20개가 넘는 AWS의 API들이 취약한 것으로 분석됐다. 이 취약점들을 통해 공격자들은 AWS 계정의 내부 구조를 파악할 수 있게 된다고 한다. 그렇게 되면 특정 인물이나 조직에 대한 표적 공격을 실시할 수 있다고 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 경고했다.

이 문제가 심각한 것은, 공격자가 이러한 공격을 하는 데 필요한 재료가 피해자의 AWS ID뿐이기 때문이다. 이 ID는 12자리로 되어 있는 것으로, 공개적으로 공유되는 것이 보통이다. 팔로알토는 취약한 것으로 분석된 모든 API들이 같은 방식으로 익스플로잇 될 수 있고 AWS 세 개 영역인 aws, aws-us-gov, aws-cn 모두에서 적용 가능하다고 밝혔다. 이 취약점의 영향 아래 있는 AWS 서비스들은 S3, 아마존 KMS, 아마존 SQS 등이다.

팔로알토의 수석 클라우드 연구원인 제이 첸(Jay Chen)은 취약점의 근원에 대해 “사용자들이 정책을 작성할 때 오타 등의 실수를 줄이는 걸 돕기 위해 설계된 기능”이라고 설명한다. “오타 등의 실수가 있을 때 오류 메시가 뜨도록 되어 있는데, 여기에 너무 많은 정보가 있다는 게 문제입니다. 이 때문에 공격자는 특정 사용자가 또 다른 AWS 계정 안에 존재하는지 확인할 수 있습니다.”

더 깊게는 AWS의 아이덴티티 및 접근 관리 기능이 특정 유형의 정책을 처리하는 방식에서부터 문제가 시작된다고 한다. 이 특정 유형의 정책이란 ‘자원 기반 정책(resource-based policy)’라고 하는데, S3 버킷이나 아마존 EC2 인스턴스와 같은 AWS 자원과 관련된 정책을 말한다. 26개의 AWS 서비스들이 자원 기반 정책들을 지원하고 있다.

팔로알토에 의하면 AWS 자원 기반 정책들에는 특정 자원에 접근할 수 있는 사용자나 역할을 지정할 수 있게 해 주는 필드가 존재한다고 한다. 이 필드에 포함되어 있지 않은 아이덴티티가 정책 내에 존재할 경우, 이 정책과 관련된 API 호출이 발생할 때 오류 메시지가 발동된다.

유용한 기능이지만 공격자가 일부러 오류 메시지를 반복적으로 발동시켜 필요한 정보를 얻어갈 수 있게 된다는 게 문제다. 특히 AWS 계정에 포함된 모든 사용자와 역할들을 파악할 수 있다는 게 중요하다. “AWS의 자원 기반 정책에 ‘X라는 인물이 이 계정에 존재하는가?’라고 질문을 던지는 것과 같은 것”이라고 첸은 설명한다. 이 질문을 충분히 많이 하게 되면 전체 구조를 이해할 수 있게 된다.

보안 업체 화이트햇 시큐리티(WhiteHat Security)의 부회장인 세투 쿨카니(Setu Kulkarni)는 “문제가 되고 있는 API들은 사용자 정보가 있어야만 제 기능을 발휘할 수 있습니다. 그러므로 부적절한 사용자 정보가 입력되면 오류가 발생하죠. 그리고 그 오류 자체가 공격자에게 큰 도움이 될 수 있습니다. 특정 사용자가 없다는 것을 분명하게 알려주기 때문입니다.”라고 설명한다. “아마존 계정을 여러 개 확보하기만 해도 이런 공격을 통해 어떤 사용자와 역할로 계정이 구성되어 있는지 알 수 있습니다.”

따라서 시간만 충분하다면 공격자는 일종의 브루트포스 공격을 통해 계정의 구조와 각종 설정 오류들 등 공격의 틈바구니를 발견할 수 있게 된다고 보안 업체 디지털 셰도우즈(Digital Shadows)의 보안 엔지니어 찰스 라글란드(Charles Ragland)는 설명한다. “게다가 오류 메시지가 로깅되는 건 공격자의 계정에서죠. 피해자는 공격자가 이런 시도를 하고 있다는 걸 전혀 알 수 없습니다.”

최근 API에 대한 경고가 여기 저기서 나오고 있다. 이번 달 초 포레스터 리서치(Forrester Research)는 API 관련 침해 사고가 가깝게 다가온 주요 사이버 공격의 유형이 될 거라고 발표했었다. 포레스터는 취약한 API를 사용하는 건, 취약한 애플리케이션을 사용하는 것과 같은 수준으로 위험한 건데, 아직 많은 조직들이 API의 보안에는 관심이 없다고 지적 했다.

첸은 위에 언급된 AWS API 취약점으로부터 스스로를 보호하려면 기본적인 아이덴티티 및 접근 관리 보안 실천 사항을 준수해야 한다고 강조했다.


출처 URL

https://www.boannews.com/media/view.asp?idx=92697&page=1&kind=1