클라우드 호퍼: 제로 트러스트 관점

Vice President, Industry Strategy

2월 10, 2020

23 분 읽기

중국 정부의 지원을 받는 중국 요원(별칭: "APT10)이 조직적으로 수행한 것으로 의심되는 해킹 캠페인인 클라우드 호퍼는 2014년부터 최소 2017년까지 진행되었으며 다양한 산업 분야의 여러 서구 기업에 영향을 미쳤습니다. 이 특정 사이버 스파이 활동은 작전의 규모, 대상 조직의 범위, 수집된 정보의 유형, 그리고 가장 중요한 초기 침해의 특성으로 인해 보안 및 비즈니스 미디어에서 계속 주목을 받을 정도로 매우 중요한 사건이었습니다. 클라우드 호퍼는 공격자가 피해 기업의 관리 서비스 제공업체 (MSP)를 침해하고 이를 활용하여 MSP의 "클라우드" 에서 "홉" 으로 공격 대상 기업의 네트워크에 접속함으로써 현재 잘 알려진 이름을 얻게 되었습니다.

유출에 대한 심층 분석을 제공하는 PWC의 오퍼레이션 클라우드 호퍼 보고서와 같이 유출에 대한 훌륭한 요약과 상세한 글이 많이 있습니다. 여기서 동일한 정보를 반복하는 대신 제로 트러스트 프레임워크의 관점에서 Cloud Hopper를 살펴보고, 특히 이러한 유형의 보안 접근 방식을 채택함으로써 공격자의 효과를 어떻게 줄일 수 있는지 살펴볼 것입니다.

포레스터 리서치는 거의 10년 전에 제로 트러스트를 처음 도입하면서 '신뢰하되 검증하는' 보안 태도에서 '아무것도 신뢰하지 않고 모든 것을 모니터링하며 최소한의 권한만 부여하는' 접근 방식으로의 전환을 주장했습니다. 많은 자산을 보호하기 위해 대규모 경계에 의존하던 방식에서 모든 자산을 공격 대상으로 간주하는 방식으로의 전환은 기업을 공격에 더 취약하게 만드는 내재적 신뢰를 없애는 것을 목표로 합니다.

제로 트러스트 프레임워크는 7개의 기둥으로 구성되어 있으며, 이를 결합하면 기업 보안을 위한 포괄적인 전략을 제공합니다. 또한 공격이 성공한 이유를 분석하고 어떤 기둥이 더 강했다면 공격을 저지하는 데 도움이 될 수 있었는지 이해하는 데 유용한 출발점을 제공합니다. 곧 알게 되겠지만, 클라우드 호퍼는 과도한 수준의 신뢰로 인해 공격자들이 제어 결함의 완벽한 폭풍을 악용할 수 있었기 때문에 큰 성공을 거두었습니다.

많은 데이터 유출 사고의 시작점은 많은 데이터 유출 사고와 마찬가지로 '사람' 기둥이 손상된 것이었습니다. 고도로 표적화된 스피어 피싱 공격은 표적이 되는 기업의 업종에 맞춘 문서를 활용했습니다. 그리고 메시지를 받는 개인의 직무에 따라 달라집니다. 이를 통해 공격자는 악성 페이로드가 실행되도록 하여 MSP의 네트워크에 대한 발판을 마련하고 피해자의 자격 증명을 획득할 수 있었습니다. 또한 피해자에게 관리 액세스 권한이 있는 경우 "진입 장벽(" )을 더욱 낮췄습니다. 제로 트러스트 관점에서 권한 있는 액세스는 승인된 시스템에서 승인된 비즈니스 요구에 따라 적시에 "" (필요한 기간 동안만 제공되고 액세스가 더 이상 필요하지 않으면 제거됨)로 제공되어야 합니다.

다음으로 무너질 기둥은 네트워크였습니다. 이 멀웨어는 조직의 네트워크를 정찰하고, 주요 자산을 파악하고, 지속적인 거점을 구축하고, 의도한 목표에 가장 효율적으로 도달할 수 있는 방법을 결정했습니다. 클라우드 호퍼의 경우, 이는 MSP 네트워크의 초기 감염된 호스트('비치헤드'라고도 함)에서 클라이언트 환경의 최종 표적에 이르는 경로를 짜는 것을 의미했습니다. 또 다른 핵심 네트워크 요소는 악성코드가 인터넷의 명령 및 제어(CNC 또는 C2) 환경을 통해 정보를 전송하고 명령을 수신하는 기능입니다. 네트워크 통과를 통한 정찰과 콜-홈 기능의 두 단계는 제로 트러스트 프레임워크의 네트워크 보안 원칙에서 다루는 장애 유형을 강조하기 때문에 별도로 살펴볼 것입니다.

콜-홈 부분을 먼저 살펴보면, 이 멀웨어는 CNC 인프라와의 대화 기능에 크게 의존하고 있었으며, 이 액세스가 실패하면 스스로를 완전히 삭제할 정도였습니다. 멀웨어가 가장 많이 유포되는 데스크톱 환경에서는 생산성을 위해 인터넷 접속이 필수적이기 때문에 웹 프록시를 사용하여 인터넷에 접속하는 경우가 많습니다. 조직은 권한이 부여되고 인증된 사용자만 프록시에 액세스할 수 있도록 하고, 사용자가 평소와 같이 업무를 수행할 수 있도록 최소한의 수준에서만 액세스하도록 하는 등 액세스 관리 방식에 주의를 기울여야 합니다. 그러나 이러한 제어가 제대로 구현되어 있어도 공격자는 도메인을 등록하고 웹 필터링 제공업체의 합법적인 카테고리에 도메인을 배치하기만 하면 프록시 수준 제어를 우회할 수 있습니다. 이러한 경우 모든 웹 액세스의 로깅 및 모니터링을 의무화하고 일부 최종 사용자 행동 분석과 연계하여 정상적인 활동에서 벗어난 부분을 식별하고 조사할 수 있도록 해야 합니다.

클라우드 호퍼의 진정한 성공 비결은 공격자가 측면으로 이동할 수 있다는 점입니다.

하지만 클라우드 호퍼의 진정한 성공 비결은 공격자가 각 MSP 네트워크 내에서 별다른 제한 없이 횡방향으로 이동할 수 있다는 점입니다. 이를 통해 익스플로잇할 수 있는 호스트, 프로세스, 포트의 맵을 신속하게 구축하고 다음 공격 단계에서 가장 적합한 것을 결정할 수 있었습니다. 군사용 표현을 빌리자면, 사이버 전문가들은 이를 ' "아일랜드 호핑(" )' 캠페인으로 표현하기도 합니다. 공격자는 권한 있는 사용자 자격 증명을 성공적으로 수집하고 상대적으로 제한이 없는 네트워크 액세스를 통해 일반적인 관리 프로토콜을 사용하여 합법적으로 보이는 방식으로 시스템에 액세스할 수 있었기 때문에 레이더망을 피할 수 있었습니다. 비교적 적은 노력으로 네트워크 정찰을 통해 공격자가 각 클라이언트의 네트워크에 접속할 수 있는 점프 호스트를 쉽게 식별할 수 있었고, 이를 통해 공격자들은 실제 공격 목표에 접근할 수 있었습니다.

이는 디바이스, 네트워크, 워크로드에 대한 제로 트러스트 기둥의 실패를 통합한 것입니다. 세분화가 거의 또는 전혀 없는 네트워크인 플랫 네트워크는 공격자의 놀이터이며, 이번 상황도 예외는 아니었습니다. MSP의 내부 네트워크에 적절한 세분화나 모니터링이 없기 때문에 공격자는 탐지되지 않고 손쉽게 이동할 수 있었습니다. 세분화는 정책에서 명시적으로 허용하는 경우를 제외하고는 공격자가 네트워크를 매핑하거나 열린 경로를 식별하거나 이동할 수 있는 기능을 차단합니다. 모든 네트워크 트래픽에 대한 가시성을 확보했다면 공격자의 움직임에 대한 인사이트를 확보하여 공격자가 목표 데이터를 찾기 전에 공격을 중단시킬 수 있을 만큼 조기에 조사를 시작할 수 있었을 것입니다. 점프 서버(바스티온 호스트라고도 함)와 같은 주요 자산은 MSP와 클라이언트 네트워크에 모두 연결되어 있었지만 네트워크 또는 사용자 액세스 측면에서 적절하게 보호되지 않았습니다. 모든 점프 서버 액세스에 대해 어떤 형태로든 권한 있는 액세스 관리를 의무화하면 공격자가 클라이언트 네트워크에 침투하는 것이 심각하게 제한되었을 것입니다.

클라우드 호퍼 공격은 여러 주요 보안 제어의 실패를 강조하며, 보안에 대한 다른 접근 방식, 즉 조직이 침해 가능성을 100으로 가정하고%, 침해를 신속하게 탐지하고 그 영향을 최소화할 수 있도록 환경을 설계하는 접근 방식이 필요하다는 점을 강조합니다. 지능형 공격자의 운영 방식을 고려할 때 가장 신중한 접근 방식은 처음부터 모든 것을 최소 권한 원칙에 따라 구축하는 제로 트러스트 보안 접근 방식입니다.