서버레스와 클라우드가 촉진시키는 ‘재생 가능한 시스템’
공격자들에게 ‘지속성’ 개념 흐려지고 치고 빠지는 기술 자리 잡는다

[보안뉴스 문가용 기자] 기술과 삶 모두에 있어서 유일한 상수는 변화뿐이다. 시스템이 혁신을 거듭할수록 그걸 공격하는 방법도 혁신을 거친다. 기술보다 한 발 앞서 최대한의 수익을 거두는 데 있어, 또 그걸 방어하는 데에 있어 변화는 상시 필요하다.


하나의 데이터베이스를 침해함으로써 돈을 벌어야 하는 공격자라면 방화벽과 네트워크 침투 방지 시스템을 우회하는 법을 익혀야 한다. 하지만 네트워크의 경계선이 사라지고 데이터가 클라우드로 이주해가면서 공격자들은 엔드포인트를 공격하고 랜섬웨어를 사용하기 시작했다. 또한 웹 애플리케이션, 마이크로서비스, API를 노리면 클라우드 내에 있는 거대한 양의 데이터에 가서 닿을 수 있다는 것을 깨닫고 이 부분을 연구 중에 있다.

해커들의 이런 끊임없는 학습과 변화는 도무지 느려질 줄을 모른다. 그렇다는 건 보안 기술들도 속도를 맞춰야 한다는 것이다. 그리고 어느 정도 그렇게 하고 있다.

예를 들어, 단순하고 정적인 전통의 애플리케이션은 사이버 공간에서 빠른 속도로 유물이 되어가고 있다. 과거의 앱은, 개발하고 유지하고 사용하는 데에 필요한 모든 기술과 데이터가 데이터센터에 들어있었다. 단순했다. 하지만 지금은 이런 자원들이 클라우드 기반의 IaaS나 PaaS에 섞여 들어가고 있다. 동시에 1년에 한두 번 업데이트 될까 말까 했던 앱이 지금은 데브옵스와 애자일 기술 및 구조 덕분에 하루에도 몇 번씩 점검 대상이 되고 있다. 서버가 없는 네트워크 구조(serverless architecture)와 콘테이너가 등장함으로써 공격 경로가 줄어들고 있기도 하다.

이런 변화는 보안에 있어 커다란 의미를 가지고 있다. 전통의 웹 기반 공격이 여전히 영향력을 발휘할 수 있지만, 애플리케이션이 만들어지고 도입되며 유지, 보수되는 방법 자체가 조금씩 변하기 시작하면서 공격자들 역시 새로운 기회를 엿볼 수밖에 없게 되었기 때문이다. 사실 클라우드가 익숙지 않은 일반 사용자들은 이미 작년에 환경설정 오류를 일으켜서 민감한 정보를 아주 많이 범죄 시장으로 유입시키기도 했다.

그런 과정을 통해 기업들은 가상의 인프라에 대한 투자 규모를 실제 인프라에 대한 투자와 비슷한 수준으로 높이기 시작했다. 클라우드 환경설정 관리 솔루션을 구매하고, 인프라 상태 모니터링을 지속하기 위해 필요한 조치들을 취했다. 가상 인프라에 대한 접근 권한 및 인증 기술을 새롭게 검토한 건 물론이다. 로그 수집과 분석 역시 갈수록 ‘실시간’에 근접할 수 있도록 애쓰고 있다.

여기에 이른바 재생 가능한 시스템(renewable system)이란 것이 등장하면서 보안이 좀 더 유연해졌다. 이를 3R 시스템이라고도 하는데, 이 R은 Rotate, Repave, Repair를 뜻한다. 이를 주창한 저스틴 스미스(Justin Smith)는 이렇게 설명한다. “데이터센터 크리덴셜을 수 분 혹은 수 시간마다 순환(rotate)시킵니다. 데이터센터 내 모든 서버와 애플리케이션을 수 시간마다 ‘올바른 상태’로 돌려놓습니다(repave). 그리고 취약한 OS와 애플리케이션들을 최대한 빨리 패치합니다(repair).” 이런 변화는 서버레스와 클라우드의 발전으로 가능해진다.

애플리케이션 보안팀은 데이터센터와 애플리케이션 생태계 전체를 안전하게 보호하는 데 있어서, 이 세 가지 R을 참고하면 효율적인 보안의 로드맵을 만들 수 있게 된다. 재생 가능한 시스템은 표적 공격의 난이도를 크게 높이며, 그러므로 공격자들이 변화를 통해 한 발 앞서가는 걸 방해할 수 있게 된다. 물론 영원히 그런 상태가 유지되리라 기대할 수는 없겠지만 말이다.

이는 또한 공격자들의 ‘지속적인 공격’을 가능하게 하는 인프라도 헝클어 놓는다. 원래 공격자들이 지속 공격을 실행하기 위해서는 1) 공격 표적의 환경을 뚫고 들어가 2) 횡적으로 움직여 고가치 데이터를 찾아내야 했다. 찾을 때까지 횡적으로 움직이는 것이 ‘지속 공격’의 핵심이었다. 수 분 마다 크리덴셜이 바뀌고 패치가 자주 되며 시스템이 금방 금방 정상 상태로 돌아간다면, 이러한 공격의 원리 자체가 망가질 수밖에 없다.

네트워크에 지속적으로 머무를 수 없고, 따라서 돈이 되는 데이터를 찾아내는 게 더 힘들어진 공격자들은 이제 어디로 눈을 돌릴까? 자동화 기술이다. 한 번 공격 성공으로 네트워크에 계속 머무를 수 없으면, 자동화를 통해 공격을 계속해서 성공시키면 된다고 아이디어를 낸 것이다. 자동화 기술만 있으면 수초 내에 여러 번 공격 시도를 할 수 있다. 재생 가능한 시스템에 맞서 재생 가능한 공격을 들고 나온 것이다.

그러므로 보안은 더더욱 ‘실시간’ 개념을 추구할 수밖에 없게 되었다. 잦아진 공격을 그때 그때 찾아내는 게 관건이 된 것이다. 그렇기에 같은 시스템이나 인프라, 혹은 애플리케이션으로부터 요청이 계속해서 들어오거나, 뭔가가 지나치게 자주 변한다면, 이는 침해지표 내지는 의심해볼만한 징조로서 이해해야 한다. 자동화 툴이 사용된 공격일 가능성이 매우 높다.

현대의 공격자들에게 있어 ‘지속성(persistence)’은 가장 크게 위협 받고 있는 개념이다. 그러면서 표적 시스템에 오랫동안 머무르는 것 자체가 목적이 아니라, 그러면서 돈이 되는 데이터를 훔치는 게 진정한 목적이라는 걸 깨닫고 있다. 목적 성취에 있어 더 담백해졌다는 뜻도 된다. 클라우드에 기반을 둔 서비스와 애플리케이션, 데이터 운영 시스템과 네트워크 형태가 늘어나면서 공격자들은 ‘히트 앤드 런 스타일’을 굳혀갈 것이라고 예상할 수 있다.

이러한 큰 변화를 예측하는 건 보안 책임자들에게 있어 중요한 일이다. 이들이 한 발 앞서려 하면, 우리도 그렇게 해야 하기 때문이다. 공격자들에게 가장 맛좋은 음식은 느린 방어자다. 조금 더 단단해졌다고 느끼는 순간, 그들이나 우리에겐 늘 새로운 숙제가 생긴다.

글 : 타일러 쉴즈(Tyler Shields), Signal Sciences
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>