2020 보안위협 전망 : ‘클라우드, 컨테이너, 서버리스’ 신규 플랫폼이 위험하다

최근 국내에서도 도입이 증가하고 있는 클라우드 서비스, 컨테이너와 쿠버네티스, 서버리스 컴퓨팅 등 신규 플랫폼 대상 위협이 크게 증가할 것이란 전망이 나왔다.

잘못된 설정·구성 오류로 인한 정보유출 사고 외에도 클라우드 서비스 제공업체들의 제3자(서드파티) 애플리케이션 라이브러리와 컨테이너 컴포넌트, 사용되는 코드가 보안에 취약해 위협에 노출될 가능성이 높은 것으로 분석됐다.

한국트렌드마이크로는 20일 최근 ‘2020 보안 예측 보고서’ 주요 내용을 설명하는 기자간담회를 열고 “조직은 클라우드와 공급망으로부터 점점 더 큰 위협에 직면할 것이다. 클라우드와 데브옵스(DevOps) 환경의 인기가 높아짐에 따라 비즈니스 민첩성이 향상되고 있지만, 일반 기업에서 제조업체에 이르기까지 서드파티(third-party) 위험에 노출될 확률이 큰 것으로 나타났다”고 밝혔다.

트렌드마이크로 ‘2020 보안 예측 보고서’에 따르면, 점점 더 많은 기업과 생산체계가 클라우드 환경으로 옮겨가면서 서드파티 서비스 제공업체가 관여하는 범위가 확대될 것으로 예상된다. 하지만 대부분의 기업들이 클라우드와 신규 플랫폼 보호 경험이 아직은 부족하기 때문에 이로 인한 위험이 발생할 가능성이 있다.

공격자들은 이를 이용해 서비스 제공업체를 대상으로 클라우드 서비스를 중단시키기 위한 봇넷 디도스(DDoS) 공격, 역직렬화(deserialization) 버그와 마이크로소프트의 패치를 무력화시킨 블루킵(BlueKeep)같은 결함(Wormable flaws) 악용 공격, 크로스 사이트 스크립팅(cross-site scripting), SQL 인젝션(SQL injection) 등의 코드 주입 공격을 가해 클라우드에 저장된 기업 데이터를 노릴 것으로 전망된다.

클라우드 서드파티 애플리케이션 라이브러리, 취약한 이미지·코드 사용 위험

트렌드마이크로는 특히 클라우드 서드파티 라이브러리 공격 위협이 크다고 내다봤다. 퍼블릭 클라우드 서비스 플랫폼의 서드파티 라이브러리를 이용한 코드 인젝션 삽입 공격으로 사용자 정보유출 등을 노린 클라우드 침해 사고가 발생할 것이란 예상이다.

데브옵스 문화를 도입하는 기업이 서드파티 코드를 사용하는 사례가 증가하고 있기 때문에 취약하거나 이미 침해된 컨테이너 컴포넌트와 라이브러리가 서버리스 및 마이크로서비스 아키텍처(MSA)에 활용되면 기업 대상 공격이 더욱 확대될 수 있다.

도커(Docker), CRI-O, runC38같은 런타임 취약점, 쿠버네티스 오케스트레이터, 그리고 젠킨스(Jenkins) 등 개발 단계까지 아키텍처상 구성요소 취약점이 문제를 발생시킬 수 있다는 것이다.

서버리스 플랫폼도 마찬가지다. 서비스로서의 기능(Function as a Service)을 제공해 개발자가 전체 서버나 컨테이너 비용을 지불하지 않고도 코드를 바로 실행할 수 있는 환경에서 오래된 라이브러리, 설정 오류, 알려지거나 알려지지 않은 취약점은 위협 진입점이 된다. 공격자는 이를 활용해 민감한 정보를 수집하거나 기업 네트워크에 침투할 수 있다.

장성민 한국트렌드마이크로 상무는 “많은 기업들이 퍼블릭 클라우드 서비스에서 제공되는 게임 엔진, 인공지능 엔진, 빅데이터 엔진, 사물인터넷(IoT) 서비스 엔진, 오픈소스 DB 서비스들을 함께 쓰고 있다”라면서 “서드파티 라이브러리에 해킹 코드를 심는 형태의 공격이 나타날 수 있다”고 설명했다.

이어 장 상무는 “컨테이너 취약점이 계속 증가하고 있다. 이미 만들어진 컨테이너 이미지의 20% 이상이 악성코드나 취약점이 내포돼 있다는 조사 결과도 있다”며 “기업에서는 빠르게 애플리케이션을 개발하기 위해 이미 만들어진 컨테이너 이미지들을 허브에서 갖다 쓰지만, 빌드 단계에서 취약점이나 악성코드가 담겨 있는지 체크하기 어렵다”고 지적했다.

그는 “2020년이면 엔터프라이즈 환경에서 서버리스 컴퓨팅이 20%를 차지할 것이란 전망이 있다. 서버리스 플랫폼의 잘못된 구성과 취약한 코드 사용은 새로운 공격 타깃이 되고 있다. 오래된 라이브러리를 사용하거나 잘못된 구성, 알려져 있거나 알려지지 않은 위협은 서버리스 애플리케이션에 대한 위협이 된다”고 말했다.

트렌드마이크로는 이밖에도 취약점 증가에 따른 공격 시도와 불완전한 패치로 인한 문제, 지하 블록체인 마켓 플레이스와 서비스로서의 범죄(Crime as a Service) 모델 활용을 통한 사이버범죄와 사이버공격이 증가할 것으로 내다봤다.

오픈뱅킹 등 모바일과 온라인 뱅킹 시스템을 노린 공격, 비즈니스 이메일 침해(BEC) 공격 같은 사기공격, 매니지드서비스제공업체(MSP) 등을 노린 공급망공격 증가, IoT 기기 대상 공격과 중요 기반시설 인프라(CI) 및 운영기술(OT) 공격 등의 위협도 커질 것으로 예측했다.

ML·행위 기반 탐지, MITRE ATT&CK 프레임워크, 위협 인텔리전스 연계 대응 중요

위협 방어·대응 기법으로는 전통적인 공격 탐지와 대응 방식을 무력화하는 신·변종 악성코드 대응을 위한 머신러닝(ML) 기술 기반 탐지와 행위 기반 탐지 기술, 보안 검증 표준인 ‘마이터 어택 프레임워크(MITRE ATT&CK Framework)’, 글로벌 위협 인텔리전스 연계 등을 제시했다.

이 가운데 트렌드마이크로는 앞으로 ‘마이터 어택 프레임워크’의 역할이 커질 것으로 보고 있다. 마이터 어택 프레임워크는 보안 측정을 위한 포괄적인 매트릭스를 제공하며, 알려진 위협에 대한 대응 방안과 기술을 분류해 인사이트를 제공한다.

장 상무는 “마이터 어택 프레임워크는 앞으로 사이버공격 대응에 있어 중요한 기준이 될 것이다. 공격 패턴에 대한 정확한 인지와 분석 수단이 되는 것은 물론, 보안 솔루션이 이 프레임워크를 채택했는지 여부가 공격 대응력을 판단할 수 있는 평가지표로 활용될 것”이라며 “트렌드마이크로는 새롭게 선보인 엔드포인트 위협 탐지 대응(EDR) 솔루션에 이미 반영했으며, 조만간 샌드박스, 지능형지속위협(APT) 보호 솔루션에도 적용한 업그레이드 버전을 출시한다”고 밝혔다.

아울러 트렌드마이크로는 지난 달 클라우드 보안 형상 관리(Cloud Security Posture Management, CPMS) 기업인 클라우드 콘포미티를 인수, 클라우드 보안 서비스를 빠르게 확장하고 클라우드 인프라의 잘못된 구성으로 인해 발생하는 보안 이슈를 해결할 수 있는 서비스를 제공한다.

한편, 김진광 한국트렌드마이크로 지사장은 “6년 전부터 클라우드 보안 서비스를 제공해오면서 트렌드마이크로는 클라우드 인프라 보안에 있어 큰 역할을 하고 있다. 2020년까지 게임사, 이커머스 기업과 스타트업을 넘어 국내 주요 그룹사와 대기업까지 클라우드 전환과 채택이 크게 확대되는 ‘클라우드 빅뱅’이 일어나는 시기에 이 분야 기술력과 경쟁력을 바탕으로 파트너사들과 함께 국내 기업들이 클라우드 쓰는 데 있어 보안 문제가 없도록 중추적인 역할을 수행할 것”이라고 포부를 밝혔다.