2012년, 미국 사이버보안 및 인프라 보안국(CISA)은 빌딩 시스템을 모니터링하고 제어하는 소프트웨어에 관한 공공 자문을 발표했다. 그리고 10년도 더 지난 2023년, watchTowr의 사이버보안 연구팀은 CISA가 자문에서 언급했던 버려진 아마존 S3 버킷이 취약한 채로 여전히 활성화되어 있다는 사실을 발견했다.

10년 넘게 방치되어 있던 이 버킷은 악의적인 행위자가 다시 등록해 악성코드를 배포하거나 파괴적인 공급망 공격을 시작할 수도 있었다. 다행히도 연구팀이 이런 사실을 CISA에 알렸고, CISA는 취약한 자원을 신속하게 보호했다. 이 사건은 사이버보안에 전념하는 조직조차도 방치된 디지털 인프라의 위험에 노출될 수 있음을 보여준다.

더구나 아주 예외적인 사건도 아니다. 다시 말해, 산업, 정부, 기업에 걸쳐 있는 구조적인 문제가 있다는 것이다. watchTowr의 최근 조사는 방치되거나 잘못 구성된 클라우드 인프라가 야기하는 위험을 강조하면서 업계의 관심이 시급한 사각지대가 넓게 퍼져 있다는 것을 드러냈다.

버려진 자원에서 이뤄지는 액세스 요청

4개월에 걸친 조사에서 watchTowr 연구팀은 포춘지 선정 500대 기업, 정부 기관, 학술 기관, 사이버보안 회사 등 다양한 조직이 소유하고 있는 방치된 AWS S3 버킷 150개를 마음대로 제어할 수 있었다. 버려진 클라우드 자원이지만, 여전히 수백만 건의 HTTP 요청을 받았으며, 합법적인 조직과 시스템의 자원으로서 소프트웨어 업데이트, 서명되지 않은 가상머신, 자바스크립트 파일, 서버 구성과 같은 중요한 자원을 요청했다. 이런 요청도 2개월 동안 800만 건 이상이 기록됐다.

조사 결과의 함의는 크다. 이런 요청은 악의적인 행위자가 악성코드를 배포하거나 민감한 정보를 수집하고, 대규모 공급망 공격을 조율하는 데 쉽게 악용될 수 있다. WatchTowr는 이런 규모의 침해는 악명 높은 2020년 솔라윈즈 공격의 규모와 영향을 능가할 수 있다고 경고했다. watchTowr가 밝혀낸 주목할 만한 사례는 다음과 같다.

• SSL VPN 어플라이언스 업체와 연계된 버려진 S3 버킷이 여전히 배포 템플릿과 구성을 제공하고 있는 것으로 밝혀졌다.
• 2015년에 작성된 깃허브 커밋이 인기 있는 오픈소스 웹어셈블리 컴파일러에 연결된 S3 버킷을 노출시켰다.
• 연구팀은 버려진 자원에서 가상머신 이미지를 가져오는 시스템을 발견했다.

사소한 감독 부주의가 초래하는 큰 결과

버려진 자산과 커뮤니케이션하려는 주체는 정부 기관(미국의 NASA와 주정부 기관 등), 군사 네트워크, 포춘 100대 기업, 주요 은행, 대학 등 다양하다. 이런 대형 조직이 잘못 관리되거나 버려진 자원에 의존하고 있다는 것은 이런 부실한 관리가 만연해 있다는 것을 반증한다.

연구팀은 이 문제가 AWS나 이런 자원을 담당하는 조직, 심지어 단일 산업에만 국한된 문제가 아니라고 강조했다. 이는 클라우드 컴퓨팅 시대에 디지털 자산을 효과적으로 관리하는 데 있어 광범위한 구조적 실패를 의미한다. 연구팀은 인터넷 인프라(S3 버킷, 도메인 이름 또는 IP 주소)를 쉽게 획득할 수 있다는 점과 이런 자원에 대한 강력한 거버넌스와 수명 주기 관리를 도입하지 못한 점을 지적했다.

소홀히 다루어진 디지털 인프라는 방치되기 쉬운 대규모 보안 취약점이다. 기업은 이런 취약점을 피하기 위해 클라우드 거버넌스와 인프라 관리에 대해 보다 강력하고 적극적인 접근 방식을 채택해야 한다. 다음은 watchTowr가 발견한 문제를 해결하기 위해 기업에 권장하는 실행 가능한 권고 사항이다.

• 온프레미스 또는 클라우드에 있는 모든 디지털 자산에 대한 명확하고 포괄적인 목록을 작성한다.
• 클라우드 환경에 대한 보안 검사를 자주 수행하고 잘못된 구성이나 오래된 자원을 해결한다.
• 모든 클라우드 자원을 조직 내의 특정 소유자에게 할당해 유지보수 또는 폐기 책임을 지도록 한다.
• 자동화된 스크립트를 사용해 S3 버킷, 오래된 DNS 항목, 불필요한 IP 등의 사용하지 않는 자원을 식별하고 제거한다.
• 개발 라이프사이클에 보안 베스트 프랙티스를 포함시킨다. 배포 전에 클라우드 자원의 모든 구성이 특정 보안 벤치마크를 충족하도록 하고 인프라를 코드화하여 적절하게 감독할 수 있도록 한다.

기업이 서드파티 클라우드 자원이나 오픈소스 도구에 의존하고 있다면, 이런 자원이 버려지거나 손상되었을 때 이를 감지할 수 있는 모니터링 체계를 구축한다.
dl-itworldkorea@foundryco.com