Security Command Center Premium에 ID를 보호하는 새로운 방식 도입

*본 아티클의 원문은 2023년 6월 2일 Google Cloud 블로그(영문)에 게재되었습니다.

데이터 센터에서 수십 년간 ID를 관리하고 보호한 보안 및 IT 운영팀은 퍼블릭 클라우드 환경에서 ID가 침해되는 새로운 문제에 직면했습니다. 키 유출, 복잡한 인증 시스템에서의 권한 에스컬레이션, 내부자 위협으로부터 클라우드 서비스 계정을 보호하는 것은 위협 환경을 고려할 때 반드시 필요한 작업입니다.

Security Command Center Premium은 Google Cloud를 위한 기본 보안 및 위험 관리 솔루션으로, 침해된 ID를 감지하고 외부 공격자 및 악의적인 내부자로부터 발생하는 위험에서 보호할 수 있는 새 기능이 도입되었습니다.

ID 보안이 복잡한 이유

Google Cloud에는 ID 관리에 사용되는 세 가지 주요 구성원이 있습니다.

• Google 계정: Google Cloud의 최종 사용자(사람)
• 서비스 계정: 리소스에 액세스하기 위해 애플리케이션과 워크로드에서 사용하는 계정
• Groups: Google 계정 또는 서비스 계정의 모음  

일단 주요 구성원들이 정의되면 IT팀은 주 구성원이 Google Cloud 리소스에 액세스할 수 있도록 올바른 권한을 할당해야 합니다. 권한은 역할을 기반으로 할당되며, 역할은 어떤 리소스에 액세스 가능한지를 제어합니다. 일부 클라우드 환경에서는 하나의 구성원이 다른 구성원의 권한을 가지고 정당한 조치를 취할 수 있습니다. 이를 서비스 계정 가장 기능이라고 합니다.

Groups를 사용하면 ID를 보다 복합적으로 관리할 수 있습니다. 예를 들어 Groups를 조직의 내외부 사용자로 구성할 수 있습니다. 또한 Groups는 조직 외부의 Groups를 비롯한 다른 Groups를 포함할 수 있습니다.

이 프레임워크는 조직이 Cloud ID와 리소스를 관리하는 데 유연성과 효율성을 제공하지만 특히 규모가 커질수록 관리가 복잡해질 가능성이 있어 위험 유발 요인이 될 수 있습니다.

클라우드에서 ID 위협 감지의 중요성

Identity Access Management(IAM) 정책은 주 구성원들이 Google Cloud 프로젝트, 폴더, 조직의 데이터에 액세스하고 새로운 Compute 인스턴스를 만들며 보안 설정을 수정하는 방식을 제어합니다. Security Command Center Premium은 계정 탈취의 가능성을 암시하는 구성원에 의한 위험한 IAM 정책 변경과 동작을 감지할 수 있습니다. 감지 활동은 초기 사용자 인증 정보 액세스 및 탐색부터 포괄적인 권한 에스컬레이션, 최종적으로 공격자가 지속적으로 존재하는 경우에 이르기까지 일어납니다.

Security Command Center Premium은 Google Cloud 인프라에 맞게 설계되고 Google Groups와 같은 핵심 플랫폼 서비스에 퍼스트 파티 액세스 권한을 보유하고 있기 때문에 이러한 차별화된 감지 기능을 제공할 수 있습니다. 또한 면밀하게 검토된 보안 및 개인 정보 보호 설정 내에서 작동하여 Google Cloud 고객 데이터를 비공개로 유지합니다.

Security Command Center Premium의 새로운 ID 위협 감지기

Security Command Center Premium에는 다음에 대한 새로운 감지 기능이 포함됩니다.

• 과도한 엑세스 시도 실패: 이 감지기는 주 구성원의 리소스 액세스 시도가 정책에 따라 거부된 경우 생성되는 로그를 분석합니다. 거부 시도 횟수가 정상적이라 해도 Security Command Center에서는 비정상적으로 수치가 높은 사례를 찾습니다. 이러한 이상치는 권한을 나열하거나 권한이 있는 환경을 탐색하려는 악의적 시도를 나타낼 가능성이 있습니다.
• 비정상적인 서비스 계정 가장 기능: 서비스 계정 가장 기능을 사용하면 하나의 주 구성원이 다른 주 구성원의 권한을 가지고 조치를 취할 수 있습니다. 일부 조직에서는 이러한 기능이 권한을 관리하는 정상적인 접근 방식이지만 새로운 Security Command Center 감지기는 비정상적으로 긴 가장 기능 체인을 식별하도록 설계되었습니다. 이러한 체인이 권한 에스컬레이션과 관련된 악의적 행위를 나타내는 징후인 경우가 많기 때문입니다.
• 휴면 서비스 계정 활동기록: 급증하는 서비스 계정을 관리하는 것은 어느 클라우드 환경에서든지 어려운 일이지만 Google Cloud는 정책 인텔리전스 서비스를 통해 도움을 드립니다. Security Command Center는 더 이상 정기적으로 사용되지 않는 서비스 계정에 대한 사전 예방적 권고 외에도, 특정 기간 동안 휴면 상태인 서비스 계정에서 실행한 활동에 대해 사용자에게 알림을 보냅니다.

이러한 새로운 감지기는 일반적인 ID 위협에 대한 Security Command Center의 기존 방어 기능을 보강합니다.

• UEBA(User and Entity Behavior Analytics) 새로운 지역, 사용자 에이전트, 클라이언트 라이브러리: Security Command Center는 주 구성원이 새로운 지리적 위치에서 또는 새로운 클라이언트 라이브러리를 사용하여 Google Cloud 구성을 변경하면 이를 확인할 수 있습니다. 이러한 감지가 계정 침해의 결정적인 증거는 아니지만 보안 분석가가 같은 주 구성원에게 적용되는 감지 결과의 맥락에서 다른 계정의 상태를 이해하는 데 도움이 되는 신호입니다.  
• UEBA 새로운 API 메서드: 이 Security Command Center 기능은 정해진 동작 패턴에서 벗어나 초과 권한을 보유한 계정을 감지하기 위해 설계되었습니다. 이 기능은 서비스 계정이 생성 후 처음 7일간 사용하지 않았던 API 또는 API의 메서드를 사용할 때 실행됩니다. 
• 탐색: 서비스 계정 자체 조사: 일반적으로 사용자(사람)는 프로젝트를 시작하기 전에 필요한 권한을 보유하고 있는지 확인하기 위해 자체 IAM 정책을 찾아봅니다. 서비스 계정이 자체 IAM 정책을 결정하는 것은 일반적이지 않습니다. 서비스 계정이 자체 IAM 정책을 결정하는 행위는 악의적인 사용자가 서비스 계정 키를 침해한 후 권한을 확인하기 위해 탐색 전략을 취하는 징후인 경우가 많습니다.
• 지속성: Grants 및 Groups: 악의적 사용자는 클라우드 환경에 지속적으로 침입하기 위해 Groups에 백업 또는 숨겨진 관리 계정의 설정을 시도할 수 있습니다. Security Command Center는 자동으로 그룹 멤버십을 조사하고 그룹 내부에 민감한 권한을 얻은 외부 멤버가 있으면 알림을 보냅니다.
• 방어 회피: 익명처리 프록시에서 액세스: Security Command Center는 주 구성원이 익명처리 프록시에서 클라우드 환경을 변경할 때 이를 감지합니다. 익명처리 프록시(예: Tor 종료 노드)에서 웹을 탐색하는 것이 이례적인 것은 아니지만 클라우드 환경을 관리할 때 이러한 프록시를 사용하는 것에는 정당한 목적이 거의 없습니다. Security Command Center는 Google Cloud Threat Intelligence팀에서 정기적으로 업데이트하는 익명처리 프록시 목록을 사용합니다.