클라우드 환경에서 랜섬웨어

목차

이 글은 클라우드 환경에서 랜섬웨어에 감염되었을 때 어떻게 대응해야 하는지에 대해 스스로 정리하고자 작성한 것입니다. 정리된 내용은 학습 목적이며, 실제 업무 환경과는 다를 수 있습니다. 혹시 잘못된 정보가 있다면 언제든지 알려주시면 감사하겠습니다.

랜섬웨어란?

• 랜섬웨어는 해커가 기업이나 조직의 데이터 및 시스템에 무단 접근하여 접근을 제한한 뒤, 금전적 대가를 요구하는 공격 방식입니다.
• 주요 공격 방법: 취약점 악용, 약한/도난된 인증정보 사용, 사회공학적 기법 등

감염

 

시나리오 1: EC2 인스턴스의 취약한 RDP/SSH 설정을 통한 감염

• 상황: EC2 인스턴스가 인터넷에 직접 노출되어 있고, RDP(Windows) 또는 SSH(Linux) 포트가 열려 있으며, 약한 비밀번호 또는 키 관리가 부실함.
• 공격 경로:
  1. 공격자가 포트 스캔을 통해 인스턴스를 탐지.
  2. 무차별 대입(brute force) 또는 유출된 자격 증명을 통해 로그인.
  3. 랜섬웨어를 설치하고 파일을 암호화.
• 결과: 해당 인스턴스 내 데이터 암호화 및 랜섬 요구. 백업이 없을 경우 복구 어려움.

---

시나리오 2: S3 버킷의 퍼블릭 접근 설정으로 인한 악성 파일 업로드

• 상황: S3 버킷이 퍼블릭 읽기/쓰기 권한으로 설정되어 있음.
• 공격 경로:
  1. 공격자가 악성 스크립트나 실행 파일을 버킷에 업로드.
  2. 해당 파일이 Lambda, EC2, 또는 다른 서비스에서 자동으로 실행되도록 연결되어 있음.
  3. 실행된 악성 코드가 내부 시스템에 접근해 랜섬웨어를 퍼뜨림.
• 결과: 내부 서비스 감염 및 데이터 암호화. S3 버킷 내 파일도 손상될 수 있음.

---

시나리오 3: SSE-C 기능을 악용한 랜섬웨어

• 상황: S3 버킷이 퍼블릭 읽기/쓰기 권한으로 설정되어 있음.
• 공격 경로:
  1. AWS 계정 키(자격 증명)를 탈취하거나 공개된 키를 이용해 S3 버킷에 접근.
  2. s3:GetObject 및 s3:PutObject 권한을 가진 키를 사용해 데이터를 SSE-C 방식으로 암호화.
  3. 암호화 키는 공격자가 생성하고 로컬에 저장하며, AWS는 이를 저장하지 않음.
  4. AWS CloudTrail에는 키의 HMAC만 기록되므로 복구 불가능.
  5. 파일은 7일 후 삭제되도록 설정해 피해자에게 압박을 가함.
  6. 각 디렉토리에 비트코인 주소와 클라이언트 ID가 포함된 랜섬 노트를 남김.
• 대응방법
  1. SSE-C 사용 제한:
     • IAM 정책에서 Condition 요소를 활용해 SSE-C 사용을 제한.
  2. AWS 키 모니터링 및 감사:
     • 사용하지 않는 키는 비활성화하고, 주기적으로 키를 교체.
  3. 고급 로깅 활성화:
     • S3 작업에 대한 상세 로그를 활성화해 이상 징후 탐지.
  4. AWS 지원팀과 협력:
     • 보안 강화 및 잠재적 취약점 식별을 위해 AWS와 협력.
• 참고: https://www.halcyon.ai/blog/abusing-aws-native-services-ransomware-encrypting-s3-buckets-with-sse-c

---

시나리오 3: IAM 사용자 자격 증명 유출로 인한 내부 리소스 감염

• 상황: 개발자가 GitHub에 AWS Access Key를 실수로 커밋함.
• 공격 경로:
  1. 공격자가 키를 수집해 AWS 계정에 접근.
  2. EC2 인스턴스에 접근하거나 새로운 인스턴스를 생성해 랜섬웨어 배포.
  3. CloudTrail 로그 삭제, 백업 삭제 등으로 복구 방해.
• 결과: 전체 AWS 환경이 위험에 처하고, 비용 청구 및 데이터 손실 발생 가능.

대응

1. 탐지 및 알림

• GuardDuty, Security Hub, CloudTrail 등에서 이상 징후를 탐지하고, 자동 알림(예: SNS, 티켓 시스템)으로 보안팀에 통보
• GuardDuty
  • 이상 행위 IP 탐지
• CloudTrail
  • KMS나 CMKS 사용 알림을 받

2. 초기 대응

• 감염된 리소스 격리(예: EC2 인스턴스 중지, 네트워크 차단)
• IAM 권한 회수 및 인증정보 회전(MFA 적용, 키 폐기)

3. 조사 및 분석

• 로그 분석(CloudTrail, VPC Flow Logs 등)으로 침입 경로 및 피해 범위 파악
• 감염된 데이터/시스템 식별

4. 복구 및 정상화

• 백업 데이터 복원(AWS Backup, Elastic Disaster Recovery 활용)
• 인프라 재배포(Immutable Infrastructure, IaC로 신속 복구)
• 서비스 정상화 및 모니터링 강화

5. 사후 평가 및 개선

• 사고 원인 분석 및 대응 과정 리뷰
• 대응 프로세스 및 정책 개선(예: 백업 정책 강화, 접근제어 정책 수정)
• 팀원 교육 및 추가 시뮬레이션 계획

대비

1. 보안 프레임워크 적용

 

• NIST CSF(사이버보안 프레임워크)와 같은 국제 표준을 기반으로, 조직의 보안 목표와 활동을 체계적으로 관리합니다.
• 프레임워크는 ‘식별-보호-탐지-대응-복구’ 5가지 기능으로 구성되어, 조직의 보안 리스크 관리와 회복력을 높입니다.

2. 시스템 패치 및 하드닝

• 취약점은 랜섬웨어의 주요 진입점입니다.
• Amazon Inspector 등 자동화 도구로 EC2, 컨테이너 등 AWS 리소스의 취약점을 지속적으로 스캔하고, Patch Manager로 OS 및 소프트웨어 패치를 자동 배포합니다.
• CIS Benchmarks 등 글로벌 하드닝 가이드라인을 적용해 시스템을 강화합니다.

3. 장기 인증정보(Access Key) 제거

• IAM 액세스 키 등 장기 인증정보는 유출 시 큰 위험이 됩니다.
• IAM 역할 기반의 임시 인증정보 사용, SSO(Identity Center) 통한 연동, 불필요한 계정/키/권한 정리, MFA(다중 인증) 적용 등으로 보안을 강화합니다.

4. 표준 VPC 디자인 및 멀티 계정 구조

• 네트워크 격리와 자원 독립성을 위해 표준화된 VPC 구조(가용영역, 서브넷, NACL 등)와 멀티 계정 토폴로지를 구축합니다.
• AWS Network Firewall, Route 53 DNS Firewall 등으로 네트워크 위협을 차단하고, Firewall Manager로 여러 계정에 보안 정책을 일괄 적용합니다.

5. 불변 인프라(Immutable Infrastructure) 구축

• 인프라를 직접 수정하지 않고, 코드 기반으로 배포 및 관리하여 보안성을 높입니다.
• EC2 Image Builder, Systems Manager Automation 등으로 패치 및 설정 변경을 자동화하고, 인프라 변경 이력을 관리합니다.

6. 중앙 집중식 로깅 및 모니터링

• GuardDuty(위협 탐지), CloudTrail(계정 활동 로그), VPC Flow Logs(네트워크 트래픽), Security Hub(보안 상태 통합 관리) 등 AWS 서비스로 실시간 이상 징후를 탐지합니다.
• SIEM, 티켓 시스템 등과 연동해 보안 이벤트를 신속하게 대응합니다.

7. 백업 및 복구 프로세스 구현 및 테스트

• 백업은 논리적으로 격리된 WORM(Write Once Read Many) 방식으로 저장하고, 여러 계정에 복사해 복구 가능성을 높입니다.
• AWS Backup, Elastic Disaster Recovery 등으로 백업 정책을 중앙 관리하고, 정기적으로 복구 테스트를 실시합니다.

8. 사고 대응 계획 수립 및 연습

• 실제 사고 발생 전 시뮬레이션을 통해 대응 프로세스의 효과성을 검증합니다.
• AWS Incident Response 시뮬레이션, CIRT 플레이북 등으로 팀의 대응 역량을 강화합니다.

9. 자체 점검(Self-assessment) 수행

• Well-Architected Tool, Security Hub 등으로 AWS 계정과 워크로드의 보안 상태를 정기적으로 점검하고, 위험 요소를 개선합니다.
• 보안 커뮤니티에서 관리하는 최신 베스트 프랙티스 기준을 적용합니다.

10. 보안 가드레일 및 자동화 대응

• EventBridge, Lambda 등으로 보안 정책 위반 시 자동으로 조치가 이루어지도록 설정합니다.
• 자동화된 대응으로 보안팀의 업무 효율성을 높이고, Mean Time To Repair(MTTR)를 단축합니다.

 

참고

• GPT
• https://github.com/aws-samples/aws-incident-response-playbooks/blob/master/playbooks/IRP-Ransomware.md
• https://d1.awsstatic.com/psc-digital/2022/gc-200/security-ransomware-ebook/Security-Ransomware-eBook.pdf
• https://docs.aws.amazon.com/whitepapers/latest/ransomware-risk-management-on-aws-using-nist-csf/event-detection.html
• https://github.com/guardicore/monkey?tab=readme-ov-file

 

결론

제일 중요한건 백업이다! 검증방식은 좀더 공부가 필요할듯