클라우드 호퍼: 제로 트러스트 관점

산업 솔루션 마케팅 담당 시니어 디렉터

February 10, 2020

23 최소 읽기

정부가 후원하는 중국 요원 (애칭으로 “APT10”) 이 조직한 것으로 의심되는 해킹 캠페인인 Cloud Hopper는 2014년부터 적어도 2017년까지 진행되었으며 다양한 산업의 여러 서구 기업에 영향을 미쳤습니다.이 특정 사이버 스파이 활동은 매우 중요했기 때문에 운영 규모, 대상 조직의 범위, 수집된 정보의 유형, 그리고 무엇보다도 초기 보안 침해의 특성 때문에 보안 및 비즈니스 미디어 모두에서 계속해서 주목을 받았습니다.Cloud Hopper는 공격자가 피해자를 해킹한 덕분에 이제 그 이름을 널리 알릴 수 있게 되었습니다. 매니지드 서비스 프로바이더 (MSP), 이를 활용하여 MSP의 “클라우드”에서 대상 기업의 네트워크로 “이동”합니다.

침해에 대한 훌륭한 요약과 상세한 글이 많이 있습니다. 예를 들어 심층적인 내용이 있습니다. 오퍼레이션 클라우드 호퍼 PWC의 보고서는 침해에 대한 심층 분석을 제공합니다.여기서는 동일한 정보를 반복하는 대신 다음과 같은 관점에서 Cloud Hopper를 살펴보겠습니다. 제로 트러스트 프레임워크, 특히 이러한 유형의 보안 접근 방식을 채택했을 때 공격자의 효율성을 줄일 수 있었던 방법에 대해 설명합니다.

Forrester Research는 약 10년 전에 제로 트러스트를 처음 도입했습니다. 제로 트러스트는 보안에 대한 “신뢰는 하되 검증하는” 방식에서 “아무것도 신뢰하지 않고, 모든 것을 모니터링하고, 권한을 최소화하는” 접근 방식으로의 전환을 주장했습니다.많은 자산 그룹을 보호하기 위해 넓은 경계에 의존하던 방식에서 모든 자산을 공격 대상으로 간주하는 경계로 전환하는 이러한 변화는 기업을 공격에 더욱 취약하게 만드는 내재적 신뢰를 없애는 것을 목표로 합니다.

더 제로 트러스트 프레임워크 7개의 기둥에 걸쳐 확장되며, 이를 결합할 경우 기업 보안을 위한 포괄적인 전략을 제공합니다.또한 공격이 성공한 이유를 분석하고 공격이 강력했다면 어떤 요소가 공격을 저지하는 데 도움이 되었을지 이해하는 데 유용한 출발점이기도 합니다.분명히 알 수 있듯이 Cloud Hopper는 과도한 신뢰 수준 덕분에 큰 성공을 거두었습니다. 공격자들은 통제 불량이 난무하는 상황에서도 이를 악용할 수 있었습니다.

많은 데이터 침해와 마찬가지로 출발점은 사람 (People) 기둥의 타협이었습니다. 고도로 타겟팅된 스피어 피싱 공격 대상 회사의 부문과 메시지를 받는 개인의 직무 모두에 맞게 조정된 문서를 활용했습니다.이를 통해 다음을 보장할 수 있었습니다. 악성 페이로드 실행되어 공격자가 MSP 네트워크에 침입하여 피해자의 자격 증명을 얻을 수 있었습니다.또한 피해자에게 관리자 권한이 있는 경우 “진입 장벽”이 더욱 줄어들었습니다.A부터 제로 트러스트 관점에서 볼 때 권한 있는 액세스는 승인된 시스템에서 승인된 업무상 필요에 따라 “Just-In-Time” (필요한 기간 동안만 제공되고 액세스가 더 이상 필요하지 않은 경우 제거) 되어야 합니다.

몰락한 다음 기둥은 네트워크였습니다. 더 악성 코드 조직의 네트워크에 대한 정찰을 수행하여 주요 자산을 매핑하고 지속적인 기반을 구축하고 의도한 목표에 가장 효율적으로 도달할 수 있는 방법을 결정했습니다.Cloud Hopper의 경우 이는 MSP 네트워크의 초기 보안 침해 호스트 (종종 “교두보”라고 함) 에서 클라이언트 환경의 최종 목표까지 이어지는 경로를 짜는 것을 의미했습니다.또 다른 핵심 네트워크 요소는 멀웨어가 인터넷상의 명령 및 제어 (CNC 또는 C2) 환경을 통해 정보를 전송하고 명령을 받을 수 있다는 점이었습니다.이 두 단계 (네트워크 탐색을 통한 정찰 및 콜홈 기능) 는 제로 트러스트 프레임워크의 네트워크 보안 원칙에서 다루는 장애 유형별로 중점적으로 다루기 때문에 별도로 살펴보겠습니다.

콜홈 (Call-Home) 부분을 먼저 설명하자면, 멀웨어는 CNC 인프라와 다시 통신할 수 있는지 여부에 크게 의존했고, 액세스가 실패하면 완전히 삭제될 정도였습니다.멀웨어가 가장 흔하게 전송되는 데스크톱 환경에서는 인터넷 액세스가 생산성 향상에 필수적이기 때문에 웹 프록시를 사용하여 인터넷에 액세스하는 경우가 많습니다.조직은 인증되고 인증된 사용자만 프록시에 액세스할 수 있도록 하고 사용자가 평소처럼 업무를 수행할 수 있도록 액세스 권한을 최소 수준으로 유지하여 이러한 액세스를 관리하는 방법에 세심한 주의를 기울여야 합니다.그러나 이러한 제어 기능이 제대로 구현되었음에도 불구하고 공격자는 도메인을 등록하고 웹 필터링 공급자의 합법적인 범주에 포함시키기만 하면 프록시 수준 제어를 우회할 수 있습니다.이러한 경우에는 모든 웹 액세스에 대한 로깅 및 모니터링이 필수적이어야 하며, 정상 활동과의 편차를 식별하고 조사할 수 있도록 일부 최종 사용자 행동 분석과 연계해야 합니다.

Cloud Hopper의 성공 비결은 공격자가 측면으로 이동할 수 있는 능력이었습니다.

하지만 Cloud Hopper의 진정한 성공 비결은 다음과 같은 능력이었습니다. 공격자가 옆으로 움직입니다 각 MSP 네트워크 내에서 제한이 거의 없습니다.이를 통해 악용될 수 있는 사용 가능한 호스트, 프로세스 및 포트를 신속하게 매핑하고 공격의 다음 단계에서 활용하기에 가장 적합한 호스트, 프로세스 및 포트를 결정할 수 있었습니다.군사적 표현을 빌리자면 사이버 전문가들은 이를 “아일랜드 호핑 (island hopping)” 캠페인이라고 부르는 경우가 많습니다.공격자는 권한 있는 사용자 자격 증명을 성공적으로 획득하고 비교적 제한되지 않은 네트워크 액세스를 통해 일반적인 관리 프로토콜을 사용하여 합법적으로 보이는 방식으로 시스템에 액세스하여 감시 범위를 벗어날 수 있었습니다.네트워크 정찰 작업이 비교적 적었기 때문에 각 클라이언트의 네트워크에 MSP 액세스를 제공한 점프 호스트를 쉽게 식별할 수 있었습니다. 여기서 공격자는 실제 공격 대상에 액세스할 수 있었습니다.

이는 디바이스, 네트워크 및 워크로드에 대한 제로 트러스트 기둥의 실패가 합쳐진 것입니다. 플랫 네트워크 세분화가 거의 또는 전혀 없는 네트워크는 공격자의 놀이터이며 이 상황도 예외는 아닙니다.MSP의 내부 네트워크에는 적절한 세그멘테이션이나 모니터링이 없었기 때문에 공격자는 탐지 없이 수월하게 움직일 수 있었습니다.세그멘테이션은 정책에 명시적으로 허용된 경우를 제외하고 공격자가 네트워크를 탐색하거나 열린 경로를 식별하거나 이동하는 것을 차단했을 것입니다.모든 네트워크 트래픽에 대한 가시성을 확보하면 공격자의 움직임을 파악할 수 있었을 것이며, 공격 대상 데이터를 찾기 전에 공격을 중단시킬 수 있을 만큼 조기에 조사를 시작했을 수도 있습니다.점프 서버 (배스천 호스트라고도 함) 와 같은 주요 자산은 MSP와 클라이언트 네트워크 모두에 연결되었지만 네트워크 또는 사용자 액세스 측면에서 보안이 제대로 이루어지지 않았습니다.모든 점프 서버 액세스에 대해 특정 형태의 권한 액세스 관리를 의무화했다면 공격자가 클라이언트 네트워크에 침투하는 능력이 심각하게 제한되었을 것입니다.

클라우드 호퍼 공격은 여러 가지 주요 보안 통제의 실패를 부각시키고, 조직이 침해 가능성을 100% 로 가정하고 보안 침해를 신속하게 탐지하고 그 영향을 최소화할 수 있도록 환경을 설계하는 접근 방식인 다른 보안 접근 방식의 필요성을 강조합니다.지능형 공격자의 활동 방식을 고려할 때 가장 신중한 접근 방식은 처음부터 모든 것을 기반으로 구축되는 접근 방식입니다. 최소 권한 원칙 — 보안에 대한 제로 트러스트 접근 방식.