최근 사이버보안 전문가 분석에 따르면, 아마존 웹 서비스 보안 토큰 서비스(AWS STS)의 잠재적 오용과 관련된 중대한 보안 문제가 발견되었다.
보안기업 레드 카나리아 연구원들은 위협 행위자가 AWS STS를 악용하여 클라우드 계정에 침투한 후 후속 공격을 수행하여 클라우드 보안에 심각한 위협을 가할 수 있는 방법을 확인했다.
아마존 웹 서비스의 기본 구성 요소인 AWS STS는 사용자가 완전한 AWS ID 없이도 AWS 리소스에 액세스할 수 있는 임시적이고 제한된 권한의 자격 증명을 얻을 수 있게 해준다. 이러한 단기 토큰은 15분에서 36시간까지 다양한 기간 동안 유효하므로 클라우드 환경에서 유연성과 강화된 보안을 제공한다.
분석에 따르면 위협 공격자는 멀웨어 감염, 노출된 자격 증명, 피싱 이메일 등 다양한 수단을 통해 장기 IAM 토큰을 탈취하여 AWS STS를 손상시킬 수 있다. 이러한 토큰을 확보한 위협 공격자는 API 호출을 활용하여 관련 역할과 권한을 확인할 수 있다.
연구진은 토큰의 권한 수준에 따라 공격자가 장기 액세스 키(AKIA 토큰)를 가진 추가 IAM 사용자를 생성하여 권한을 확대할 수 있으며, 초기 토큰이 발견되어 해지되더라도 지속성을 보장할 수 있다고 지적한다.
공격의 후속 단계에서는 MFA로 인증된 STS 토큰을 사용하여 여러 개의 새로운 단기 토큰을 생성한다. 이러한 토큰은 데이터 유출과 같은 익스플로잇 후 작업을 수행하는 데 사용되어 클라우드에 저장된 정보의 기밀성 및 무결성에 심각한 위험을 초래할 수 있다.
이 새로운 위협에 대응하기 위해 레드 카나리아 연구원들은 다음과 같은 완화 전략을 권장한다:
-CloudTrail 이벤트 데이터 로깅: 클라우드 트레일 이벤트 데이터를 포괄적으로 로깅하여 AWS API 활동을 모니터링하고 추적해야 한다.
-역할 연쇄 이벤트 탐지: 잠재적인 무단 액세스를 나타낼 수 있는 역할 연쇄 이벤트를 감지하고 이에 대응하는 메커니즘을 구현한요.
-MFA 남용 탐지: 다단계 인증(MFA) 남용을 감지하고 방지하는 조치를 구현하여 보안을 강화한다.
-장기 IAM 사용자 액세스 키 교체: 장기 IAM 사용자 액세스 키를 정기적으로 교체하여 손상된 자격 증명의 영향을 제한한다.
연구원들은 정적 자격 증명의 사용과 액세스 기간을 제한하는 보안 제어로서 AWS STS의 중요한 역할을 강조한다. 하지만 조직 전반의 특정 공통 IAM 구성이 취약점을 노출하여 공격자가 악의적인 행동에 STS 토큰을 악용할 수 있다고 경고했다.
이번 분석은 클라우드 보안의 시급한 문제를 조명하며 조직이 경계를 늦추지 말고 AWS 환경을 보호하기 위한 선제적 조치를 취할 것을 촉구한 것이다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
