Palo Alto Networks white logo Palo Alto Networks logo
  • Introduction
  • Supply Chain Attacks
  • Key Findings
  • Recommendations
  • 보고서 읽어보기
클라우드 위협 조사

Unit 42 클라우드 위협 보고서, 2021년 하반기

일반적인 공급망 문제가 클라우드 보안을 어떻게 저해하는지 알아보세요
보고서 읽어보기
소개

방어를 위한 공격망 공격의 이해

클라우드에서 공급망 공격은 새로운 위협으로 다가오고 있습니다. 그러나 이런 공격의 성격과 가장 효과적인 방어 수단에 대해서는 여전히 오해가 남아 있습니다. Palo Alto Networks Unit 42 클라우드 위협 조사팀은 이런 증가하는 위협에 대한 인사이트를 확보하기 위해 전 세계의 다양한 퍼블릭 데이터 소스에서 데이터를 분석했습니다. 또한, 한 대규모 SaaS 공급업체의 요청을 받아 클라우드 호스팅 소프트웨어 개발 환경에 대한 Red Team 훈련을 실시했습니다. Unit 42의 조사 결과, 많은 조직이 여전히 클라우드에서 공급망 보안에 대해 잘못 인식하고 있는 것으로 나타났습니다.

이 보고서에서는 과거 공급망 공격에 대한 Unit 42의 분석을 소개합니다. 공급망 공격의 전체적인 범위를 설명하고, 공급망 공격 발생 과정에 대한 잘못된 인식을 타파하고, 조직에서 당장 클라우드에서 공급망을 보호하기 위해 도입할 수 있는 실천 가능한 모범 사례를 추천합니다.

matt signature Matthew Chiodi
클라우드 최고 보안 책임자 Palo Alto Networks
동영상 보기
보고서 다운로드
공급망 공격은 새로운 위협이 아닙니다

SolarWinds이 사건은 글로벌 헤드라인을 장식한 최초의 중요한 소프트웨어 공급망 공격이지만 이런 종류의 공격은 처음이 아닙니다. Unit 42 조사팀은 2015년 초부터 현재까지 발생한 중요한 공격을 추적했습니다.

  • 2015년 9월 – XcodeGhost: 공격자가 Apple Xcode 소프트웨어 버전(iOS 및 macOS 애플리케이션 빌드 도구)을 배포하고, Xcode를 사용하여 개발한 iOS 앱에 추가적 코드를 주입했습니다. 이 공격으로 인해 Apple App Store®에서 수천 개의 해킹된 앱이 발견되었습니다.
  • 2016년 3월 – KeRanger: macOS 랜섬웨어가 설치 프로그램에 주입되어 Transmission(인기 있는 오픈 소스 BitTorrent 클라이언트)이 해킹되었습니다. 이 프로그램을 다운로드하고 설치한 사용자는 파일을 암호화해 랜섬을 요구하는 멀웨어에 감염되었습니다. 공격자들은 Transmission을 배포하는 데 사용한 서버를 탈취해 랜섬웨어를 주입했습니다.
  • 2017년 6월 – NotPetya: 공격자는 우크라이나 소프트웨어 기업을 해킹하고, "MeDoc" 금융 소프트웨어 업데이트를 통해 네트워크 웜 기능이 있는 파괴적 페이로드를 배포했습니다. 이 멀웨어는 소프트웨어를 사용해서 시스템을 감염시킨 후, 네트워크상의 다른 호스트로 확산되어 전 세계적인 피해를 입혔고 수천 개의 조직이 영향을 받았습니다.
  • 2017년 9월 – CCleaner: 공격자는 수많은 사람이 PC가 올바르게 작동하도록 유지하는 Avast의 CCleaner 도구를 해킹했습니다. 이 해킹의 2단계 페이로드를 통해 전 세계의 대규모 기술 및 전기통신 기업을 노렸습니다.

각 보안 침해에서 공격자들은 소프트웨어 개발 파이프라인을 해킹했습니다. 그런 다음, 내부에서 얻은 신뢰를 악용해 다른 네트워크에 대한 액세스 권한을 얻었습니다.

조사 기술
클라우드 공급망을 책임지는 방법

Unit 42 조사팀은 Palo Alto Networks 고객의 의뢰로 Red Team 훈련을 실시했습니다. 그 과정에서 이 고객의 CI(Continuous Integration) 환경에 제한적 액세스 권한이 있는 악의적 개발자로 위장하여 대규모 클라우드 인프라에 대한 관리자 권한을 얻으려고 시도했습니다. 이 작전을 통해 악의적 내부자가 CI 리포지토리를 확보하여 민감한 정보에 액세스하는 수법을 보여주었습니다.

  • Unit 42 팀은 고객 클라우드 소프트웨어 스토리지 위치에서 모든 GitLab 리포지토리를 다운로드할 수 있었습니다. 154개 고유 CI 리포지토리에서 약 80,000개의 개별 클라우드 리소스를 찾아냈습니다.
  • 리포지토리 내에서는 하드코딩된 IAM 키 페어를 26개 발견했습니다. Unit 42 조사팀은 이를 활용하여 권한을 확대하고 고객 공급망 운영에 액세스할 수 있었습니다.

Supply chain attacks are not a new threat
Short for time? 보고서 읽어보기
주요 조사 결과

SOC의 탐지

이 사안이 중요한 이유: 고객이 공격을 탐지하려면 AWS GuardDuty와 Cloud Security Posture Management 플랫폼을 통합해야 합니다. 이 경우에는 Palo Alto Networks Prisma Cloud를 사용했습니다. 그러나 고객은 계정 하나만 올바르게 구성했기 때문에 전체 악성 활동의 극히 일부만 SOC에 탐지되었습니다.

IaC 보안이란 곧 공급망 보안

이 사안이 중요한 이유: 여러 겹의 타사 리소스를 빌려와서 재사용하는 경우가 많은 IaC(Infrastructure as Code) 도구를 사용하기 때문에 공급망 취약점은 금세 눈덩이처럼 불어날 수 있습니다. 아래 예시에 구축된 인프라는 온전히 작동하기는 하겠지만, 종속된 패키지의 기본 구성이 안전하지 않을 수 있습니다. 그중 하나라도 해킹된다면 수백만 개의 연결된 클라우드 환경이 최근 들어 발생한 것과 유사한 공격에 취약해질 수 있습니다.

IaC security means supply chain security

오픈 소스 Terraform의 안전하지 못한 구성

이 사안이 중요한 이유: Unit 42 조사팀은 Bridgecrew의 Checkov를 사용하여 일반적으로 사용하는 오픈 소스 Terraform 리포지토리에서 4,055개의 Terraform 템플릿과 38,480개의 Terraform 파일을 분석했습니다. 템플릿의 소유주는 CSP, 공급업체 또는 오픈 소스 개발자가 될 수 있습니다. Checkov는 IaC(Infrastructure as Code)에 대한 오픈 소스 고정 코드 분석 도구입니다. 전체적으로 Terraform 템플릿의 63%에 하나 이상의 안전하지 않은 구성이 포함되어 있습니다. 마찬가지로 템플릿의 49%에 치명적이거나 매우 위험한 구성이 하나 이상 포함되어 있습니다. 각 모듈의 다운로드 횟수를 고려하면, 다운로드 횟수의 64%에 하나 이상의 치명적이거나 매우 위험한 구성이 포함된 것과 같습니다.

Insecure configurations in open-source Terraform

Kubernetes 헬름 차트의 안전하지 못한 구성

이 사안이 중요한 이유: Unit 42 조사팀은 아티팩트 Hub에서helm-scanner.를 사용하여 3,155개의 헬름 차트와 8,805개의 YAML 파일을 분석했습니다. 전반적으로 헬름 차트의 99.9%에 하나 이상의 안전하지 못한 구성이 포함되어 있고, 헬름 차트의 6%에 하나 이상의 치명적이거나 매우 위험한 구성이 포함되어 있습니다.

Insecure configurations in Kubernetes Helm charts

널리 사용되는 컨테이너 이미지의 취약점

이 사안이 중요한 이유: Unit 42 조사팀은 Kubernetes 헬름 차트에서 사용한 컨테이너 이미지(1,544개)를 분석했습니다. 이러한 컨테이너 이미지는 다양한 퍼블릭 레지스트리(예: Docker Hub, Quay Google Container Registry(GCR))에서 호스팅됩니다. 전반적으로 이미지의 96%에서 알려진 취약점을 발견했고 이미지의 91%에 치명적이거나 위험한 취약점이 하나 이상 포함되어 있었습니다.

Vulnerabilities in widely used container images
보고서 읽어보기
세부적인 가시성이 중요

이 보고서에서는 보안의 원점 회귀를 통해 모든 클라우드 네이티브 워크로드에 대한 가시성을 확보하는 것이 중요하다는 것을 강조합니다. 보안 커뮤니티에서 '원점 회귀'에 대한 논의가 많이 이루어지고 있지만 조직에서는 여전히 DevOps 보안을 상당히 간과하는 편입니다. 여기에는 공급망 위협에 대한 인식이 부족한 탓도 있습니다.

전체 보고서 다운로드
인포그래픽 다운로드
위협 보고서

Unit 42 클라우드 위협 보고서, 2021년 하반기

지금 다운로드
PRISMA CLOUD

Prisma Cloud가 어떻게 귀사의 클라우드 위협을 해결해줄 수 있는지 알아보세요.

자세히 알아보기
클라우드 보안 리소스 키트 확인

보안 알림, 클라우드 보안 이벤트, Prisma™ Cloud 제품 업데이트를 받아보려면 등록하세요.

이 양식을 제출하여 이용 약관 및 개인 정보 보호 정책에 동의합니다.
register brochure
지금 보고서를 다운로드하세요!
이 양식을 제출하여 이용 약관 및 개인 정보 보호 정책에 동의합니다.

이제 가이드를 다운로드할 수 있습니다!

클라우드 도입과 보안을 확장하는 과정에서 이 리서치 정보가 유용하게 활용되기를 바랍니다.
보고서 다운로드
guide brochure
prisma logo

핵심 요약: Unit 42 클라우드 위협 보고서, 2021년 하반기

최신 Unit 42 클라우드 위협 보고서에 상세하게 소개된 리서치 개요를 읽어보세요.
요약
prisma logo

인포그래픽: 소프트웨어 공급망 보호를 통한 클라우드 보안

귀사의 기업 소프트웨어 공급망 보안에 미치는 위험 요소는 어떤 것이 있을까요? 더 중요한 것은, 이러한 위험에 맞서 어떻게 보호할 수 있을까요? Unit 42의 클라우드 위협 보고서 2021년 하반기 버전, "공급망 보안을 확보하여 클라우드 보안 확보"에서는 바로 이런 질문에 답해드립니다. 이 인포그래픽을 통해 Unit 42 리서치 개요를 확인하고 이처럼 점차 성장하는 위협으로부터 조직을 안전하게 지키는 방법을 알아보세요.
인포그래픽
prisma logo

Prisma Cloud 둘러보기: 온디맨드 데모

업계 유일의 종합적 클라우드 네이티브 보안 플랫폼인 Prisma Cloud의 특징과 이점을 알아보세요.
Prisma Cloud 둘러보기

최신 소식, 이벤트 초대장 및 위협 알림 받기

이 양식을 제출하여 이용 약관 및 개인 정보 보호 정책에 동의합니다.

black youtube icon black twitter icon black facebook icon black linkedin icon
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)

회사

  • 회사
  • Tech Docs
  • 채용 정보
  • 취약성 신고
  • 사이트 맵

법적 고지

  • 개인 정보 처리 방침
  • 법적 통지

계정

  • 구독 관리

Copyright © 2023 Palo Alto Networks. All rights reserved