으로 내다보기도 했다.

아울러 IoT 기기들의 잠재 보안위협에 대한 보안관리, 소프트웨어 공급망을 통한 공격의 시대가 도래한다고 관측했다.

랜섬웨어 공격자들은 2018년 더욱 정교해진 기법과 증가된 규모로 지속적인 피해를 발생시킬 것으로 전망된다. 높은 수익률의 비즈니스 모델로 진화한 랜섬웨어 공격은 제한적인 기술만으로도 실행이 가능하며 서비스로서의 랜섬웨어가 등장하며 공격이 더욱 쉬워졌기 때문이다.

2018년에는 금전적인 이득보다 정치적인 이슈를 목적으로 둔 랜섬웨어가 더 많아질 것으로 전망된다. 2017년에도 이미 중동 지역에서 발생한 랜섬웨어 ‘란란(RanRan)’은 금전을 요구하는 대신 웹사이트를 만들어 정치인들에게 메시지를 보내도록 요구한 바 있다.

기존 보안 솔루션들은 랜섬웨어에 더욱 취약해질 수 밖에 없기 때문에 가장 효과적인 대책은 사전 대응(Prevention) 정책을 기반으로 한 엔드포인트와 방화벽이 자동으로 통신, 공격이 발생하는 위치에 관계 없이 위협 인텔리전스를 실시간 공유할 수 있는 플랫폼을 확보하는 것이라고 팔로알토네트웍스는 제시했다.

최근 2년간 늘어나고 있는 소프트웨어 공급망 공격에 대응하기 위해서는 공격 라이프사이클에 대한 모든 지점의 가시성을 확보하고, 일반적인 형태에서 벗어난 행위를 탐지하고 차단할 수 있는 네트워크를 구축해야 한다고 지적했다. 새로운 공격의 시대에 대비하기 위해서는 신뢰하는 소프트웨어가 자동 업데이트를 통해 갑자기 멀웨어로 변하는 것을 방지할 수 있는 기술과 프로세스를 확보해야 한다고 제안했다.

팔로알토네트웍스는 운영 기술(OT) 환경을 위한 자동 위협 대응 필요성 증가, 사이버 보안을 강화하는 머신러닝 기술의 발전도 올해 주요 트렌드로 꼽았다.

자동 위협 대응(Automated Threat Response, ATR) 기술 수요는 최근 점점 높아지고 있다. 최근의 악성 행위들은 행동 분석, 인공지능 등의 새로운 기술을 견제하기 위해 사전에 정의된 액션을 취하고 있기 때문이다.

최원식 지사장은 “사이버공격 플레이북 모델에 의해 사전 대응을 자동으로 해주는 솔루션이 나오고 있다. 팔로알토네트웍스는 이같은 ATR 솔루션과 제품을 연동해 지원하고 있다”고 강조했다.

ATR은 위협을 탐지하는 프로세스와 폐쇄형의 방어 프로세스를 자동화하기 위해 마련된 기술로, 시큐옵스(SecOps)의 부담을 덜고 대응 시간을 단축시킬 수 있다는 장점이 있다. 지능형 공격 빈도와 규모가 계속해서 진화하고 있는 만큼 행동 분석과 지능형 보안 위협 분석 환경 기반의 ATR 기술을 확보해야 하는 상황이다.

올해에는 특히 운영기술(OT) 영역에서의 ATR 도입 효과가 가시화되는 한 해가 될 것으로 팔로알토네트웍스는 보고 있다. 주요 인프라와 제조 환경의 산업제어시스템(ICS) 보안에 대한 대규모 구축이 시작될 것으로 전망된다는 이유에서다.

실제로 관련 분야의 주요 기업들이 개념검증(PoC)을 마치고 세분화 작업에 들어섰으며, OT 환경의 보안을 강화하기 위해 행동 분석, 변칙 탐지 기술들이 추가되고 있다.

이러한 솔루션에는 통합보안관제시스템(SIEM)을 보충하기 위한 전용 센서 및 모듈들이 포함된다. 초기에는 독립적인 개별 탐지 툴로 구축된 이러한 ICS 네트워크 모니터링 솔루션은 점차 차세대 방화벽과 같은 장비에 통합돼 위협에 효과적으로 대응할 수 있도록 구성될 것이다.

한편, 사이버공격자들이 멀웨어 생성을 자동화시키면서 시그니처 기반 멀웨어 탐지 기능이 무력화 되는 추세다. 머신러닝 기술이 사이버 보안의 획기적인 묘책이라고 단정할 수는 없으나 사이버공격 방어의 접근법에 미치는 영향은 계속해서 높아지고 있다.

팔로알토네트웍스의 차세대 엔드포인트 보안 제품인 ‘트랩스(Traps)’와 네트워크 보안을 위한 행동 분석 솔루션 ‘라이트사이버(LightCyber)’ 등은 머신러닝을 적용해 사용자와 디바이스 행동을 예측하고 공격의 징조를 시사하는 변칙 행위들을 탐지하고 있다.

2018년에는 사이버 보안 전략에 머신러닝 기술을 포함시키는 보안책임자(CISO)들이 더욱 늘어날 것으로 전망된다. 실제로 방대한 규모의 데이터가 생성되는 헬스케어 분야의 경우 이미 지능형 멀웨어 탐지를 위해 머신러닝을 활용하고 있는 사례가 늘어나고 있으며, 머신러닝을 위한 애플리케이션은 계속 증가할 것으로 전망된다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network