클라우드 서비스, 적군인가 아군인가? 보안

이메일만 활용한 인증절차 노리면 클라우드가 슈퍼컴퓨터로

소셜 네트워크 계정 활용한 인증 방식으로 일시적 대처 가능


[보안뉴스 문가용] 해커들에게도 나름 고충이 있는 모양이다. 돈 들여 봇넷을 장만하면 얼마 지나지 않아 새로운 백신 프로그램이 등장하고 봇이 멈춰버리는 것도 그 중 하나다. 그런 해커들을 위해 클라우드봇이란 개념이 새롭게 탄생했다. 글로벌 보안 컨설팅 업체인 비숍폭스(Bishop Fox)의 롭 레이건(Rob Ragan) 씨와 오스카 살라자(Oscar Salazar) 씨는 8월초 무료로 사용할 수 있으며 어지간한 방어책에도 잘 버티면서 클라우드의 편리함을 제공함과 동시에 멀웨어를 따로 마련하지 않아도 되게끔 해주는 클라우드봇에 대해 발표했다.

▲ 클라우드, 해커들의 낙원이 될 것인가.

이는 클라우드 서비스 제공업체들이 보안 기능을 제대로 도입하지 않기 때문에 발생하는 현상이다. 대부분의 클라우드 서비스들은 이메일 주소 하나만으로 등록이 가능하다. 이는 보안에 대한 개념이 전혀 없다고 봐도 무방한 정책이다. 대소문자 구분도 되지 않고 문자 인증도 되지 않는 등록 및 로그인 과정은 여러 가지 사이버 공격을 실행하는 해커들에게 있어 없는 것이나 마찬가지다.

특히 무료로 제공되는 클라우드 서비스나 무료로 일정 기간 사용해보도록 해주는 클라우드가 문제라고 둘은 지적했다. “예전에 봇넷으로 멀웨어를 퍼트려 좀비 컴퓨터를 만든 것처럼 클라우드 계정을 만들어 조정함으로써 똑같은 기능을 수행할 수 있었습니다. 그냥 계정만 여러 개 만들면 되는 일이었습니다.”


1. 어떻게 공격하나?

일단 메일을 POST 요청으로 변환해 사용자의 웹 서버에 포스팅하는 구글 앱 엔진(Google App Engine)의 인바운드 메일 핸들러를 사용해서 마치 보통의 웹 사이트에서부터 온 POST 요청인 것처럼 메일을 받은 후 이메일의 내용을 긁어왔다.


“그런 다음 이메일 내용 중에 URL 주소가 있는지 검토했습니다. 특히 클라우드 서비스의 활성화나 인증 주소가 있는지를 본 것이죠. 그러고 나서는 저희도 클라우드 서비스에 가입해 활성화 링크를 요청했습니다. 직접 클릭하지 않고도 자동으로 요청이 처리할 수 있도록 손을 썼습니다.”


그런 다음 둘은 FreeDNS.afraid.org로 가서 서브 도메인을 여러 개 무료로 만들었다. 그리고 MX 기록들을 등록해서 서버를 메일로 우회시켰다. 그 다음 또 다른 클라우드 서비스를 활용해 이메일을 객체로 변환시키고 서버에 다시 붙여 넣었다. “그런 시스템을 완성시키니 계정을 만들어 등록하는 전 과정이 자동화되었습니다.”


이 자동화 과정을 통해 150개의 클라우드 서비스에서 1000개의 계정을 만들고 테라바이트가 넘는 무료 저장 공간을 확보했다. 발표를 위한 검증 차원에서 한 것으로 실제 마음만 먹으면 이보다 훨씬 많은 계정을 만들어 더 많은 공간을 확보하는 게 가능하다. “즉 클라우드 봇넷의 크기는 무한하다고 볼 수 있습니다. 그리고 충분히 확보하면 슈퍼컴퓨터를 무료로 갖게 되는 것이나 다름 없게 됩니다.”


2. 이런 공격의 이점은?

이런 식으로 만든 봇넷은 무엇보다 경제적이다. “이 일을 수행하기 위해 필요한 일은 인터넷과 연결된 랩탑 한 대 뿐이었습니다. 나머지는 무료였죠.” 게다가 이 무료 봇넷이 성능도 뛰어나다. 연결성도 뛰어나고 사실 항상 켜져 있는 상태다. “클라우드 서비스는 대부분 레이턴시가 낮고 고대역폭을 가지고 있으며 연결성도 좋거든요.”


클라우드 서비스라는 사업의 특성 상 언제나 켜져 있고 온라인 상태에 있어야 한다는 점은 깊은 밤에는 꺼져있기 마련인 봇넷에 비교해 어마어마한 이점이다. 게다가 업체용 인터넷 회선을 사용하기 때문에 가정용 회선에 비해 속도도 좋다. “또한 클라우드 서비스 대부분 사용자가 원하는 때에 따라 끄고 켤 수 있게 해줍니다. 슬리퍼 봇이나 다름없는 것이죠. 필요 없을 땐 작동하지 않기 때문에 감지도 어렵습니다.”


두 연구원은 여기에 만족하지 않고 감지 방지책을 하나 더 마련했다. 한 개의 클라우드 서비스에서 계정을 만들고 그 계정을 활용해서 다른 클라우드 서비스에 공격을 감행한 것이다. 이로써 Tor 노드나 VPN 엔드포인트마저 필요 없게 되었다.


“저희는 C&C의 중심부도 갖추고 있지 않은 상태였습니다. 시스템 관리자가 데이터센터나 내부 서비스를 용이하게 관리하도록 해주는 패브릭(Fabric)이란 프레임워크를 사용했습니다. 필요한 건 리눅스 기계 같은 것에 대한 SSH 접근권한이었고, 이는 무료 클라우드 서비스 업체를 통해 받을 수 있었죠.”


“그 시점부터는 저희가 가지고 있던 개인키를 사용해 모든 것을 조정할 수 있었습니다. 스크립트와 커맨드를 아무 클라우드 서비스로부터 전송할 수 있게 되었던 것이죠. 이렇게 되니 자유롭게 움직이며 커맨드를 전송할 수 있었습니다. 매번 커맨드의 출처가 달라졌죠.”


더 무서운 건 약관에 대한 해석차이가 발생할 수는 있으나 이들의 이런 공격 방식을 완전히 불법이라고 규정할 수도 없다는 것이다. 멀웨어의 개입이 전혀 없기 때문이다. 멀웨어가 없기 때문에 백신 프로그램이 아무리 업데이트 되어도 감지할 수가 없다. 물론 무료 사용 기간이 지나면 봇넷이 죽는 것이나 다름없게 되지만 이는 공격자 입장에서는 예상 가능한 범위의 일일 뿐이다. 그리고 위에 설명했듯 봇넷 생성은 아주 간단하다.


3. 클라우드 서비스의 재앙?

살자라 씨와 레이건 씨는 “우리들만 이런 생각을 한 건 아닐 것”이라고 강조했다. 이런 식으로 클라우드를 악용하는 사례가 분명 있을 것이라는 의미다. “사실 여러 클라우드 서비스에 등록했을 때 ‘의심스러운 행동에 의한 일시 정지’ 메시지를 여럿 보았습니다. 분명 누군가 저희처럼 머리를 썼다는 증거죠.”


이들이 실험에 활용한 클라우드 서비스 중 2/3가 넘는 수가 이메일 인증만을 확인 수단으로 차용하고 있었다. “정말 낡아빠진 방법입니다. 메일 계정이 한 사람당 하나씩만 있는 시대가 지나간 지 얼마나 오래됐는지 생각해보세요.” 그런데 이게 간단한 문제가 아니다. 사용자들은 아직 복잡한 인증절차를 귀찮아하기 때문이다. 또한 인증절차를 복잡하게 만든다는 건 돈이 든다는 의미가 된다.


이럴 때 활용할 수 있는 방법은 ‘떠넘기기’다. 예를 들어 페이스북과 같은 소셜 네트워크의 계정으로 등록하고 로그인하게 하는 것이다. 이로써 로그인 및 계정 관리 문제는 전부 페이스북으로 넘어간다. 이는 효과적인 방법이긴 하나 영구한 방법은 아니다. 예를 들어 페이스북이 없어지기라도 하면 그 다음은 어떻게 할 것인가?


“또한 앞으로 이 방법을 활용하는 해커들이 늘어날 확률이 높습니다. 저희끼리는 그렇게 될 것이라고 확신하고 있고요. 해커들에게 너무 유리해요. 사용하지 않을 이유가 없습니다. 튼튼하지, 무료지, 멀웨어를 제작할 필요도 없지... 클라우드 서비스 업체들은 새로운 인증절차나 보안 시스템을 얼른 갖추어야 할 것입니다.”

원문 : http://www.boannews.com/media/view.asp?idx=42460