클라우드 보안을 위협하는 자격 증명 기반 공격의 지속적 위협

1. 클라우드 환경에서의 자격 증명 기반 공격의 지속적인 위협에 대해 (Cracking the Cloud: The Persistent Threat of Credential-Based Attacks)

https://www.securityweek.com/cracking-the-cloud-the-persistent-threat-of-credential-based-attacks/

 

 

 

[요약정리]

클라우드 기술의 확산으로 기업들은 더 좋은 유연성과 확장성을 확보하기 위해 노력하고 있다. 동시에 자격 증명 기반 공격이 클라우드 환경의 주요 보안 취약점으로 남아있다🥹

자격 증명 기반 공격의 작동 방식, 주요 위협 요소, 그리고 방어 전략에 대한 내용을 정리해보고자 한다.

 

 

 

---

1. 자격 증명 기반 공격의 지속성

---

자격 증명 기반 공격이란?

• 사용자의 로그인 정보(이름, 패스워드, 세션 토큰 등)를 탈취하여 시스템에 접근하는 방식
• 복잡한 클라우드 환경과 보안 경계의 모호함을 악용한 위협방식이다.

 

주요 특징

1. 다중 인증(MFA) 도입에도 불구하고 위협이 지속되고 있다

많은 기업이 MFA를 통해 보안 강화를 시도하지만, 이를 우회하는 방법을 정교하게 개발하고 있는 문제점이 있다.

2. 공격자의 선호 대상 중 하나다 

자격 증명은 시스템에 접근할 수 있는 주요 진입 지점으로 탈취 후 곧바로 데이터에 접근하거나 랜섬웨어 같은 추가 공격에 사용되기도 한다.

 

 

 

 

---

2. 피싱 공격의 진화

---

피싱은 여전히 자격 증명 기반 공격의 주요 수단으로 쓰인다

공격자들은 더 정교한 기술을 사용하여 사용자를 속이며 공격을 시도하고 있다

 

2.1. 프록시 페이지를 활용한 공격

프록시 페이지: 사용자를 실제 로그인 페이지와 유사한 페이지로 유인해서 자격 증명과 MFA 토큰을 동시에 탈취함

 

작동방식은 아래와 같다.

 

1. 사용자가 가짜 로그인 페이지에 자격 증명을 입력

2. 공격자가 이를 실시간으로 처리하여 MFA 인증 통과

3. 세션 토큰까지 확보해서 지속적인 접근 권한을 유지

 

2.2. 피싱 공격의 지속적인 위험

기업 이메일 계정을 주요 타겟으로 삼아 데이터 탈취, 내부 시스템 접근, 추가 공격 기반을 마련한다

 

 

 

---

3. 클라우드 서비스의 악용 증가

---

공격자들은 클라우드 서비스를 명령 및 제어(C2) 서버로 악용하여, 이를 통해 보안 탐지를 우회하고 있다.

Dropbox, OneDrive, Google Drive와 같은 클라우드 스토리지 플랫폼을 활용하여 C2 통신을 구축한다.

 

이것이 일반적인 비즈니스 트래픽처럼 보이기 때문에 탐지가 어렵다.

암호화된 통신을 사용하기 때문에 보안 솔루션이 데이터를 분석할 수 없도록 한다.

 

클라우드 기반 트래픽은 합법적 트래픽과 유사해서
기존에 있는 보안 솔루션만으로는 의심 행위를 식별해 내는데 한계가 있다

 

 

---

4. 클라우드 서비스의 악용 증가

---

자격 증명 기반 공격에 대응하기 위해서는 다층적인 방어 전략이 필요하다!!

 

1. 다중 인증(MFA) 강화

• MFA를 기본으로 설정하되 프록시 공격 방지 기술이 포함된 솔루션을 사용해야 한다
• FIDO2 같은 물리적 키 기반 인증 도입 검토

  ➕

  FIDO?

• 비밀번호가 필요 없는 인증을 목표로 하는 인증 표준
• 사용자 지문, 얼굴 인식 같은 생체 인증 또는 YubiKey 같은 하드웨어 보안 키를 사용하여 안전한 인증을 제공해 줌(FIDO2 호환 하드웨어 키를 통해 인증)
• 비밀번호를 사용하지 않아 피싱, 비밀번호 탈취, 재사용 공격의 위험을 줄일 수 있다
• 사용자 장치에서 비공개 키를 생성하고 서버에는 공개 키만 저장하여 더 높은 보안성을 제공해 준다
• ex. Google, Microsoft, Amazon 플랫폼에서 비밀번호 없는 로그인 지원, 기업 내 시스템 접속 시 사용

 

2. 비정상적인 로그인 탐지

• UEBA(User and Entity Behavior Analytics) 도구를 활용하여 사용자 행동 패턴을 분석하고 비정상적인 접근 시도를 탐지해 낸다

3. 클라우드 보안 모니터링

• 클라우드 환경에 특화된 보안 솔루션을 도입할 필요가 있다
• CASB(Cloud Access Security Broker): 클라우드 사용에 대한 가시성을 제공하고 비정상적인 활동을 탐지
• SIEM(Security Information and Event Management): 클라우드 트래픽을 포함한 로그 데이터를 분석하여 위협을 식별

 

  ➕

  CASB(Cloud Access Security Broker): 클라우드 보안 중개 솔루션

• 조직이 클라우드 서비스 사용 중에 발생할 수 있는 보안 위험을 관리하고 통제할 수 있도록 돕는 보안 솔루션
• 조직이 사용하는 모든 클라우드 애플리케이션과 데이터를 실시간으로 모니터링(가시성 제공)
• 데이터 유출 방지(DLP), 사용자 접근 제어 등 보안 정책을 적용
• 악성 활동 탐지 및 비정상적인 사용자 행동을 차단
• GDPR, HIPAA 같은 규제 요건을 충족할 수 있도록 클라우드 데이터 관리
• ex. Salesforce, Slack, AWS와 같은 클라우드 서비스에서 민감한 데이터를 보호, 클라우드 애플리케이션의 사용자 접근 제어

  SIEM(Security Information and Event Management): 보안 정보 및 이벤트 관리

• 조직의 IT 인프라에서 발생하는 보안 이벤트와 로그 데이터를 수집/분석/저장하여 보안 위협을 탐지하고 대응할 수 있도록 돕는 보안 시스템
• 서버, 네트워크 장치, 애플리케이션 등에서 발생하는 모든 로그 데이터를 중앙 집중화하여 관리
• 이벤트 상관관계 분석: 로그 데이터를 분석하여 보안 이벤트 간의 상관관계를 파악하고 위협을 식별해냄
• 의심스러운 활동이나 보안 위협이 발견되면 실시간 경고
• 데이터를 저장/분석하여 사고 발생 시 원인 조사와 규제 준수에 도움이 됨(포렌식)
• 위협 탐지 속도가 향상되고 IT 환경의 보안 가시성을 제공하며 규제 요구 사항에 따른 보고서를 생성해 주는 것이 SIEM의 강점이다.
• ex. 대규모 네트워크 환경에서 사이버 공격 탐지, 관리자가 보안 사고를 실시간으로 모니터링하고 대응

 

 

 

---

 

🤔 이에 대한 나의 생각

클라우드 환경에서 자격 증명 기반 공격이 여전히 심각한 위협이라는 점을 깨달았다. 그동안 나는 MFA가 이와 같은 위협으로부터 사용자와 서비스를 안전하게 보호해 주는데 충분한 조치라고 생각했었는데 그게 아니어서 놀랐다.

공격자들이 MFA를 우회하고 클라우드 서비스를 악용하는 정교한 공격 기법이 보안 전략은 단순히 기술적 방어를 넘어선 다층적 접근을 필요로 해야 한다는 것을 느끼게 해 주었다.

 

MFA만으로는 충분하지 않으니, 보안 시스템은 MFA를 넘어 지속적인 사용자 행동 분석과 위협 탐지 기술을 포함해야 한다고 생각한다.

또 클라우드 사용이 증가함에 따라 클라우드 기반 위협을 탐지하고 차단할 수 있는 솔루션을 필수적으로 도입해야 한다고 생각한다.

 

클라우드 보안에 대한 기사를 또 하나 읽으며 예상치 못한 위협에 대해 더 철저히 대비할 수 있는 보안 전문가로 성장하고 싶은 마음이 +1 되었다 ㅎㅎ!