공격자보다 먼저 치명적인 클라우드 보안 문제를 발견하는 가상 레드팀
Joakim Nydrén
Product Manager, Security Command Center
Nav Jagpal
Principal Engineer, Google Cloud Security
* 해당 블로그의 원문은 2024년 10월 1일 Google Cloud 블로그(영문)에 게재되었습니다.
클라우드 보안 팀은 클라우드 환경에서 실행되는 애플리케이션을 개발 초기 단계부터 운영 단계까지 종합적으로 보호하는 CNAPP(Cloud-Native Application Protection Platform)로 잘못된 구성과 취약점을 찾아냅니다. CNAP 솔루션은 클라우드 시스템에 숨어있는 보안 문제를 찾아내는 도구입니다. 하지만 이 도구도 답을 제시하지 못하는 질문이 있습니다. 바로 "어디가 가장 위험한가?"와 “어떤 문제를 우선 해결해야 하는가?”라는 질문입니다.
Security Command Center는 가상 레드팀 기능으로 두 가지 질문에 답을 제공할 수 있습니다. 가상 레드팀은 정교하고 끈질긴 공격자를 시뮬레이션하며, 조직의 실제 클라우드 환경을 완벽하게 복제한 가상 환경인 디지털 트윈 모델로 만들어 수백만 가지의 공격 조합을 실행할 수 있습니다. 그리고 이 과정에서 외부 공격자가 노릴 수 있는 클라우드 방어의 약점을 찾을 수 있습니다.
특히, 가상 레드팀은 각 고객의 클라우드 환경에 특화된 ‘독성 조합(toxic combinations)’을 찾아낼 수 있습니다. 여기서 말하는 독성 조합이란 여러 개의 보안 취약점들이 결합되어 더 큰 위험을 초래하는 상황을 뜻합니다. 클라우드 환경에서 독성 조합은 공격자가 시스템에 쉽게 침투하여 민감한 고객 정보를 담고 있는 데이터베이스나 중요한 비즈니스 애플리케이션을 실행하는 가상 머신(VM) 등의 중요한 자산에 접근할 수 있는 길을 만들어 줍니다.
가상 레드팀 기능을 활용하는 시뮬레이션 기반 접근 방식은 대부분의 CNAPP가 사용하는 정적 규칙 기반 접근과는 차별화됩니다. 가상 레드팀 기능으로 Security Command Center 고객은 이전에 발견되지 않았던 독성 조합을 통한 공격 경로를 파악하고, 예기치 못한 클라우드 위험에 더 효과적으로 대응할 수 있습니다.
독성 조합에 주의를 기울여야 하는 이유
클라우드 환경에는 수천 개의 리소스가 있으며, 그 중 일부는 보안 또는 규제 준수 문제를 안고 있을 수 있습니다. 예를 들어 잘못된 구성, 악용 가능한 소프트웨어 취약점, 기업 정책 위반 등이 있습니다. 하지만 이러한 문제들이 모두 같은 수준의 위험을 초래하는 것은 아닙니다.
예를 들어 개발 환경에서 격리된 VM과, 공개 IP 주소로 설정되어 고객 데이터가 들어있는 스토리지 버킷에 접근할 수 있는 알려진 취약점을 가진 VM은 다릅니다. 전자의 문제는 시급하지 않지만, 후자의 문제는 즉시 해결해야 합니다. Security Command Center는 이러한 클라우드 위험을 신속하게 파악하는 데 도움을 줄 수 있습니다. Security Command Center는 클라우드 환경 곳곳을 살펴보고, 어떤 문제가 가장 심각하고 먼저 해결해야 하는지 알려줍니다.
Security Command Center에서 독성 조합을 찾는 예
클라우드 보안 초창기에 독성 조합을 찾던 방식은?
독성 조합을 찾는 것은 많은 CNAPP 솔루션의 핵심 과제입니다. 일반적으로 사용되는 방법은 명확한 위험 요소를 찾아내기 위해 규칙을 작성하고 이를 실행하는 것입니다. 이 방식은 바로 효과를 볼 수 있지만, 한계도 바로 드러납니다.
-
첫째, 고위험 공격 경로나 독성 조합을 어떻게 정의할 수 있을까요? 대부분의 벤더는 클라우드 보안 문제를 찾기 위해 미리 정의된 일련의 조건들을 기반으로 시스템을 평가하고 위험을 판단하는 정적인 규칙을 작성합니다. 이는 복잡한 클라우드 환경에서 위험을 찾기 위해 수많은 규칙을 사람의 손으로 작성해야 하고, 새로운 위험에 맞춰 계속해서 새로운 규칙을 만들어야 한다는 것을 의미합니다.
-
규칙 기반 접근 방식에는 본질적인 한계가 있습니다. 이미 알려진 독성 조합이나 공격 경로만 찾아낼 수 있기 때문입니다. 클라우드 환경에서 발생할 수 있는 모든 위험을 모두 알 수 있을까요? 설령 알 수 있다고 해도, 그 모든 것에 대해 규칙을 작성할 수 있을까요?
-
클라우드 환경은 매우 유동적이기 때문에, 새로운 위험을 발견하기 위해 규칙을 자주 실행해야 합니다. 규칙을 지속적으로 실행하지 않으면 결과는 시대에 뒤처질 수 있습니다.
구글 클라우드에서는 다른 접근 방식을 사용합니다.
가상 레드팀 기능 살펴보기
Security Command Center는 가상 레드팀 기능을 활용해 독성 조합을 찾아냅니다. 이는 동기 부여가 강하고 정교한 공격자가 클라우드 방어를 뚫고 가치가 높은 자산을 침해하려는 시도를 시뮬레이션하는 방식입니다.
가상 레드팀 기능은 시뮬레이션 엔진을 사용해 클라우드 환경의 디지털 트윈 모델에서 수백만 가지의 공격 시나리오를 실행합니다. 이 엔진은 공격자가 민감한 클라우드 리소스에 도달할 수 있는 모든 경로를 탐색하며, 경로를 발견하면 외부 공격자가 어디를 노릴 수 있는지와 어떤 클라우드 리소스가 노출될 수 있는지를 식별합니다. 가상 레드팀 기술은 보안 팀이 위협에 우선적으로 대응할 수 있도록 도와주어, 공격자가 악용하기 전에 클라우드 위험을 제거할 수 있도록 합니다.
한편, 가상 레드팀 기능은 기존에 규칙이 없거나 보안 벤더의 규칙 개발 팀이 예상하지 못한 위험도 찾아낼 수 있습니다. Security Command Center를 사용하면 정적 규칙에 대한 의존을 줄일 수 있습니다. Security Command Center는 각 클라우드 환경에 특화된 위험을 찾아내는 데 도움을 주고, 중요한 노출 지점을 놓칠 가능성을 줄입니다.
다음은 가상 레드팀을 통해 클라우드 환경에서 발견한 실제 위험 사례입니다.
-
소매업 고객 사례: Security Command Center는 공격자가 공개적으로 접근 가능한 VM을 식별하고 연결할 수 있으며, 널리 알려진 취약점을 악용해 권한을 획득할 수 있다는 점을 발견했습니다. 이 권한을 이용해 일시 중단된 다른 VM의 운영을 재개하고, 이후 중요한 비즈니스 애플리케이션이 실행 중인 두 번째 VM에 로그인할 수 있었습니다.
-
금융 서비스 고객 사례: Security Command Center는 공격자가 클라우드 환경의 컴퓨팅 인스턴스에 초기 침투에 성공한 후 후속 활동을 위한 발판을 마련한 다음 과도한 권한을 가진 서비스 계정을 활용해 두 번째 컴퓨팅 인스턴스로 이동할 수 있다는 사실을 발견했습니다. 이 두 번째 인스턴스에서는 인스턴스 서비스 계정에 할당된 관리자 권한을 사용할 수 있었습니다. 공격자는 이를 통해 민감한 BigQuery 데이터 셋에 대한 읽기, 쓰기 및 삭제 권한을 부여하는 IAM 정책을 설정할 수 있었습니다.
-
의료 산업 고객 사례: Security Command Center는 공격자가 사용자를 대상으로 피싱 공격을 시도해 연관된 클라우드 서비스 계정에 접근할 수 있다는 점을 발견했습니다. 이후 이 서비스 계정의 권한을 이용해 다른 서비스 계정의 새로운 키를 생성하고, 여러 중요 리소스에 접근할 수 있도록 했습니다.
이러한 복잡한 시나리오들은 기존의 규칙 기반 접근 방식으로는 쉽게 발견되지 않는 클라우드 위험을 보여줍니다. Security Command Center는 멀티 클라우드 환경에서 가장 큰 위험을 효과적으로 찾아내는 방법을 제시합니다. 이를 통해 보안 관리자에게 새로운 통찰력을 제공하며, 중요한 애플리케이션과 데이터를 안전하게 보호할 수 있는 클라우드 위험 전문가로 성장할 수 있도록 지원합니다.
구글 클라우드의 접근법이 효과적인 이유
공격자들이 사용하는 전술, 기법, 절차(TTP)는 끊임없이 변화하기 때문에, 클라우드 방어도 유연하게 대응해야 합니다. 구글 클라우드의 가상 레드팀 기술은 실제 공격자의 끈기와 창의성을 시뮬레이션하면서도, 운영 중인 클라우드 환경의 성능이나 무결성에 영향을 주지 않습니다. 가상 레드팀 작업 과정에서 우리는 다음과 같은 단계를 수행합니다.
-
디지털 트윈 모델 구축: 실제 클라우드 환경을 직접 분석하는 대신, 고객의 고유한 클라우드 환경을 반영한 디지털 트윈 모델을 만듭니다. 이 모델은 고객의 데이터나 애플리케이션을 포함하지 않지만, 클라우드 리소스 구성, IAM 권한, 소프트웨어 취약점 정보, 민감한 데이터 위치 등의 설정 정보를 가지고 있습니다.
-
대규모 시뮬레이션 활용: 디지털 트윈 모델을 사용해 공격자가 중요 자원에 접근하고 이를 침해할 수 있는 수백만 가지의 잠재적 공격 경로를 시뮬레이션할 수 있습니다.
-
확률적 추론 사용: 가상 레드팀은 피싱 공격이나 자격 증명 탈취와 같은 일반적인 공격자의 전술을 고려하여 시뮬레이션을 진행합니다. 이를 통해 다양한 공격 시나리오를 실험하고, 클라우드 리소스를 노출시킬 수 있는 독성 조합을 찾아냅니다.
-
최신 위협 인텔리전스 활용: 시뮬레이션에는 사이버 사건을 조사하는 맨디언트(Mandiant) 전문가들의 최신 위협 인텔리전스도 반영됩니다. 구글 클라우드는 현재 악용되고 있는 소프트웨어 취약점에 대한 정보를 바탕으로 클라우드 환경에서 가장 큰 위험을 식별합니다.
Security Command Center의 가상 레드팀 기능에 대해 더 자세히 알고 싶다면 구글 클라우의 Security Talks 프레젠테이션이나 기술 웨비나를 확인해 보세요.
구글을 보안팀의 일원으로 활용하세요!
Security Command Center의 기능을 평가하거나 구독 옵션에 대해 알아보려면, Google Cloud 영업 담당자나 공인 Google Cloud 파트너에게 문의하세요. 또한, Security Command Center 사용자 커뮤니티에 가입하면 제품 소식과 기술 조언을 받아볼 수 있습니다.
