• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

클라우드의 위협 정확히 알아보는 하이젠버그 프로젝트 2016.11.04

라피드7의 본격 ‘클라우드 위협 해부하기’
1단계의 가장 큰 문제점, “데이터가 인터넷에 직접 연결되어 있다”

[보안뉴스 문가용 기자] 보안 전문업체인 라피드7(Rapid)에서 클라우드 환경을 위협하는 요소들이 정확히 무엇인지 파악하기 위해 연구를 하면서 몇 가지 흥미로운 사실을 발견했다. 특히 중요한 데이터들이 저장되어 있는 데이터베이스가 너무나 많이 공공 인터넷에 연결되어 있고 환경설정이 얼마나 엉망으로 되어 있는지 놀라울 정도라고 밝혔다.


라피드7의 이번 ‘클라우드 파헤치기’ 프로젝트는 하이젠버그 클라우드(Heisenberg Cloud)라는 이름으로 진행되었으며, 하니팟(honeypot) 기술을 주로 활용해 ‘클라우드를 위험하게 하는 것들이 정확히 무엇인지’ 구체적으로 파악하기 위한 목적을 가지고 있었다. 이로써 ‘클라우드는 불안하다’는 느낌을 해부하고자 했던 것.

라피드7은 허니팟 에이전트를 여섯 개 대형 클라우드 서비스 환경 속에 풀어두었다. 아마존 웹 서비스, 구글 클라우드, 랙스페이스 클라우드 호스팅, 마이크로소프트 에저, IBM 소프트레이어, 디지털오션이었다. 실험을 시작했을 때 라피드7은 하니팟으로 들어오는 공격이 어마어마할 것으로 예상했다. 그리고 이는 정확히 들어맞았다. PHP 서비스에 대한 익스플로잇 공격, POS 데이터베이스를 겨냥한 공격 등에 더하여 최근 공개된 NSA의 백도어 툴이 사용되기도 했었다.

그러나 웹에 곧바로 노출되어 있는 데이터베이스의 비율이 그렇게나 높을 줄은 몰랐다고 라피드7의 수석 데이터분석가인 밥 루디스(Bob Rudis)는 설명한다. 예를 들면 IBM의 소프트레이어의 고객 노드들 중 22%가 MySQL과 SQL Server 데이터베이스 서버를 웹에 곧바로 노출시키고 있었다.

또한 다이내믹 클라우드 인프라 요소를 사용하는 클라우드 서비스 제공업체들 중 상당 수가 환경설정에서도 오류를 보이고 있었다. 정상적인 클라우드 서비스이지만 더 이상 존재하지 않는 인프라로 연결을 계속 시도하는 경우도 있었고 하드코딩, DNS 관련 오류도 여럿 발견되었다. “무명의 프록시 트래픽이 많을 것이라고는 예상했습니다만, 그 무명의 프록시가 범법자들뿐 아니라 정상의 합법적인 기업들에게서도 많이 발생할 줄은 몰랐습니다. 항공사 웹 사이트 같은 곳에서 불법적으로 콘텐츠를 수거하는 데에 무명 프록시가 많이 사용되더군요.”

이 하이젠버그 클라우드 프로젝트는 이제 막 시작 단계에 있다. “시작하자마자 이런 어이없는 구멍들이 발견된 것이니, 앞으로 뭐가 더 발견될지 상상조차 할 수가 없습니다.” 지금까지 하이젠버그 클라우드가 발견한 것은 1) 어마어마한 공격 횟수, 2) 어마어마한 무명 프록시 트래픽, 3) TCP 포트 1080, 3128, 8000, 8080, 8083, 8118, 8888로 들어오는 설정 오류 트래픽의 어마어마한 양이다. “외주 클라우드 서비스를 사용하는 조직은 이 포트들을 사용하면 안 됩니다.”

특히 8000번 포트는 대부분 웹 및 API 서비스에서 디폴트로 지정하고 있다는 사실을 발견했다. “아무런 필터링 장치 없이 디폴트로 이 포트를 열어두고 있는 기업들이 대부분이더군요. 정말 경악할 일이었습니다.” 위 포트들에서 벌어지는 통신의 양과 다양성을 생각해봤을 때 정말로 이 포트들을 열어둘 필요가 있는 건지, 각 조직의 보안 담당자는 진지하게 검토해봐야 한다고 라피드7은 경고한다.

“차라리 비밀(사설) 네트워킹 시스템이나 가상 클라우드를 활용하는 것이 지금으로서는 더 안전해 보입니다. 즉 지금으로서 발견된 클라우드 서비스의 가장 큰 문제는 데이터까지도 무분별하게 공공 인터넷 공간에 연결되어 있다는 겁니다. 클라우드를 통한 자유로운 데이터를 안전하게 하려면 모든 행위를 로그로 남겨서 빠짐없이 분석할 수 있어야 합니다.”

라피드7은 다음 단계에서는 공격자들의 행동 패턴을 분석할 계획이라고 한다. 또한 위 클라우드를 사용하는 고객들과 협조해 하니팟을 클라우드 뿐 아니라 고객사 내에도 도입해 실험을 진행할 것이라고 설명했다. 하이젠버그 클라우드 프로젝트의 진행 상황에 해외 보안 커뮤니티가 주목하고 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>