최근 발견된 대규모 사이버 공격 캠페인이 웹 애플리케이션에 노출된 환경 변수 파일(.env)을 악용해 여러 조직을 공격한 것으로 드러났다. 이 파일들은 주로 잘못된 설정으로 인해 외부에 노출되었으며, 클라우드 서비스와 소셜 미디어 계정의 중요한 자격 증명을 포함하고 있어 해커들에게 주요 목표가 되었다.
팔로알토네트웍스(Palo Alto Networks) 유닛42에 따르면, 이번 캠페인은 11만 개 이상의 도메인을 공격했고, 노출된 .env 파일에서 9만 개 이상의 고유 변수를 추출했다고 밝혔다. 이 중 7천 개는 클라우드 서비스와 관련된 것이었으며, 1,500개는 소셜 미디어 계정과 연결된 것으로 확인되었다.
해커들은 이러한 자격 증명을 이용해 AWS(아마존 웹 서비스) 클라우드 환경에 초기 접근한 후, 새로운 IAM(Identity and Access Management) 역할을 생성해 관리자 권한으로 승격시켰다. 이를 통해 악성 AWS Lambda 함수를 배포하여 수백만 개의 도메인과 IP 주소를 대상으로 한 인터넷 전역 스캔 작업을 자동화했다. 그 과정에서 추가적으로 노출된 .env 파일을 식별해 더 많은 민감한 데이터를 추출했다.
특히, 이번 공격은 전통적인 보안취약점이나 클라우드 제공업체의 잘못된 설정을 이용한 것이 아니라, 단순한 환경 변수 파일의 노출을 악용해 이루어졌다는 점에서 주목된다. 해커들은 데이터를 탈취하고 피해자의 클라우드 저장소에 랜섬 노트를 남기며, 돈을 지불하지 않으면 이 정보를 다크웹에 판매하겠다고 협박했다.
또한 해커들은 암호화폐 채굴을 시도했으나 실패한 것으로 알려졌다. VPN과 토르 네트워크를 활용해 공격의 출처를 숨기고, 자동화된 도구를 사용한 이번 공격은 높은 기술적 전문성을 보여준다.
이번 사건은 환경 변수 파일의 보안 관리와 클라우드 보안 조치의 중요성을 다시 한번 상기시켰다. 기업들은 최소 권한 원칙을 적용하고, 자격 증명 교체를 정기적으로 실시하며, 정기적인 보안 감사로 잠재적인 노출을 사전에 탐지하고 차단해야 한다.