클라우드 기술이 널리 채택되면서 데이터 보호 및 보안이 중요한 관심사가 되었습니다. 그러나 클라우드 보안 조치가 계속 발전함에 따라 취약점을 악용하려는 악의적인 행위자의 전술도 발전하고 있습니다. 특히 2024년 6월 아쿠아시큐리티는 사이버보안 분야의 심각한 문제 동향을 드러낸 설득력 있는 보고서를 발표했다. 보고서에 따르면 2024년 클라우드 네이티브 위협 보고서에 비해 메모리 기반 공격이 1,400%나 급증한 것으로 나타났습니다.
한편, Wiz Inc.의 사이버 보안 연구원들은 올해 7월 획기적인 발견을 통해 "PyLoose"라는 Python 기반 파일 시크릿 악성 코드를 공개했습니다. 특히 클라우드 워크로드를 표적으로 삼는 Python 기반 파일 시크릿 공격이 실제 시나리오에서 발견된 것은 이번이 처음입니다. PyLoose는 Linux의 파일 시크릿 기술(memfd)을 활용하여 XMRig 마이너를 메모리에 직접 로드하여 페이로드를 디스크에 쓸 필요를 피하고 운영 체제의 기능을 활용하여 공격을 수행합니다.
이러한 반복되는 사고는 기존 클라우드 보안 조치가 직면한 심각한 과제를 강조합니다. 메모리 기반 공격의 기술적 측면과 이러한 공격이 기존 보안 방어를 회피하는 방법을 자세히 살펴보고 클라우드 인프라를 보호하기 위한 사전 예방적 전략에 대해 논의해 보겠습니다.
클라우드 보안 과제: 메모리 공격 처리 전략
"보이지 않는 공격"이라고도 알려진 메모리 공격은 숙련된 해커의 손에서 선택되는 무기가 되었습니다. 디스크에 저장된 악성 파일을 사용하는 기존 공격과 달리 메모리 공격은 대상 시스템의 휘발성 RAM을 이용합니다. 이러한 공격은 메모리에서 작동하므로 흔적이 거의 남지 않아 탐지 및 차단이 어렵습니다.
일반적으로 메모리 공격은 PowerShell이나 JavaScript와 같은 고급 스크립트 언어를 통해 구현되므로 공격자가 실행 중인 프로세스의 메모리 공간에 직접 악성 코드를 주입할 수 있습니다. 코드가 실행되면 공격은 자동으로 진행되어 데이터 도난 및 조작부터 전체 시스템 제어에 이르기까지 다양한 활동을 수행할 수 있습니다.
기존 클라우드 보안 방어 우회
메모리 공격의 급증은 부분적으로 기존 클라우드 보안 방어를 회피할 수 있는 능력에 기인할 수 있습니다. 악의적인 공격자는 자신의 활동을 숨기고 손상된 시스템에 대한 강력한 기반을 마련하기 위해 고안된 고급 회피 기술을 구현하는 데 상당한 자원을 투자합니다. 아쿠아시큐리티(Aqua Security)의 연구에 따르면, 6개월간 허니팟 데이터를 분석한 결과, 공격의 50% 이상이 특별히 방어를 우회하는 것을 목표로 한 것으로 나타났다.
몇 가지 주요 회피 전략을 자세히 살펴보겠습니다.
* 서명 기반 탐지 부족: 기존의 바이러스 백신 소프트웨어 및 침입 탐지 시스템(예: SolarWinds Security Event Manager 및 신흥 Snort)은 알려진 악성 코드 및 악성 파일을 식별하기 위해 서명 기반 탐지에 크게 의존합니다. 메모리 공격에는 디스크에 파일을 쓰는 것이 포함되지 않기 때문에 이러한 서명의 트리거를 효과적으로 방지하여 많은 보안 솔루션에서 그 존재를 볼 수 없게 만듭니다.
* 행동 회피: 메모리 공격은 시스템에서 이미 실행 중인 합법적인 프로세스를 사용하는 경우가 많기 때문에 행동 기반 탐지 시스템이 정상적인 활동과 악의적인 활동을 구별하기 어렵습니다. 이 기능을 사용하면 공격이 환경에 원활하게 혼합될 수 있습니다.
* 암호화된 페이로드: 많은 메모리 공격은 암호화 기술을 사용하여 페이로드를 난독화하므로 보안 스캐너가 내용을 읽고 의도를 이해할 수 없게 됩니다.
* 경량 풋프린트: 메모리 공간에서만 작동하는 메모리 공격은 시스템에 최소한의 풋프린트를 남깁니다. 이러한 회피적인 특성으로 인해 사후 분석이 매우 어려워집니다.
기술적 완화 전략
점점 커지는 메모리 공격 위협에 맞서기 위해 클라우드 보안 전문가와 IT 관리자는 다양한 보안 기술과 모범 사례를 결합하는 다계층 접근 방식을 채택해야 합니다. 다음은 몇 가지 주요 완화 전략입니다.
* EDR(엔드포인트 탐지 및 대응): EDR 솔루션은 서버 및 워크스테이션을 포함한 엔드포인트에 대한 실시간 모니터링을 제공하여 조직이 메모리에서 발생하는 의심스러운 활동을 탐지하고 대응할 수 있도록 합니다. EDR 도구는 기계 학습 및 행동 분석을 활용하여 메모리 공격을 나타낼 수 있는 의심스러운 활동을 식별할 수 있습니다. 예를 들어 Malwarebytes EDR은 눈에 보이지 않는 악성 코드 위협을 효과적으로 식별하고 대응할 수 있습니다. 엔드포인트에서 잠재적으로 유해한 작업을 면밀히 모니터링하고 의심스러운 동작을 효과적으로 식별합니다. 또한 Malwarebytes Nebula와 같은 클라우드 호스팅 보안 플랫폼의 "의심스러운 활동 모니터링"은 클라우드의 기계 학습 절차 및 분석을 사용하여 의심스러운 활동을 신속하게 식별할 수 있습니다.
* 메모리 무결성 보호: 최신 운영 체제와 클라우드 플랫폼은 메모리 무결성 보호 메커니즘을 제공합니다. 예를 들어 Microsoft는 메모리 공격에 맞서고 시스템 보안을 강화하기 위해 Windows 10, Windows 11 및 Windows Server 2024 이상에 메모리 무결성이라는 VBS(가상화 보안) 기반 기능을 도입했습니다. 이러한 기능은 메모리 공간의 무결성을 보장하고 무단 수정 및 변조를 방지합니다.
* 정기적인 소프트웨어 업데이트 및 패치 관리: 모든 소프트웨어와 애플리케이션을 최신 상태로 유지하는 것은 메모리 공격에 맞서는 데 매우 중요합니다. 공격자는 알려진 취약점을 악용하여 패치가 적용되지 않은 소프트웨어에 침투하는 경우가 많습니다. 정기적인 업데이트는 이러한 보안 격차를 해소하는 데 도움이 됩니다.
* 권한 감소 완화: 사용자 권한을 제한하고 최소 권한 원칙을 시행하면 메모리 공격의 영향을 완화할 수 있습니다. 적절한 인증 없이 사용자가 스크립트를 실행하거나 중요한 시스템 리소스에 액세스하지 못하도록 제한하면 공격 표면을 줄일 수 있습니다.
* 네트워크 분할: 클라우드 네트워크를 고유한 보안 영역으로 적절하게 분할하면 환경 내에서 메모리 공격의 측면 이동을 제한할 수 있습니다. 조직은 방화벽을 사용할 수 있습니다
카테고리 없음