이원영 기자
세계 최대 규모 보안 이벤트인 블랙햇 USB 2024(Black Hat USA 2024)에서 아쿠아 시큐리티(Aqua Security) 연구팀이 AWS 6개 서비스에서 계정 탈취, 원격 코드 실행, AI 데이터 조작, 기밀 정보 유출 등이 발생할 수 있는 심각한 취약점이 있었다고 발표했다.
연구팀 발표는 현지 시간으로 8월 7일 오전 그림자 리소스를 통한 AWS 계정 침해라는 제목으로 진행됐다. 연구팀에 따르면 이번 취약점은 6가지(CloudFormation, Glue, EMR, SageMaker, ServiceCatalog, CodeStar) 서비스를 사용할 때 예측 가능한 명명 체계로 S3 버킷이 자동 생성되는 게 문제였다고 한다.
악의적인 공격자가 클라우드포메이션 등 서비스에서 사용되는 이름으로 미리 S3 버킷을 생성해 놓으면 나중에 사용자가 서비스에서 사용할 파일을 업로드할 때 공격자의 S3 버킷에 배치되어 공격자가 자유롭게 접근할 수 있게 된다. 예를 들어 클라우드포메이션 템플릿 파일을 업로드한 경우 공격자는 템플릿 파일에 저장된 기밀 정보를 훔칠 수 있을 뿐 아니라 템플릿 파일을 편집해 백도어를 삽입하는 것도 가능했다.
연구팀은 S3 버킷 자동 생성에 있어 AWS 계정 ID나 계정에서 공통 사용되는 해시가 사용되는 점을 고려해 이런 식별자를 비밀로 유지하는 것에 대한 중요성을 강조하고 있다. 또 이번 취약점이 악용된 경우 계정이 탈취될 가능성은 S3 버킷을 사용한 사용자 권한 수준에 따라 달라졌기 때문에 사용자에게 역할을 할당할 때 권한을 최소화하는 것도 중요하다.
취약점은 지난 2월 AWS 보안 팀에 보고됐으며 6월까지 모든 취약점이 수정됐다. AWS는 이 발표에 대해 이미 문제가 해결됐고 모든 서비스는 예상대로 작동하고 있으며 사용자 측에서의 대응은 필요 없다고 언급했다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
정용환 기자
