리소스
인텔리전스 다이제스트
또 다른 대규모 클라우드 스토리지 저장소가 랜섬 공격의 희생양이 되다
포티넷의 클라우드 호스팅 데이터 저장소가 무단 액세스로 인해 침입했습니다.
로드먼 라메자니안 - 엔터프라이즈 클라우드 보안 고문
2024년 9월 30일 7분 읽기
클라우드 스토리지 저장소는 사이버 범죄자들에게 점점 더 수익성이 높은 표적이 되고 있으며, 악용할 수 있는 민감한 데이터의 뷔페를 제공하고 있습니다. 업종, 규모, 경험, 재정적 자원에 관계없이 이러한 위협으로부터 자유로운 조직은 없습니다. 소규모 스타트업부터 다국적 기업, 교육 기관, 정부 기관에 이르기까지 모든 조직은 클라우드에 저장된 데이터가 악의적인 손에 넘어갈 위험에 직면해 있습니다.
클라우드 스토리지로의 전환은 의도치 않게 많은 해커들의 공격 벡터를 단순화시켰습니다. 이제 위협 행위자들은 온프레미스 데이터베이스에 액세스하기 위해 복잡한 네트워크 방어 계층을 탐색하는 대신 클라우드 스토리지 서비스를 손상시키는 데 집중합니다. 이러한 플랫폼은 접근성이 높고 재사용되거나 도난당한 자격 증명을 사용하여 침입할 수 있는 경우가 많습니다. 이 공격 방법은 여러 서비스에서 비밀번호 재사용이 널리 퍼져 있기 때문에 특히 효과적입니다. 그 결과, 유출된 하나의 계정으로 클라우드에 저장된 민감한 정보의 보고에 액세스할 수 있기 때문에 이러한 저장소는 최소한의 노력으로 영향력을 극대화하려는 사이버 범죄자들에게 매력적이고 효율적인 표적이 될 수 있습니다.
사이버 보안 기업 포티넷은 일부 고객 데이터에 영향을 미치는 데이터 유출을 확인했습니다. 이달 초(정확히 9월 12일), 도발적인 이름인 'Fortibitch'로 알려진 그룹이 고객 데이터를 저장하는 데 사용되는 포티넷의 Microsoft Azure SharePoint 서버에서 도난당한 것으로 추정되는 데이터 캐시를 공개했습니다. 안타깝게도 포티넷이 몸값 요구를 거부한 것으로 알려진 후, 위협 공격자들은 훔친 데이터를 다크 웹(Amazon S3 버킷에 포함)에서 다운로드할 수 있도록 공개했습니다.
이러한 사고가 발생하는 이유는 무엇인가요?
안타깝게도 최근 많은 조직이 부럽지 않은 상황에 처해 있습니다. 리소스 구성이 잘못되어 발생하든, 인증된 자격 증명이 손상되어 발생하든, 이 사례의 경우처럼 클라우드 플랫폼의 규모와 범위가 방대하기 때문에 위협 행위자가 어떤 방식으로든 조직의 클라우드 확장 기반에 침입할 수 있는 기회는 얼마든지 있습니다.
포티넷은 자체적으로 다음과 같이 확인했습니다: "한 개인이 포티넷의 타사 클라우드 기반 공유 파일 드라이브 인스턴스에 저장된 제한된 수의 파일에 무단으로 액세스했으며, 여기에는 소수의 포티넷 고객과 관련된 제한된 데이터가 포함되어 있었습니다."
이번 사건에 대한 분석은 '누구를 때려잡기 위한 것'이 아니라, 향후 유사한 공격의 폭발 반경을 완화하거나 최소한 줄일 수 있는 몇 가지 기본적인 보안 원칙을 강조하고 강화하기 위한 것입니다.
포티넷은 아직 승인되지 않은 인증 정보가 어떻게 유출되어 비공개 Azure SharePoint 서버에 액세스하는 데 사용되었는지 정확히 확인하지 못했지만, 과거에 발생한 수많은 유사한 공격에 비추어 볼 때 사회 공학, 인증 정보 수집, 피싱 기법이 Azure에서 호스팅되는 포티넷의 내부 성소에 들어갈 수 있는 권한 인증 정보를 얻는 데 중요한 역할을 했다고 추정해도 무방할 것입니다.
이는 단일 계정의 분리와 제한된 권한으로 인해 인증정보 유출의 영향을 최소화할 수 있는 제로 트러스트 원칙을 채택해야 하는 강력한 사례를 강조합니다.
클라우드에 호스팅된 매우 민감한 고객 데이터의 보고에 대한 액세스 권한을 독점적으로 유지하는 제한된 수의 권한 있는 계정이 있다고 가정해 보겠습니다. 이 시나리오에서는 해당 사용자(또는 해당 계정)가 사회공학적 위협 행위자나 피싱 기회주의자의 표적이 되거나 취약한 것은 중요하지 않습니다. 공격자가 이러한 계정 자격 증명을 손상시키거나 세션 토큰 또는 인증 쿠키를 획득하거나 심지어 다단계 인증(MFA) 메커니즘을 우회할 수 있다고 해도 제로 트러스트 철학의 핵심 원칙인 최소 권한 원칙에 따라 가상적으로 달성할 수 있는 가장 강력하고 강력한 수준의 액세스는 극히 제한될 것입니다.
무엇을 할 수 있나요?
사용자 인증 정보는 디지털 보안의 핵심으로 자리 잡으며 엄격한 보호 조치가 요구되고 있습니다. 2024 Verizon 데이터 침해 보고서에서는 인적 실수가 침해의 68%를 차지하며, 잘못된 설정 및 관련 문제가 보안 사고의 3분의 1을 차지한다는 냉정한 인사이트를 제공합니다. 이러한 통계는 조직이 네트워크 내 사용자 활동의 정상적인 패턴을 설정하고 모니터링할 수 있는 고급 보안 조치에 투자해야 할 필요성을 강조합니다. 이를 통해 보안팀은 비정상적인 행동을 신속하게 식별하고 잠재적인 위협이 본격적인 침해로 확대되기 전에 해결할 수 있습니다.
오늘날의 사이버 보안 환경에서는 더 이상 침해가 발생할지 여부가 아니라 침해가 언제 발생할지가 문제입니다. 이러한 현실은 전 세계적으로 발생한 수많은 보안 사고에서 극명하게 드러나며, 모두 민감한 데이터의 유출과 관련이 있습니다. 데이터를 인식하는 보안 솔루션에 우선순위를 두고 투자하는 것은 타협할 수 없는 문제입니다.
보안의 기본으로 돌아가자: 멀티팩터 인증(MFA)은 가능한 모든 곳에서 구현해야 하는 중요한 도구입니다. 최근의 포티넷 침해 사고는 정적이고 유효한 자격 증명이 어떻게 획득되고 악용되어 피해자의 인프라(기존 온프레미스 시스템 또는 Azure SharePoint와 같은 클라우드 기반 플랫폼)에 더 깊이 액세스할 수 있는지 다시 한 번 극명하게 보여주는 예시입니다.
포티넷 사건은 제로 트러스트 아키텍처 채택의 중요성을 더욱 강조합니다. 싱글 사인온(SSO) 및 기타 액세스 관리 제품을 구현했음에도 불구하고 위협 행위자의 주요 표적이 되는 정적 권한 자격 증명에 계속 의존하는 것은 본질적으로 조직의 자산에 대한 전면적인 문을 활짝 열어두는 것과 같습니다. 제로 트러스트는 단일 인증 지점에 의존하지 않습니다. 대신 세션 내내 사용자의 신원을 지속적으로 확인합니다. 공격자가 유효한 자격 증명을 획득하더라도 액세스를 유지하기 위해 지속적인 도전에 직면하게 됩니다. 또한, 안타깝게도 자격 증명이 유출되더라도 권한이 없는 사용자는 자신이 제어하는 역할에 필요한 최소한의 권한만 부여받게 됩니다. 따라서 잠재적인 폭발 반경과 측면 이동의 위협도 제한됩니다.
사이버 범죄자와 악의적인 내부자의 일반적인 수법은 로그인 프로세스부터 시작하여 합법적인 사용자 행동을 모방하는 것입니다. 그렇기 때문에 제로 트러스트 아키텍처는 지속적인 인증 및 상태 확인을 활용하여 초기 인증 시점 이후에도 사용자(또는 요청 주체의) 컨텍스트, 상태 및 활동을 모니터링합니다.
하지만 인증은 시작에 불과합니다. 조직은 또한 앱, 서비스 또는 플랫폼 내의 데이터가 보안 정책에 부합하는 방식으로 처리되고 거래되도록 해야 합니다. 이를 위해서는 웹, 클라우드, 비공개 애플리케이션(ZTNA) 전반에 걸쳐 데이터 보호 기능을 통합해야 합니다. Skyhigh Security 같은 솔루션은 위치나 기기에 관계없이 원격 사용자가 민감한 데이터를 부적절하게 처리하는 것을 방지하기 위해 인라인 Data Loss Prevention (DLP)을 사용하여 심층 데이터 검사 및 분류를 제공합니다.
따라서 권한이 있는 사람으로 위장한 권한 없는 사용자가 갑자기 클라우드 플랫폼에서 440GB의 데이터를 추출하는 경우, 너무 늦기 전에 Data Loss Prevention 에서 이를 확실히 감지하고 차단하기를 원할 것입니다!
보안팀은 디바이스, 웹, 클라우드, 비공개 앱 등 일반적인 유출 채널 전반에서 DLP와 위협 보호를 통합함으로써 민감한 데이터에 대한 엔드투엔드 가시성과 제어의 이점을 누릴 수 있습니다. 데이터 유출이 모든 규모와 업종의 조직에 치명적인 결과를 초래할 수 있는 시대에 데이터 보안에 대한 이러한 총체적인 접근 방식은 매우 중요합니다.
참조:
Skyhigh Security?
- Private Access 정책을 활용하여 제로 트러스트 원칙을 적용하여 비공개 애플리케이션, 웹 및 클라우드 리소스에 대한 확인된 액세스를 직접 제어하세요.
- 내부 또는 외부에서 기업 리소스에 대한 액세스를 요청하는 관리형/비관리형 디바이스에 대한 디바이스 프로필 및 상태 평가를 정의합니다.
- 구성 감사를 활성화하여 잘못된 구성이 악용되기 전에 발견하고, 무제한 액세스에 노출된 서비스를 모니터링하세요.
- 초기 로그인 이후의 사용자 활동을 평가하여 사용자의 이동, 행동, 기업 서비스에 대한 액세스, 위치 및 기타 여러 가지 잠재적인 이상 징후를 파악합니다.
- 관리되지 않는 장치를 차단하고, 다단계 인증 및 기타 여러 상황별 액세스 정책을 적용 하여 도난당한 클라우드 애플리케이션 자격 증명이 성공적으로 재사용되는 것을 방지할 수 있습니다.
11년 이상의 광범위한 사이버 보안 업계 경력을 보유한 Rodman Ramezanian은 엔터프라이즈 클라우드 보안 고문으로 Skyhigh Security 에서 기술 자문, 지원, 솔루션 설계 및 아키텍처를 담당하고 있습니다. 이 역할에서 Rodman은 주로 호주 연방 정부, 국방 및 기업 조직에 중점을 두고 있습니다.
로드먼은 적대적 위협 인텔리전스, 사이버 범죄, 데이터 보호 및 클라우드 보안 분야를 전문으로 합니다. 그는 호주 신호 감독국(ASD)에서 승인한 IRAP 평가자이며 현재 CISSP, CCSP, CISA, CDPSE, Microsoft Azure 및 MITRE ATT&CK CTI 자격증을 보유하고 있습니다.
로드먼은 복잡한 문제를 간단한 용어로 표현하여 일반인 및 신규 보안 전문가가 사이버 보안의 대상, 이유, 방법을 이해할 수 있도록 돕는 데 강한 열정을 가지고 있습니다.
공격 하이라이트
- 2024년 9월 12일, 다크웹 마켓플레이스인 BreachForums에 포티넷의 Microsoft Azure SharePoint 서버를 침해하여 최대 440GB의 데이터를 확보했다고 주장하는 위협 행위자가 등장했습니다.
- 위협 행위자는 도난당한 데이터가 포함된 것으로 추정되는 S3 버킷의 자격 증명을 공유하면서 포티넷이 데이터 유출을 막기 위해 몸값 지불을 거부했다고 말했습니다.
- 포티넷은 나중에 "한 개인이 포티넷의 타사 클라우드 기반 공유 파일 드라이브 인스턴스에 저장된 제한된 수의 파일에 무단으로 액세스했으며, 여기에는 소수의 포티넷 고객과 관련된 제한된 데이터가 포함되었습니다."라고 확인했습니다.
- 포티넷에 따르면 문제의 클라우드 스토리지 저장소는 소량의 데이터를 보관하고 있었으며, 포티넷 고객의 0.3% 미만에 영향을 미쳤습니다. 조사 결과, 포티넷은 이 사고로 인해 고객에게 영향을 미친 악의적인 활동이나 운영, 제품 또는 서비스 중단에 대한 어떠한 증거도 발견하지 못했습니다.
- 인증정보와 영향을 받은 계정이 정확히 어떻게 유출되었는지에 대한 자세한 내용은 현재 포티넷에서 아직 알려지거나 보고되지 않았습니다.