소개

방어를 위한 공격망 공격의 이해

클라우드에서 공급망 공격은 새로운 위협으로 다가오고 있습니다. 그러나 이런 공격의 성격과 가장 효과적인 방어 수단에 대해서는 여전히 오해가 남아 있습니다. Palo Alto Networks Unit 42® 클라우드 위협 조사팀은 이런 증가하는 위협에 대한 인사이트를 확보하기 위해 전 세계의 다양한 퍼블릭 데이터 소스에서 데이터를 분석했습니다. 또한, 한 대규모 SaaS 공급업체의 요청을 받아 클라우드 호스팅 소프트웨어 개발 환경에 대한 Red Team 훈련을 실시했습니다. Unit 42의 조사 결과, 많은 조직이 여전히 클라우드에서 공급망 보안에 대해 잘못 인식하고 있는 것으로 나타났습니다.

이 보고서에서는 과거 공급망 공격에 대한 Unit 42의 분석을 소개합니다. 공급망 공격의 전체적인 범위를 설명하고, 공급망 공격 발생 과정에 대한 잘못된 인식을 타파하고, 조직에서 당장 클라우드에서 공급망을 보호하기 위해 도입할 수 있는 실천 가능한 모범 사례를 추천합니다.

matt signature Matthew Chiodi
클라우드 최고 보안 책임자 Palo Alto Networks
동영상 보기
보고서 다운로드
공급망 공격은 새로운 위협이 아닙니다

SolarWinds이 사건은 글로벌 헤드라인을 장식한 최초의 중요한 소프트웨어 공급망 공격이지만 이런 종류의 공격은 처음이 아닙니다. Unit 42 조사팀은 2015년 초부터 현재까지 발생한 중요한 공격을 추적했습니다.

  • 2015년 9월XcodeGhost: 공격자가 Apple Xcode 소프트웨어 버전(iOS 및 macOS 애플리케이션 빌드 도구)을 배포하고, Xcode를 사용하여 개발한 iOS 앱에 추가적 코드를 주입했습니다. 이 공격으로 인해 Apple App Store®에서 수천 개의 해킹된 앱이 발견되었습니다.
  • 2016년 3월KeRanger: macOS 랜섬웨어가 설치 프로그램에 주입되어 Transmission(인기 있는 오픈 소스 BitTorrent 클라이언트)이 해킹되었습니다. 이 프로그램을 다운로드하고 설치한 사용자는 파일을 암호화해 랜섬을 요구하는 멀웨어에 감염되었습니다. 공격자들은 Transmission을 배포하는 데 사용한 서버를 탈취해 랜섬웨어를 주입했습니다.
  • 2017년 6월 NotPetya: 공격자는 우크라이나 소프트웨어 기업을 해킹하고, "MeDoc" 금융 소프트웨어 업데이트를 통해 네트워크 웜 기능이 있는 파괴적 페이로드를 배포했습니다. 이 멀웨어는 소프트웨어를 사용해서 시스템을 감염시킨 후, 네트워크상의 다른 호스트로 확산되어 전 세계적인 피해를 입혔고 수천 개의 조직이 영향을 받았습니다.
  • 2017년 9월 CCleaner: 공격자는 수많은 사람이 PC가 올바르게 작동하도록 유지하는 Avast의 CCleaner 도구를 해킹했습니다. 이 해킹의 2단계 페이로드를 통해 전 세계의 대규모 기술 및 전기통신 기업을 노렸습니다.

각 보안 침해에서 공격자들은 소프트웨어 개발 파이프라인을 해킹했습니다. 그런 다음, 내부에서 얻은 신뢰를 악용해 다른 네트워크에 대한 액세스 권한을 얻었습니다.

조사 기술
클라우드 공급망을 책임지는 방법

Unit 42 조사팀은 Palo Alto Networks 고객의 의뢰로 Red Team 훈련을 실시했습니다. 그 과정에서 이 고객의 CI(Continuous Integration) 환경에 제한적 액세스 권한이 있는 악의적 개발자로 위장하여 대규모 클라우드 인프라에 대한 관리자 권한을 얻으려고 시도했습니다. 이 작전을 통해 악의적 내부자가 CI 리포지토리를 확보하여 민감한 정보에 액세스하는 수법을 보여주었습니다.

  • Unit 42 팀은 고객 클라우드 소프트웨어 스토리지 위치에서 모든 GitLab 리포지토리를 다운로드할 수 있었습니다. 154개 고유 CI 리포지토리에서 약 80,000개의 개별 클라우드 리소스를 찾아냈습니다.
  • 리포지토리 내에서는 하드코딩된 IAM 키 페어를 26개 발견했습니다. Unit 42 조사팀은 이를 활용하여 권한을 확대하고 고객 공급망 운영에 액세스할 수 있었습니다.

Supply chain attacks are not a new threat
Short for time? 보고서 읽어보기
주요 조사 결과

이 사안이 중요한 이유: 고객이 공격을 탐지하려면 AWS GuardDuty와 Cloud Security Posture Management 플랫폼을 통합해야 합니다. 이 경우에는 Palo Alto Networks Prisma Cloud를 사용했습니다. 그러나 고객은 계정 하나만 올바르게 구성했기 때문에 전체 악성 활동의 극히 일부만 SOC에 탐지되었습니다.

이 사안이 중요한 이유: 여러 겹의 타사 리소스를 빌려와서 재사용하는 경우가 많은 IaC(Infrastructure as Code) 도구를 사용하기 때문에 공급망 취약점은 금세 눈덩이처럼 불어날 수 있습니다. 아래 예시에 구축된 인프라는 온전히 작동하기는 하겠지만, 종속된 패키지의 기본 구성이 안전하지 않을 수 있습니다. 그중 하나라도 해킹된다면 수백만 개의 연결된 클라우드 환경이 최근 들어 발생한 것과 유사한 공격에 취약해질 수 있습니다.

IaC security means supply chain security
보고서 읽어보기
세부적인 가시성이 중요

이 보고서에서는 보안의 원점 회귀를 통해 모든 클라우드 네이티브 워크로드에 대한 가시성을 확보하는 것이 중요하다는 것을 강조합니다. 보안 커뮤니티에서 '원점 회귀'에 대한 논의가 많이 이루어지고 있지만 조직에서는 여전히 DevOps 보안을 상당히 간과하는 편입니다. 여기에는 공급망 위협에 대한 인식이 부족한 탓도 있습니다.

전체 보고서 다운로드
인포그래픽 다운로드
위협 보고서

Unit 42 클라우드 위협 보고서, 2021년 하반기

지금 다운로드
PRISMA CLOUD

Prisma Cloud가 어떻게 귀사의 클라우드 위협을 해결해줄 수 있는지 알아보세요.

자세히 알아보기
클라우드 보안 리소스 키트 확인

보안 알림, 클라우드 보안 이벤트, Prisma™ Cloud 제품 업데이트를 받아보려면 등록하세요.

최신 소식, 이벤트 초대장 및 위협 알림 받기

© Copyright 2024 팔로알토네트웍스코리아 유한회사 Palo Alto Networks Korea, Ltd. All rights reserved. 여러 가지 상표에 대한 소유권은 각 소유자에게 있습니다. 사업자 등록번호: 120-87-72963. 대표자 : 제프리찰스트루 서울특별시 서초구 서초대로74길 4, 1층 (삼성생명 서초타워) TEL: +82-2-568-4353