해커즈뉴스 / 해커대학
 
 
  ▒   [해커대학 - hackers college]   ▒  

작성자: 해커즈뉴스
장르: 이슈
2018/3/24(토)
조회: 228
사이버 공격자들을 위한 또 다른 덫, AWS 키  
보안 분석가들이 아마존 웹 서비스(AWS) 키를 허니 토큰(honey token)으로 활용해 사이버 범죄자들을 유인해내는 방법을 개발해 발표했다. 허니(honey)란 해커들이 탐낼만한 크리덴셜이나 디지털 자원 등으로 모니터링이나 로깅에는 사용할 수 있지만 실제로는 어디에도 존재하지 않는 것으로, 공격자들을 노린 덫으로 많이 활용된다.

[이미지 = iclickart]


최근 AWS의 ‘허니화’를 고안한 건 호주 보안 업체 아틀라시안(Atlassian)의 보안 책임자인 다니엘 그르젤락(Daniel Grzelak)이다. 그는 “아무도 쓰지 않는 이메일 주소, 아무도 사용하지 않는 DNS 등 허니로 활용할 수 있는 자원은 무궁무진하다”고 설명을 시작한다. 그는 수석 보안 분석가인 댄 부크(Dan Bourke)와 개발 작업을 함께 진행했다.

허니로 쓸 수 있는 자원이 무궁무진하다면 AWS 키를 허니로 활용할 필요가 있을까? 이에 대해 그르젤락은 “AWS 키를 찾아낸 해커라면, ‘이제 난 어떤 단체나 조직의 인프라를 통제할 수 있게 되었다’라고 기대하게 됩니다. 실제로 클라우드 계정을 해커가 침해하는 데 성공하면 제일 먼저 ‘다른 크리덴셜’을 찾기 시작합니다. 인프라 내에서 횡적으로 옮겨 다니기 위해서죠.”

AWS 인프라에 접근하는 데 필요한 키들은 여기저기서 발견되곤 한다. 특히 깃허브 코드 저장소에서 흔히 찾을 수 있다. 일반 사용자들의 데스크톱에 평문 텍스트로도 저장되는 경우도 흔하다. 물론 키 하나 찾았다고 해서 인프라 전체를 통제할 수 있는 건 아니다. 하지만 그 하나에서부터 공격을 연달아 이어가 그렇게 될 가능성을 무시할 수는 없다.

그르젤락은 “AWS 접근 키는 해커들에게 있어 복권 같은 것”이라고 설명한다. “운이 좋으면 인프라 전체를 가져갈 수 있고, 운이 나쁘다고 해봐야 다음 공격을 위한 발판을 마련하는 데에도 도움이 되니 공격자로서는 탐이 나는 자원입니다. 하지만 해커가 반드시 거쳐야 하는 과정이 있죠. 바로 찾아낸 키를 직접 실험해봐야 한다는 겁니다. 복권을 사도 긁어야 당첨되는 것처럼, AWS 키를 얻어냈다면 그 키의 쓸모를 AWS에 접속해서 알아내는 수밖에 없습니다.”

이 실험 접속 행위에는 많은 것들이 달려 있다. 해커들로서는 어느 정도의 권한이 주어질 것인지 알아보는 행위가 될 수도 있지만, 기업들이 행동 분석 탐지나 맥락적 판단을 통해 해당 크리덴셜이 유출됐음을 파악할 수도 있게 된다. 실시간 파악이 아니더라도 로깅이 된다. 그러므로 AWS 키를 허니로 만들면, 그걸 덥썩 문 해커가 실험을 해보는 단계에서 스스로를 노출시킬 수 있게 된다.

이러한 개념으로 그르젤락은 수많은 토큰을 생성해내기 시작했다. 이를 프로젝트 스페이스크랩(Project Spacecrab)이라고 불렀다. 단순히 혼자 앉아서 랜덤한 숫자나 문자열을 상상한 것이 아니라 사용자들이 계정과 키를 만들고, 주석을 달고, 경보가 울리게끔 해놓았다. 당연히 실제 접속이 되지는 않는 키들이었다.

이러한 실험을 통해 그르젤락과 부크는 몇 가지 귀중한 결과를 얻어낼 수 있었다고 한다. “AWS는 이미 공공 깃허브 저장소를 면밀하게 관찰하고 있습니다. 그리고 여기에 공공 키가 출현하면 조치를 취하기 위함입니다. 또 다른 건 수백 개의 키들을 인터넷에 업로드시키는 건 AWS 이용자 약관을 어기는 거라는 겁니다.”

또한 그르젤락은 “깃허브에 누군가가 자기 크리덴셜을 업로드 하면 누군가 이를 사용하려고 시도할 확률이 83%나 된다는 걸 알아냈다”고 설명하기도 했다. 또한 업로드한 후 익스플로잇 되기까지의 시간은 30분 정도에 불과했다. “하지만 비슷한 코드 저장소인 페스트빈(Pastebin)의 사정은 사뭇 달랐습니다. 거기선 공개되는 크리덴셜의 9%만이 익스플로잇 됐습니다.”
  이름   메일   관리자권한임
  내용 입력창 크게
                    답변/관련 쓰기 폼메일 발송 수정/삭제     이전글 다음글    
번호장르제 목작성일
7451 안내    해커대학 1개월 단기 속성과정 - 직장인/취준생 2018/03/25
7450 사건사고    日 코인거래소, 지난해 해킹으로 620만달러 털려 2018/03/25
7449 이슈    사이버 공격자들을 위한 또 다른 덫, AWS 키 2018/03/24
7448 이슈    일본 등록 거래소엔 다크코인이 없다 2018/03/24
7447 사건사고    네이버 집어삼킨 해적 웹툰… "정부가 해킹이라도 해달라" 2018/03/24
7446 사건사고    미 연방 대배심, 해킹 혐의 이란인 9명 기소 2018/03/24
7445 이슈    스마트홈 시대 눈 앞… 해커가 당신 집 노린다 2018/03/23
7444 사건사고    페북 정보유출업체, 나이지리아 대선후보 해킹 이메일도 받아 2018/03/23
7443 사건사고    필리핀 도심 전광판에 음란물 노출…당국 '해킹으로 추정' 2018/03/23
7442 사건사고    해킹당한 日 가상화폐 5천800억 원…"세탁 끝나 회수 불능" 2018/03/23

 
목록