클라우드 보안 공격: 유형 및 모범 사례

클라우드 보안은 비즈니스를 클라우드 기반으로 확장하기로 결정한 모든 조직에게 필수 요소입니다. 클라우드 보안은 클라우드와 관련된 모든 데이터, 애플리케이션 및 인프라의 보안을 포함합니다. 조직은 클라우드 보안을 강화하기 위해 현재 진행 중인 클라우드 보안 공격에 대해 완전히 인지하고 있어야 합니다.

최근 통계에 따르면, 지난 12개월 동안 39%의 기업이 클라우드 기반 데이터 침해를 경험했습니다. 또 다른 보고서에 따르면, 2023년 퍼블릭 클라우드를 사용하는 조직의 데이터 침해 평균 비용은 498만 달러였습니다.

이 블로그 글에서는 클라우드 보안 공격이 무엇이며 조직에 어떤 피해를 줄 수 있는지 알아보겠습니다. 또한 가장 중요한 클라우드 보안 공격 10가지를 살펴보겠습니다. 클라우드 환경에서 공격자들이 사용하는 일반적인 공격 경로와 접근 방식을 논의할 것입니다. 더불어 이러한 위협을 피하기 위해 필요한 실천 방법과 SentinelOne이 이를 관리하는 데 어떻게 도움이 되는지 알아보겠습니다.

클라우드 보안 공격이란 무엇인가요?

클라우드 보안 공격은 공격자가 클라우드 컴퓨팅 아키텍처를 통해 민감한 데이터나 리소스에 접근하기 위해 수행하는 활동입니다. 이러한 공격은 클라우드상의 자원과 데이터를 무단으로 조작합니다. 클라우드 보안 공격은 의도적이며 클라우드 인프라에 존재하는 일반적인 취약점이나 잘못된 구성을 악용합니다.

클라우드 보안 공격은 클라우드 환경이 다음과 같은 고유한 특성을 지니기 때문에 기존 위협과 다릅니다:

1. 다중 테넌시 위험: 클라우드는 본질적으로 분리되어 있어 서로 다른 두 테넌트 또는 조직이 서로를 전혀 인식하지 못하지만, 공격 시에는 이러한 분리가 훼손될 수 있습니다.
2. 위협의 확장성: 클라우드는 분산 아키텍처를 따릅니다. 공격자가 이를 공격할 경우, 위협은 다른 리소스로 쉽게 확산되거나 해당 클라우드 서비스 공급자의 여러 고객에게까지 영향을 미칠 수 있습니다.
3. 데이터 이동성 문제: 데이터는 모든 조직의 핵심 요소이며, 서비스와 온프레미스 시스템 간에 지속적으로 이동합니다. 암호화되지 않은 상태라면 공격자의 표적이 될 수 있습니다.
4. API 중심 위협: 다수의 클라우드 공격은 클라우드 서비스 통합에 사용되는 API의 취약점을 악용하는 데 초점을 맞추고 있습니다.

클라우드 공격의 동기

클라우드를 공격하는 공격자들은 몇 가지 공통된 동기를 가지고 있습니다. 조직이 클라우드 인프라를 더 잘 보호하기 위해서는 이러한 동기를 이해하는 것이 중요합니다.

1. 데이터 절도: 클라우드 환경을 공격하는 공격자들의 가장 큰 동기 중 하나는 데이터 절도입니다. 도난당한 데이터는 다크 웹이나 텔레마케팅 회사에 판매될 수 있습니다.
2. 서비스 중단: 일부 공격은 조직이 사용하는 클라우드 서비스를 방해하여 운영을 중단시키기 위해 수행됩니다. 이러한 중단은 서비스 가동 중단과 기업의 재정적 손실을 초래할 수 있습니다.
3. 자원 탈취: 공격자들은 암호화폐 채굴과 같은 이기적인 목적을 위해 클라우드 자원을 탈취하는 경우가 많습니다.
4. 첩보 활동: 국가 지원 공격자나 경쟁사가 정보 수집이나 경쟁 우위 확보를 위해 클라우드 시스템을 표적으로 삼을 수 있습니다.

클라우드 보안 공격의 영향

조직은 클라우드 보안 공격을 겪는 동안 다양한 방식으로 영향을 받을 수 있습니다. 그중 몇 가지를 살펴보겠습니다.

• 재정적 손실

클라우드 보안 공격은 조직에 심각한 재정적 피해를 초래할 수 있습니다. 조직이 부담하게 되는 즉각적인 비용에는 일반적으로 사고 대응, 시스템 복구, 잠재적인 몸값 지불 등이 포함됩니다. 그러나 재정적 영향은 여기서 그치지 않습니다. 운영 중단, 생산성 저하, 지적 재산권 또는 금융 데이터 도난으로 인해 기업은 막대한 손실을 입을 수 있습니다.

• 평판 손상

클라우드 보안 공격의 평판 영향은 심각하게 파괴적일 뿐만 아니라 지속적일 수 있습니다. 침해 소식이 대중에게 알려지면 고객 신뢰도가 하락하여 기존 고객을 잃고 신규 고객 확보에 어려움을 겪을 수 있습니다. 조직의 파트너 및 기타 이해관계자들도 평판 하락 위협에 노출됩니다.

• 규제 준수 문제

클라우드 보안 공격은 조직의 규제 준수 상태에도 피해를 줄 수 있습니다. 의료, 금융, 정부 부문과 같이 민감한 데이터를 다루는 산업에서는 이미 GDPR, HIPAA, PCI DSS와 같은 다양한 데이터 보호법을 제정했습니다. 이러한 규정들은 엄격한 보안 지침을 포함하며 데이터 유출 시 즉시 통보해야 합니다.

2025년에 발생할 10가지 중대한 클라우드 보안 공격

조직의 운영을 방해할 수 있는 가장 중대한 보안 공격은 다음과 같습니다.

#1. 데이터 유출

데이터 유출이란 공격자가 조직의 계정에서 자신의 계정으로 데이터를 무단 전송하는 것을 의미합니다. 이러한 유형의 공격은 증가하고 있으며, 조직의 모든 민감한 데이터를 유출시킬 수 있기 때문에 조직에 매우 큰 위협이 됩니다.

2024년, WazirX는 데이터 유출 공격과 IAM 공격이 결합된 데이터 침해 공격을 당했습니다. 이 공격으로 WazirX 지갑에서 공격자의 시스템으로 암호화폐 자산이 무단 전송되었습니다.

이러한 위협에 대응하기 위해 조직들은 클라우드 환경용 데이터 유출 방지(DLP) 솔루션을 도입하고, 엄격한 접근 통제 및 데이터 접근 로그의 지속적인 모니터링을 통해 의심스러운 행동을 감시하고 있습니다.

#2. 계정 탈취 및 자격 증명 도용

클라우드 서비스가 비즈니스의 핵심 요소로 자리 잡으면서 계정 탈취 및 인증 정보 도용 이 점점 더 흔해지고 있습니다. 공격자들은 피싱이나 자격 증명 스터핑 공격과 같은 더 정교한 형태의 사회공학적 기법을 사용하고 있습니다.

원격으로 업무에 접근하는 작업 환경과 기기는 기업 네트워크보다 보안 수준이 낮으며, 특히 가정 네트워크에서는 더욱 취약합니다. 이로 인해 보안이 약화되어 해당 공격이 빈번해지고 있습니다. 2024년 보고서에 따르면 보안 침해 사고의 36%가 피싱과 관련되었으며, 이는 종종 자격 증명 및 비밀 정보 유출로 이어집니다.

이러한 공격으로부터 안전하기 위해서는 다중 인증 또는 지속적인 인증 모니터링을 구현해야 합니다.

#3. 내부자 위협

내부자 위협은 여전히 클라우드 보안을 위협합니다. 이러한 위협은 일반적으로 직원이 조직에 고의로 피해를 입힐 때 발생하거나, 직원의 부주의로 인해 보안이 침해될 때 발생할 수 있습니다. 조직이 해결해야 할 주요 과제는 직원 개인 정보 보호와 조직 보안을 위해 취해야 할 보안 조치 사이의 적절한 균형을 찾는 것입니다.

2023년 MGM 리조트는 사회공학적 공격 형태의 내부자 위협에 직면하여 36시간의 서비스 중단과 막대한 재정적 손실을 입었습니다.

따라서 2024년 조직들은 접근 제어 메커니즘과 행동 분석을 활용해 의심스러운 행동을 탐지하는 견고한 보안 조치 도입에 더욱 집중하고 있습니다.

#4. 서비스 거부(DoS) 및 분산 서비스 거부(DDoS) 공격

DoS 및 DDos는 클라우드 서비스를 완전히 중단시키는 가장 위험한 클라우드 보안 공격 중 하나입니다. 공격자는 봇넷과 IoT 기기를 활용하여 더 큰 규모의 공격을 수행하며, 이는 클라우드 자원을 압도할 수 있습니다. 클라우드 서비스는 서로 연결되어 있기 때문에, 그 영향은 한 서비스에서 다른 서비스로, 나아가 조직 전체로 전파됩니다.

가장 큰 DDoS 공격 중 하나는 GitHub에서 경험했으며, 트래픽 피크는 1.9Tbps에 달했습니다. 이 공격은 UDP 기반 memcached 서버를 활용한 새로운 공격 벡터를 사용했습니다.

이러한 공격으로부터 안전하기 위해 클라우드 제공업체들은 트래픽 분석 능력을 향상시키고 더 많은 필터링 메커니즘을 구현하고 있습니다.

#5. 중간자 공격(MITM)

MiTM 공격은 공격자들이 SSL 스트리핑과 같은 기술을 사용하여 연결을 HTTPS에서 HTTP로 변경하기 때문에 추적 및 통제가 점점 더 어려워지고 있습니다. 이러한 공격은 잘못 구성된 클라우드 서비스를 악용하고 SSL/TLS 프로토콜의 취약점을 이용합니다.

연구진은 공격자가 전 세계 모든 셀룰러 기기를 식별할 수 있게 하는 5G 네트워크의 잠재적 MITM 취약점을 확인했습니다.

이에 대응하기 위해 조직들은 더 강력한 암호화 표준과 인증서 고정(certificate pinning) 기술을 도입하고 있습니다. 또한 중간자 공격의 주요 표적이 되는 API 통신 보안에 대한 관심도 높아지고 있습니다.

#6. 악성코드 주입

악성코드 주입은 공격자가 클라우드 워크로드에 악성 또는 취약한 코드를 주입하거나 삽입하는 다양한 방법을 찾는 행위를 의미합니다. 이는 데이터 도난과 서비스 중단을 초래하며 공격자에게 향후 공격을 위한 진입점을 제공합니다.

2020년에는 공격자들이 SolarWinds의 Orion 소프트웨어 시스템에 악성 코드를 주입한 SolarWinds 공격이 발생했으며, 이로 인해 약 18,000명의 고객이 피해를 입었습니다.

이러한 공격으로부터 보호하기 위해 조직들은 동료 간 및 상급자 수준의 코드 검토를 시행하고 있습니다. 악성코드 탐지 도구 투자에 착수했으며, 네트워크 분할을 위한 컨테이너화 구현은 일상적인 관행이 되었습니다.

#7. 랜섬웨어 공격

최근 몇 년간 랜섬웨어 공격이 급증했습니다. 이러한 공격은 클라우드에 저장된 데이터를 암호화하거나 사용자의 클라우드 서비스 이용을 차단합니다. 클라우드는 상호 연결되어 있기 때문에 이 공격은 조직 전체의 클라우드 인프라로 빠르게 확산됩니다.

가장 주목할 만한 랜섬웨어 공격 중 하나는 2022년에 발생한 LAUSD 랜섬웨어 공격입니다. 이 공격은 한 학군에서 발생했으며, 약 60만 명의 학생 데이터가 데이터가 유출되어 다크 웹에서 거래되었습니다.

조직들은 공격 발생 시 대비해 백업 및 복구 전략에 주력하고 있습니다. 랜섬웨어 공격을 신속히 식별하기 위해 인공지능 기반 위협 탐지 시스템을 활용하고 있습니다.

#8. API 공격

API는 사용자가 서로 다른 클라우드 서비스 간 통신할 수 있도록 지원함으로써 클라우드 운영의 핵심 요소로 자리 잡았습니다. 동시에 공격자들의 주요 표적이 되기도 합니다. API 취약점은 데이터 노출, 무단 접근, 서비스 중단으로 이어질 수 있습니다.

2024년 발생한 T-Mobile 데이터 유출 사건은 API 관련 보안 사고 중 하나로, 3,700만 고객 계정이 피해를 입었습니다. 이 유출은 적절한 인증 없이 단일 API를 통해 발생했습니다.

조직들은 더 엄격한 인증, 속도 제한, API 트래픽의 이상 징후에 대한 지속적인 모니터링 등 더 많은 API 보안 조치를 구현하여 API 공격을 처리하고 있습니다.

#9. 클라우드 크립토재킹

크립토재킹은 공격자가 조직의 클라우드 컴퓨팅 자원에 접근하여 암호화폐를 채굴하는 행위입니다. 이러한 공격은 클라우드 자원 비용 증가, 비즈니스 관련 운영 성능 저하, 잠재적 보안 침해로 이어집니다.

팀TNT 암호화폐 채굴 캠페인이 2021년에 발생했으며, 클라우드 환경에서 보안이 취약한 도커(Docker) 및 쿠버네티스(Kubernetes) 클러스터를 표적으로 삼았습니다. 이 캠페인은 여러 클라우드 서비스 공급자에 걸쳐 수천 개의 클라우드 인스턴스에 영향을 미쳤습니다.

클라우드 공급자와 조직들은 암호화폐 채굴 활동을 나타내는 비정상적인 리소스 사용 패턴을 감지하기 위해 모니터링 기능을 강화하고 있습니다.

#10. 공급망 공격

공급망 공격는 클라우드 서비스와 공급자를 표적으로 삼습니다. 이러한 공격은 소프트웨어 공급망의 취약점을 악용하여 클라우드 서비스를 손상시키거나 여러 조직에 동시에 접근할 수 있게 합니다.

2024년에는 공격자들이 거의 모든 리눅스 시스템에 존재하는 데이터 압축 유틸리티인 XZ Utils를 악용했습니다. 이 공격으로 인해 공격자는 보안 셸 인증을 우회하고 메인 시스템을 관리하는 관리자와 동일한 접근 권한을 얻게 됩니다.

이러한 위험을 방지하기 위해 조직들은 공급업체 보안 평가, 소프트웨어 구성 분석(SCA), 클라우드 환경에서의 제로 트러스트 아키텍처 구현에 대한 관심을 높이고 있습니다.

클라우드 환경의 공격 경로 및 기법

공격자들은 클라우드 환경을 악용할 수 있는 다양한 방법과 기법을 항상 탐색하고 있습니다. 공격자들이 사용하는 기법 중 일부는 다음과 같습니다:

잘못 구성된 클라우드 서비스 및 보안이 취약한 API

잘못된 구성은 클라우드 보안 공격을 유발하는 가장 큰 원인 중 하나입니다. 조직이 적절한 구성을 수행하지 못하면 공격자가 잘못 구성된 스토리지 버킷, 데이터베이스 또는 보안 그룹을 악용하여 민감한 데이터에 대한 무단 접근 권한을 획득할 수 있습니다.

공격의 또 다른 원인은 보안이 취약한 API로, 기본적으로 API에 적절한 인증이나 암호화가 구현되지 않았을 때 발생합니다. 공격자는 이를 악용하여 일부 데이터를 획득하거나 API가 연결된 서비스에 악성 데이터를 게시할 수 있습니다.

취약한 인증 및 접근 제어

취약한 인증 및 접근 제어는 조직 보안에 큰 구멍을 남깁니다. 이는 클라우드 환경을 취약하게 만듭니다. 많은 데이터 유출 사고는 유출된 인증 정보나 부적절한 접근 관리로 인해 발생합니다.

공격자들은 이러한 인증 정보가 취약하거나 여러 곳에서 재사용되었거나 다중 인증이 적용되지 않았을 때 이를 탈취합니다. 공격자가 자격 증명을 사용하여 내부로 침투한 후에는, 불충분한 접근 통제로 인해 클라우드 환경 내에서 자유롭게 이동할 수 있습니다.

공유 리소스의 취약점

클라우드 컴퓨팅의 공유 특성으로 인해 멀티 테넌시 문제가 발생할 수 있습니다. 다중 테넌트 환경에서는 하이퍼바이저나 컨테이너 엔진의 문제로 인해 공격자가 격리된 환경을 벗어나게 될 수 있습니다.

이로 인해 공격자가 다른 조직의 환경과 리소스에 접근할 수 있게 됩니다. 하드웨어 인프라도 안전하지 않으며, Spectre 및 Meltdown과 같은 CPU 취약점과 같은 사이드 채널 공격이 악용될 수 있습니다.

사회공학 및 자격 증명 재사용 공격

사회공학 기법과 자격 증명 재사용 공격은 클라우드 환경을 침해하는 가장 효과적인 방법 중 일부입니다. 피싱 이메일, 프렉스팅(pretexting) 및 기타 사회공학 기법을 사용하여 직원을 속여 자격 증명을 유출하도록 함으로써 공격자가 시스템에 접근할 수 있습니다.&

크리덴셜 스터핑은 기본적으로 공격자가 훔친 사용자명/비밀번호 조합 목록을 사용하여 여러 서비스에 걸쳐 비밀번호를 재사용하는 일반적인 관행을 악용하는 것을 의미합니다.

SQL 인젝션 및 크로스 사이트 스크립팅(XSS)

잘 알려진 취약점이지만, SQL 인젝션과 크로스 사이트 스크립팅(XSS)는 클라우드 환경의 웹 애플리케이션에서 특히 흔합니다. 전자는 데이터 유출, 사용자 데이터 손실 또는 초기 데이터를 다른 서버가 대체할 경우 매우 낮은 성능과 관련이 있습니다.

웹사이트를 방문하는 모든 사용자는 XSS의 영향을 받을 수 있으며, 이는 세션 탈취 및 악성코드 유포로도 이어질 수 있습니다.

클라우드 보안을 위한 모범 사례

조직은 클라우드 보안 공격으로부터 안전하기 위해 클라우드를 사용할 때 모범 사례를 구현해야 합니다. 따라야 할 모범 사례 중 일부는 다음과 같습니다:

#1. 강력한 인증 구현

클라우드 환경에서의 위협 위험은 높기 때문에 강력한 인증 메커니즘이 필수적입니다. 이는 단순히 사용자 이름과 비밀번호 인증을 생성하는 것을 의미하지 않습니다. 조직은 모든 계정, 특히 다른 계정보다 더 많은 권한을 가진 계정에 대해 다중 요소 인증을 구현해야 합니다.

#2. 저장 중인 데이터와 전송 중인 데이터의 암호화

데이터는 저장 중일 때와 전송 중일 때 모두 암호화되어야 합니다. 저장 중인 데이터의 경우 AES 및 PGP와 같은 여러 암호화 알고리즘을 사용하여 저장된 데이터를 암호화할 수 있습니다. 전송 중인 데이터의 경우 통신 시 TLS/SSL 프로토콜을 사용해야 합니다.

#3. 정기적인 보안 감사 및 평가

클라우드 보안을 강화하기 위해 조직은 정기적인 보안 감사 및 평가를 수행해야 합니다. 모든 영역을 포괄적으로 검토하기 위해 내부 전문가와 제3자 서비스 모두를 활용해야 합니다. 보안 감사에서 다루어야 할 주요 영역으로는 접근 제어, 네트워크 보안 조치, 무단 사용으로부터의 데이터 보호 조치, 다양한 표준 및 규정 준수 등이 있습니다.

#4. 직원 교육 및 인식 제고

조직에 놀랍게도, 인적 오류는 침해 사고의 가장 큰 요인 중 하나일 수 있으며, 적절한 직원 교육을 실시하는 것이 이를 방지하는 데 크게 기여할 것입니다. 교육 및 인식 제고에는 피싱 시도 식별, 민감한 데이터의 적절한 처리, 클라우드 서비스의 안전한 사용, 보안 정책의 중요성 등의 주제가 포함됩니다.

SentinelOne으로 클라우드 보안 공격 완화

SentinelOne은 가시성, 탐지, 자동화된 대응을 한곳에서 제공하는 AI 기반 플랫폼으로 클라우드 환경을 보호합니다. 에이전트 없는 CNAPP 솔루션은 클라우드 워크로드, API, 신원, 인프라를 실시간으로 모니터링하여 피해 발생 전에 위협과 위험을 찾아냅니다.

보안 팀은 단일 대시보드에서 모든 것을 확인하고 관리할 수 있어 취약점을 쉽게 발견하고 신속하게 대응할 수 있습니다.

SentinelOne은 클라우드 리소스 전반의 위협 데이터를 자동으로 연결하고 명확한 다음 단계를 제안하므로 팀이 집중해야 할 부분을 파악할 수 있습니다. 이 플랫폼은 조사 및 대응을 자동화하여 사고를 억제하고 해결하는 데 걸리는 시간을 단축합니다.

팀은 몇 번의 클릭만으로 보안 제어를 시행하고, 잘못된 구성을 수정하며, 영향을 받은 리소스를 격리할 수 있습니다. SentinelOne의 접근 방식은 기업이 위험을 줄이고, 경보 피로를 방지하며, 클라우드 운영을 원활하게 유지하는 데 도움이 됩니다. 사일로화된 도구를 사용하는 대신, 조직은 데이터 침해부터 잘못된 구성에 이르기까지 현대적인 클라우드 위협에 대해 통합된 보호를 받습니다. SentinelOne을 통해 기업은 클라우드 보안 태세를 강화하고, 위협에 더 빠르게 대응하며, 오늘날의 복잡한 클라우드 환경에서 민감한 데이터를 자신 있게 보호할 수 있습니다.

Singularity™ Cloud Security는 클라우드 보안 태세 관리(CSPM), AI 보안 태세 관리(AI-SPM), 클라우드 인프라 권한 관리(CIEM), 외부 공격 표면 관리(EASM), 컨테이너 및 쿠버네티스 보안 태세 관리 기능을 제공합니다. (CSPM), AI 보안 상태 관리(AI-SPM), 클라우드 인프라 권한 관리(CIEM), 외부 공격 표면 및 관리(EASM), 컨테이너 및 쿠버네티스 보안 상태 관리(KSPM) 및 기타 다양한 보안 기능을 제공합니다. 또한 규정 준수를 간소화하고 최신 업계 표준에 부합하도록 쉽게 조정할 수 있습니다.

결론

클라우드 보안 공격은 복잡하며 지속적으로 변화합니다. 클라우드 환경에서 발생하는 데이터 유출, 계정 탈취, 랜섬웨어, 공급망 공격 등으로 구성됩니다. 이러한 공격은 조직에 막대한 벌금, 평판 손상, 규제 기관과의 규정 준수 문제를 초래합니다.

다양한 공격 경로와 기법에는 잘못 구성된 클라우드 서비스, 취약한 인증 제어, 공유 기술 취약점이 포함됩니다. 이러한 위협은 조직이 기존 보안 태세를 넘어 현대적인 보안 메커니즘을 도입하도록 촉진합니다.

센티넬원(SentinelOne) 기술은 조직을 클라우드 보안 공격으로부터 보호하는 데 중요한 역할을 합니다. 클라우드 워크로드 보호, 통합 플랫폼 접근 방식, AI 기술을 제공합니다. SentinelOne은 위험 관리를 통해 공격 표면을 축소함으로써 통합 보안 접근 방식을 구현합니다. 이 플랫폼은 클라우드 보안 공격을 실시간으로 자율적으로 탐지하고 대응할 수 있는 능력을 갖추고 있습니다.

FAQs