2022년 10월 28일
Thyaga Vasudevan - 제품 관리 부사장, Skyhigh Security
위협 인텔리전스 제공업체 SOCRadar가 최근 발견한 '블루블리드'라고 불리는 Microsoft 침해 사고는 잘못 구성된 클라우드 스토리지 버킷의 위험을 조명하고 기업이 클라우드 서비스 제공업체(CSP)에 전적으로 의존하여 보안 보증을 제공하고 책임을 질 수 없음을 보여줍니다. Verizon 2022 데이터 침해 조사 보고서에 따르면 잘못된 구성 오류는 계속해서 침해의 주요 원인으로 작용하고 있으며, 작년 침해 사고의 13%가 잘못된 구성으로 인해 발생한 것으로 나타났습니다. 잘못된 설정은 사람의 실수로 인해 발생하기 때문에 완전히 안전한 CSP는 없다고 가정해야 합니다.
무슨 일이 있었나요?
10월 19일에 발표한 답변에서 Microsoft 보안 대응 센터(MSRC)는 "의도하지 않은 구성 오류"로 인해 고객 데이터에 "인증되지 않은 액세스 가능성"이 발생했으며, "이름, 이메일 주소, 이메일 내용, 회사 이름 및 전화 번호가 포함되어 있고 고객과 Microsoft 또는 공인 Microsoft 파트너 간의 비즈니스와 관련된 첨부 파일이 포함되어 있을 수 있다"고 밝혔습니다. MSRC는 영향을 받은 기업의 수에 대한 자세한 내용은 제공하지 않았으며 이 사건을 경시한 것으로 보입니다.
SOCRadar에 따르면, 최초 게시물의 다음 날 후속 조치로 123개국 15만 개 기업의 민감한 데이터로 구성된 6개의 대규모 클라우드 버킷이 유출된 것으로 확인되었습니다. 잘못 구성된 버킷 중 가장 큰 버킷에는 111개국 65,000개 기업의 2.4TB에 달하는 데이터가 포함되어 있었습니다.
10월 20일, 저명한 사이버 보안 연구원인 케빈 보몬트는 그레이햇 워페어와 같은 서비스에서 마이크로소프트 버킷을 수개월 동안 공개적으로 색인하고 읽을 수 있었다고 보고했습니다. 그는 MSRC의 공식 성명을 보면 "사이버 보안이 실제 세계에서 어떻게 작동하는지 전혀 알지 못했다"며 규제 당국에 알리지 않고 고객에게 어떤 데이터가 유출되었는지 알려주지 않은 것은 "중대한 부실 대응의 특징"이라고 주장했습니다.
해커 뉴스의 10월 21일자 기사에서 다음과 같이 보도했습니다: "공개 이전에 위협 행위자가 정보에 부적절하게 액세스했다는 증거는 없습니다." 하지만 이러한 유출이 악의적인 목적으로 악용될 수 있다고 지적합니다.
중요한 이유
유출된 데이터에는 Microsoft 고객 및 잠재 고객의 인프라 및 네트워크 구성에 대한 일부 민감한 정보가 포함될 수 있습니다. 영향을 받은 조직의 인프라에서 취약점을 찾는 해커는 이 데이터가 가치가 있다고 판단하고 네트워크를 악용하는 데 사용할 수 있습니다.
이에 대해 할 수 있는 일
CSP가 조직의 공격 표면을 증가시킬 수 있는 잠재력을 가지고 있음을 인식하는 것부터 시작하세요. CSP와의 서비스 수준 계약(SLA)을 면밀히 검토하여 누가 무엇을 책임지는지 파악하고 각 당사자의 책임을 명확히 해야 합니다. 이는 일반적으로 클라우드 환경의 모든 측면에 대한 보안 책임을 세분화하는 보안 및 규정 준수 프레임워크인 공유 책임 모델에 요약되어 있습니다. 여기에는 하드웨어, 인프라, 엔드포인트, 데이터, 구성, 설정, 운영 체제, 네트워크 제어 및 액세스 권한이 포함됩니다. 실제로는 CSP와 고객 모두 보안을 보장하는 역할을 수행하지만, 상대방은 이러한 자산에 대한 가시성이 없기 때문에 한 쪽이 직접 제어하고 전적으로 책임지는 특정 자산이 있습니다. 이 공유 보안 모델은 복잡하지만 효율성, 강화된 보호, 전문성 등의 이점을 제공합니다.
보안 작업과 기능은 클라우드 서비스 제공 모델에 따라 달라집니다: 서비스형 소프트웨어(SaaS), 서비스형 플랫폼(PaaS), 서비스형 인프라(IaaS) 등입니다. IaaS 및 PaaS 환경은 고객에게 더 큰 선택권과 유연성을 제공하지만, 제대로 구성하지 않으면 더 큰 보안 위험을 초래할 수도 있습니다.
Cloud-Native: 서비스형 인프라 도입 및 위험 보고서에 따르면, IaaS의 잘못된 구성의 99%는 눈에 띄지 않는다고 합니다. Security Service Edge (보안 전문가가 위험한 구성이 프로덕션 환경에서 위협이 되기 전에 이를 포착할 수 있도록 도와줍니다. 보안 인시던트로 발전하기 전에 보안 발견 사항을 강조 표시함으로써 SSE는 규정 프레임워크 준수를 개선하고 부적절한 보안 제어와 관련된 데이터 손실, 남용 또는 벌금 가능성을 줄이는 데도 도움이 될 수 있습니다.
블루블리드 유출 사태가 어떻게 될지는 시간이 지나면 알 수 있을 것입니다. 이러한 침해의 영향을 받고 싶지 않다면 Skyhigh의 Security Service Edge 기술이 도움이 될 수 있습니다. 고유한 데이터 인식 CSPM 기능을 통해 고객은 잘못된 구성을 감지하고 퍼블릭 클라우드 인프라에서 데이터 유출에 가장 취약한 민감한 데이터가 포함된 중요한 영역을 지적할 수 있습니다.
블로그로 돌아가기