OCI 계정 탈취 (ATO : Account Take-over)를 보호하기 위한 방법

최근, OCI 뿐만 아니라 각종 클라우드 계정에 대한 해킹/탈취 사례가 빈번하게 일어나고 있습니다.

 

각 CSP 뿐만 아니라, 저희 OCI에서도 날이 갈수록 진화하는 공격 수법에 대응하기 위해 여러가지 방법을 고민하고 있고,

이에 대한 대응책을 마련하고 있습니다.

 

최근 뉴스 기사에 따르면, 아래와 같은 문구를 쉽게 확인하실 수 있습니다.

 

"A씨는 자신이 사용하는 클라우드 서비스 사업자로부터 약 3억원에 이르는 비용을 청구 받았다. 청구서에는 자신이 사용이 사용하지 않은 서비스 내용이 가득차 있었다. A씨는 자신의 계정이 탈취된 것을 파악했다.

클라우드 서비스 계정을 탈취당한 뒤 자신이 사용하지 않은 서비스 비용을 청구받는 피해 사례가 급증하고 있다. 짧은 시간, 세계 각지에서 탈취 계정을 집중 이용하는 수법으로 곧바로 피해를 파악하기 어려워 사용자의 각별한 주의가 요구된다.

공격자는 클라우드 서비스 계정을 탈취, 비트코인 채굴 등을 위한 컴퓨팅을 단기간 집중 사용한다. 서울, 일본, 미국, 프랑스 등 세계 각국에서 동시 다발적으로 접속이 이뤄진다. 이에 짧은 시간이지만 서비스 이용 비용이 눈덩이처럼 불어난다. 피해 금액은 적게는 수십만 원대부터 많게는 수억원대에 이른다.

클라우드 서비스 아이디와 연동된 이메일 계정 해킹 등을 통해 계정을 탈취 사례가 많다.

...(중략)"

 

이렇게, 날로 진화하는 계정 탈취의 공격 유형은 아래와 같이 크게 구분할 수 있습니다.

 

1. 자격 증명 크래킹(Credential cracking): 악의적인 행위자가 피해자의 사용자 이름 또는 이메일에 액세스할 때 발생합니다. 이 자격 증명 크래킹이 꽤 쉽게 발생하는 이유는 사람들이 여러 곳에서 이메일 주소를 사용하고 여러 웹 사이트에서 동일한 사용자 이름을 자주 사용하기 때문입니다. 악의적인 해커는 봇을 이용해 가장 일반적으로 사용되는 암호와 일반적인 구문의 다양한 조합을 자동으로 시도하여 액세스합니다.
2. 자격 증명 스터핑(Credential stuffing): 가장 일반적인 공격 기법 중 하나이며 현재 발생 빈도가 많아지고 있습니다. 이 시나리오에서 악의적인 사용자는 입수한 많은 사용자 이름과 암호에 액세스합니다. 그런 다음 봇 공격으로 도용한 자격 증명을 여러 웹 사이트에 "스터핑(stuffing)" 프로세스를 자동화여 계정 탈취를 시도합니다. 많은 사용자들이 동일한 로그인 정보를 여러 사이트에서 사용한다는 점을 노린 것이므로 성공률이 높습니다. 액세스 정보가 확보되면 사이버 범죄자는 구매하고, 로열티 포인트를 사용하거나 다른 계정으로 자금을 전송합니다.
3. 암호 스프레이(Password spray): 알려진 사용자와 암호를 침해하는 자격 증명 크래킹 및 자격 증명 스터핑과 달리 이 기법은 일반적인 ATO 방어 조치를 피해 알려지지 않은 사용자를 대상으로 공격합니다. 여기에서 악의적인 공격자는 봇 공격을 사용하고 웹 사이트를 선택하여 일반적이거나 알려진 사용자 이름과 "password123" 또는 "123456"과 같은 로그인 정보로 여러 차례 시도합니다. 이 기법은 일반적으로 3~5회 실패 후 잠금이 트리거되기 때문에 로그인에 실패할 경우 다른 계정 이름을 사용하여 다시 시도하게 됩니다.
4. SIM 스왑 공격: 악의적인 해커가 사회공학적(social engineering) 기법으로 합법적인 서비스를 악용하여 사용자의 SIM 카드를 교체할 때 발생합니다. 피해자의 휴대전화를 인계함으로써 해커는 인증 코드를 가로채고 사기성 트랜잭션을 확인할 수 있습니다.
5. 피싱 공격: 범죄자가 사람들을 속여 이메일, 문자 메시지 또는 소셜 미디어 메시지를 통해 로그인 인증 정보, 은행 계좌 정보, 주민등록번호 또는 기타 민감한 데이터 등의 개인 정보를 공개하도록 만드는 일종의 소셜 엔지니어링 공격입니다.
6. 키로깅, 메이지카트, 스키밍 및 기타 형태의 클라이언트 측 맬웨어: 악의적인 행위자가 온라인 결제 양식에 악성 스크립트를 주입하여 크리덴셜을 훔칩니다. 피해자가 크리덴셜 및 신용 카드 정보를 입력하면 해당 스크립트가 데이터를 공격자에게 전송하고, 공격자는 이 정보를 사기에 사용하거나 다른 범죄자에게 판매할 수 있습니다.
7. 중간자(MitM) 공격: 공격자가 데이터 통신 시 정상적으로 연계된 두 당사자 사이에 자신을 프록시로 삽입하여 메시지 또는 데이터 트랜잭션을 가로채는 공격입니다. 이를 통해 공격자는 양 당사자의 정보 및 데이터 전송 내용을 "도청"하고 로그인 인증 정보 또는 기타 개인 정보를 수집할 수 있습니다.

위와 같은 공격 유형들을 방어하기 위해, 최근에는 여러가지 SASE (보안 서비스 서비스 엣지), ZTNA (Zero Trust Network Access) 등 여러가지 솔루션 및 대안들을 제안하고 있습니다.

 

저희 OCI에서는, 위와 같은 공격 유형들을 방어하기 위해, 아래와 같은 방법을 권고 드립니다.

 

1. Identity Management & Security Posture 설정  

• OCI IAM 설정을 통한 계정 통합을 진행하고, 계정 별 권한을 각각 다르게 부여합니다. IAM 사용자는, 기본적으로 Tenancy 계정이 아닌 admin/user 계정의 경우 OCI에 접근할 수 있는 최소한의 권한만 가지게 됩니다.
• Security Posture 중 SSO (Single Sign-on), MFA (Multi Factor Authentication) 설정을 통해, 보다 계정을 안전하게 보호합니다. 
• 아울러, Identity & Security 메뉴 중 Network Perimeter 설정을 통해, 사용자의 특정 IP 대역에서만 접속을 허용할 수 있도록 설정합니다.

1. Compartment 분리

• Zero-trust 를 위한 Micro-services Architecture, micro-segmentation 구성을 위해 Workload 별 Compartment를 분리하여 구성합니다.
• Root compartment 외에 생성되는 child compartment나, 별도의 compartment의 경우 지정하는 admin/user 계정만 접근할 수 있도록 설정할 수 있습니다. (Tenancy account는 모든 compartment/resource에 접근 가능합니다) 
• 위와 같이 설정할 경우, 특정 사용자만 특정 compartment에 접근 가능하도록 설정함으로써 계정 관리에 대한 보안적인 이점을 가져갈 수 있습니다.

1. Policy 구성

• Zero-trust 를 위한 각 사용자 별 그룹을 구성하고, 사용자 별 Policy를 설정하여, 특정 admin/user 사용자만 특정 compartment 및 Resource에 접근할 수 있도록 정책을 구성합니다.

1. Edge WAF 설정

• Edge WAF 설정을 통하여, Tenancy를 보다 안전하게 보호할 수 있습니다.
• Bot Management 기능을 통해 Bot 으로부터 유입되는 공격 트래픽을 Mitigation 할 수 있습니다. Bot Management 에 포함된 기능은 다음과 같습니다 : JavaScript Challenge, CAPTCHA Challenge, Device Fingerprint Challenge, Address Rate Limiting Challenge
• WAF Protection Rule을 통해 OWASP TOP 10을 포함한 여러가지 Protection Rule을 설정하고, 보다 Tenancy를 안전하게 보호할 수 있습니다.
• Threat Intelligence 를 통해 매일 업데이트 되는 Source IP를 업데이트 하고, Tenancy를 안전하게 보호할 수 있습니다

• WAF의 경우 ATO 활동을 탐지하도록 설계된 것은 아니지만, WAF 기능 중 Bot Management 기능을 통하여 계정 탈취 공격을 식별하고 차단하는 활동이 가능해집니다. 
• 공격자는 여러 봇 공격을 통해 공격 규모를 확대하고, MFA를 우회하여 계정 탈취를 하게 만들 수 있습니다.
• 자동화는 Credential Stuffing 이든 피싱 공격이든 관계없이 할당된 작업을 수행하기 위해 봇을 대량으로 배포할 수 있음을 의미합니다.
• Bot Management 기능은 가짜 계정 생성, 싹쓸이 구매, 스크래핑 및 크리덴셜 정보의 디지털 스키밍과 같은 악성 활동에 대해 Mitigation을 제공합니다.
• 또한 Bot Management 기능은 디지털 스키밍 및 기타 브라우저 기반 JavaScript 취약점 등의 클라이언트 측 공격에 대한 경보를 제공하여, 악성 봇을 탐지하고 계정 관련 공격을 보호하는데 도움을 줄 수 있습니다.

마지막으로, GitHub 같은 Repository에 Credential을 저장하는 행위는 가급적 지양해야 합니다.

 

기타, OCI White Zero-trust Network Access를 위해 아래 문서를 참고하실 수 있습니다.

https://www.oracle.com/a/ocom/docs/whitepaper-zero-trust-security-oci.pdf

 

위와 같은 방법으로, 사용하고 계시는 OCI를 보다 안전하게 보호하고, 위협으로부터 방지할 수 있겠습니다.

 

*출처

https://www.f5.com/ko_kr/glossary/account-takeover-fraud

계정 탈취(ATO)란?

https://dynamics.microsoft.com/ko-kr/ai/fraud-protection/account-takeover/

계정 탈취 방어 | Microsoft Dynamics 365

https://blogs.oracle.com/cloud-infrastructure/post/securing-identity-posture

Oracle Access Governance: Securing the identity posture

https://docs.oracle.com/en-us/iaas/Content/WAF/EdgePolicyResources/legacy_waf.htm

Edge Policies

https://www.oracle.com/a/ocom/docs/security/oci-iam-emergency-access-accounts-v1.8.pdf

https://blogs.oracle.com/cloud-infrastructure/post/govern-access-oci-iam-network-perimeters-sources

Govern public access to OCI resources using OCI IAM network perimeters and network sources.

https://www.etnews.com/20220510000076

끊이지 않는 클라우드 계정 탈취, 방심하면 수억원 날벼락

https://www.dailysecu.com/news/articleView.html?idxno=148456