사이버 공격자가 서버리스 컴퓨팅 환경에서 방어자 대응을 눈치채고 공격 전술을 수시로 바꿔 클라우드 해킹 범죄를 지속한다는 보고서 결과가 나왔다.
구글 맨디언트는 서버리스 인프라 악용 사례 공유와 클라우드 보안 방어 강화를 위한 '2024년 하반기 위협 지형(Threat Horizons Report)' 보안 영문 보고서를 8일 발표했다. 이번 보고서는 구글 클라우드 맨디언트, 구글 위협 분석 그룹, 구글 클라우드의 'CISO실' 등이 참가해 작성했다.
서버리스 컴퓨팅이란 개발자가 서버를 관리하지 않고도 코드를 실행할 수 있는 클라우드 서비스다.
눈에 띄는 부분은 서버리스 기능과 백엔드 기능에 대한 위협이었다. 맨디언트는 지난 몇 년간 UNC2465, APT 41 등 공격자들이 악성코드 배포 및 명령, 제어 통신을 위해 서버리스 인프라를 활용한 것을 관찰했다고 보고했다. 이어 위협 행위자들이 클라우드 제공업체의 하위 도메인 통신을 통해 악성 트래픽을 숨기는 방식을 택한다는 사실을 확인했다.
구글 맨디언트는 서버리스 아키텍처 운영 시 ▲하드 코딩된 일반 텍스트 암호 ▲악의적인 목적으로 서버리스 인프라 활용하는 공격자 ▲안전하지 않은 아키텍처 및 개발 관행 ▲잘못 구성된 백엔드 서비스 등을 유의해야 한다고 언급했다.
맨디언트는 "서버리스 아키텍처에선 수명이 짧은 컨테이너에서 코드가 실행돼 클라우드에선 공격하기 어렵다"면서도 "코드 자체가 서버리스 기능의 핵심이기 때문에 코드 내의 모든 취약점을 악용할 수 있고 서버리스 취약점을 이용해 다른 클라우드 인프라로 이동 후 데이터에 액세스할 수 있다"고 경고했다.
서버리스 서비스형 백엔드(BaaS)에 대한 우려도 보고서에 담겨있었다. BaaS 리소스를 구현할 때 보안 조치를 잘못 구성 시 데이터가 유출되거나 무단 액세스 될 수 있다는 것이다. 맨디언트는 공개적으로 노출된 API 엔드포인트와 안전하지 않은 API, 데이터 손상 유발 구성 오류 등이 데이터 노출의 원인이 될 수 있다고 분석했다.
맨디언트는 "악의적인 공격자는 언제든지 사용자를 피싱 페이지로 불러들인 뒤 악성 스크립트를 실행시킬 수 있다"며 "이는 구글 클라우드·아마존웹서비스(AWS)·마이크로소프트 애저(Azure) 등 모든 클라우드 서비스 제공 업체에 해당하는 내용"이라고 강조했다.
연구자들은 위에 대한 예시 및 서버리스 클라우드·BaaS 데이터 노출 연구의 예시로 브라질의 사례를 들었다.
보고서는 공격자들은 세금·금융 등을 이유로 브라질 연방 세입 정부 기관(Receita Federal do Brasil)을 사칭한 이메일을 보내거나 한국 '카카오톡'과 흡사한 메신저 앱 '왓츠앱' 메시지를 사칭했다고 밝혔다.
또 해커들은 이메일이 의심받지 않도록 "DNS 요청 시간이 초과됐다"는 메시지를 담는 등 다양한 기술을 이용했다고 기술했다. 이어 이용자의 링크 접속 등 공격에 성공하면 해커들은 멀웨어 등 다수 위협 요소를 구글 클라우드에 넣었다고 보고했다.
관련기사
- 구글클라우드, 54억달러 규모 맨디언트 인수 완료2022.09.13
- "작년 랜섬웨어 변종만 50개 이상"…주요 특징은?2024.06.10
- 금전 이익 노리는 랜섬웨어, 더 빠르고 과감해졌다2024.06.25
- "북한 해킹그룹, 더 공격적이고 유연해졌다"2023.08.29
맨디언트 관계자는 "악의적인 목적으로 서버리스 컴퓨팅을 악용하는 사례가 꾸준히 증가하고 있다"며 "클라우드 서비스를 악용하는 위협 행위자가 방어자의 대응을 눈치채고 전술을 수시로 바꾸는 것이 최근 대두되는 문제"라고 말했다.
이어 "서버리스 기술은 확장성과 유연성이 뛰어나 국가 사이버 운영자들이 다수 이용하는 서비스"라며 "공격자들이 서버리스 컴퓨팅 보안의 허점을 악용해 우려했던 위협을 실현하고 있기 때문에 유의해야 한다"고 덧붙였다.
