불안정한 IP 탈취에 대한 클라우드 보호 전략

클라우드 컴퓨팅은 비즈니스 운영에 혁신을 가져왔지만 새로운 보안 문제를 야기하기도 합니다. 이러한 문제 중 하나는 공격자가 트래픽을 가로채고 악의적인 활동을 수행하기 위해 악용할 수 있는 취약점인 댕글링 IP 탈취의 위험입니다. 이 문서에서는 댕글링 IP의 특성, 보안에 미치는 영향, 이러한 위험을 완화하기 위한 전략에 대해 설명합니다.

IP 주소 탈취

이 논의와 관련된 IP에는 두 가지 유형이 있습니다:

1. Elastic IP(EIP): AWS와 같은 클라우드 서비스 제공자가 제공하는 정적 IPv4 주소입니다. EIP는 사용자 계정의 모든 인스턴스와 연결할 수 있으며 필요에 따라 재할당할 수 있습니다. 첫째, 인스턴스에서 연결이 해제되었지만 IP 주소 풀로 반환되지 않은 경우, 더 이상 사용 중이 아니지만 계정에 여전히 할당되어 있기 때문에 댕글링된 것으로 간주됩니다. EIP는 풀로 다시 릴리스될 때에도 댕글링될 수 있지만 DNS 레코드가 계속 가리키고 있습니다.
2. 임시 IP: 인스턴스가 시작될 때 인스턴스에 할당되는 임시 공인 IP입니다. 인스턴스가 중지되거나 종료되면 임시 IP는 풀로 다시 릴리스됩니다. 그러나 DNS 레코드가 현재 해제된 IP를 가리키는 경우, 이 레코드는 매달린 참조가 되어 탈취에 취약해집니다.

탄력적 IP와 임시 IP를 구분하는 것은 위험 환경을 이해하고 적절한 보안 조치를 구현하는 데 매우 중요합니다.

위협 환경

댕글링 IP는 심각한 보안 위험을 초래합니다. 공격자는 이러한 취약점을 악용하여 피싱 캠페인을 시작하거나 멀웨어를 배포하거나 민감한 데이터를 탈취할 수 있습니다. 클라우드 서비스에 대한 신뢰가 내재되어 있기 때문에 사용자는 이러한 IP의 악의적인 사용을 의심하지 않아 사이버 공격의 효과적인 벡터가 될 수 있습니다. 조직에 미치는 영향은 평판 손상뿐만 아니라 규제에 따른 처벌과 상당한 금전적 손실까지 포함하므로 강력한 보안 조치가 매우 중요하다는 점을 강조합니다.

공격자에 의한 잠재적 익스플로잇

댕글링 Elastic IP 악용하기

공격자가 매달린 Elastic IP를 악용하려면 일반적으로 여러 단계가 필요하며 특정 조건이 충족되어야 합니다:

1. 취약점 발견: 공격자는 매달려 있는 EIP를 식별하는 것으로 시작합니다. 이러한 식별은 정찰 또는 우연한 발견을 통해 이루어질 수 있습니다.
2. 계정 액세스 권한 확보: 공격을 진행하려면 공격자는 매달린 EIP를 보유한 대상 AWS 계정에 일정 수준의 액세스 권한을 확보해야 합니다. 여기에는 계정 자격 증명을 손상시키거나, 지나치게 허용적인 ID 및 액세스 관리(IAM) 역할을 악용하거나, 계정에 진입 지점을 제공하는 기타 보안 취약점을 발견하는 것이 포함될 수 있습니다.
3. EIP 이전 요청: 계정에 액세스할 수 있는 공격자는 EIP를 자신의 AWS 계정으로 전송하도록 요청할 수 있습니다. 이 단계는 공격자가 클라우드 서비스 구성을 조작하여 EIP를 합법적인 소유자로부터 리디렉션해야 하므로 매우 중요합니다.
4. 악의적인 활동: 전송이 성공하면 공격자는 이제 제어되는 댕글 EIP를 자신이 소유한 인스턴스와 연결합니다. 이러한 제어를 통해 원래 관련된 서비스의 신뢰할 수 있는 평판을 활용하여 트래픽을 가로채거나 조작하거나 데이터 유출에서 멀웨어 배포에 이르는 다양한 사이버 공격을 시작할 수 있습니다.

임시 IP 악용하기

공격자가 피해자의 클라우드 계정에 액세스할 필요가 없기 때문에 댕글링 임시 IP를 악용하는 것은 탄력적 공격에 비해 비교적 간단한 과정을 거칩니다. 공격자가 이러한 취약점을 사용하는 방법은 다음과 같습니다:

1. 취약점 식별: 공격자는 임시 IP가 방치된 것을 발견합니다. 이는 표적 정찰을 통해 또는 우연한 기회에 달성할 수 있습니다.
2. 인스턴스 시작 시도: 그런 다음 클라우드 계정에서 새 인스턴스를 시작하여 클라우드의 IP 할당 시스템에 의해 식별된 댕글링 IP를 할당받기를 희망합니다.
3. 익스플로잇: 획득에 성공하면 공격자는 원래 서비스를 위한 트래픽을 가로채서 조작할 수 있습니다. 공격자는 이제 다양한 악의적인 활동을 시작할 수 있습니다. 이러한 활동은 원래 서비스를 위한 트래픽을 가로채고 조작하는 것부터 피싱 캠페인을 시작하거나 멀웨어를 배포하는 것까지 다양합니다.

마찬가지로, 매달린 Elastic IP는 인스턴스에서 연결이 해제되어 풀로 반환될 때 악용에 취약합니다. 이러한 경우 공격자는 필요한 IP를 얻을 때까지 Elastic IP를 획득하고 해제하기 시작할 수 있습니다.

지식재산권 인수의 위험을 완화하기 위한 전략

IP 탈취와 관련된 위험을 효과적으로 완화하려면 사전 예방적 조치와 자동화된 프로세스를 통합하는 총체적인 접근 방식이 필수입니다. 이 전략을 통해 클라우드 환경의 무결성과 안전성을 강화하여 변종 IP 악용에 대한 강력한 방어 체계를 구축할 수 있습니다.

IP 탈취 위험을 완화하는 모범 사례

다음 보호 조치는 클라우드 보안 아키텍처의 기본 구성 요소로, IP 관련 취약성을 방지하는 첫 번째 방어선 역할을 합니다.

DNS 관리 및 감사
임시 IP와 연결된 리소스를 종료하기 전에 또는 탄력적 IP를 풀에 다시 릴리스할 때 DNS 항목을 제거하여 엄격한 DNS 관리부터 시작하세요. 정기적인 감사 및 클라우드 리소스에 대한 지속적인 모니터링으로 이를 보완하세요. 클라우드 인프라 변경 사항을 실시간으로 파악할 수 있는 자동화된 도구를 사용하면 불안정한 IP를 사전에 식별하고 해결하는 데 큰 도움이 됩니다.

Elastic IP 수명 주기 관리
Elastic IP(EIP)의 할당, 연결, 연결 해제, 해제를 위한 포괄적인 정책을 개발하고 시행하세요. 이러한 정책은 EIP를 즉시 재할당하거나 필요성이 없어지면 해제하여 공격자가 악용할 수 있는 취약점의 창을 닫도록 지시해야 합니다.

액세스 제어: SCP(서비스 제어 정책) 강조하기
액세스 제어 영역에서는 SCP(서비스 제어 정책)의 강력한 기능을 활용하여 조직의 클라우드 인프라 전반에 걸쳐 최소 권한 원칙을 적용하세요. SCP를 사용하면 권한을 중앙에서 제어하여 수행할 수 있는 작업을 정의하고 제한할 수 있으므로 의도하지 않은 EIP가 매달릴 가능성을 줄일 수 있습니다. 예를 들어, ec2:EnableAddressTransfer 동작을 거부하는 SCP를 구현하면 무단 또는 실수로 EIP가 전송되는 것을 방지할 수 있습니다:

이 정책 스니펫은 SCP가 보안 전략의 핵심이 될 수 있는 방법을 보여주는 실질적인 예시로, 이러한 중요한 작업은 엄격하게 통제된 조건에서만 수행되도록 보장합니다. 접근 제어 섹션 내에서 대담하고 독립적인 지점을 만들어 전체 보안 태세에서 차지하는 비중을 보여줌으로써 SCP의 중요성을 강조하는 것이 중요합니다.

교육 및 인식
마지막으로, 직원을 위한 교육 및 인식 프로그램에 투자하여 보안 프레임워크를 강화하세요. 댕글링 IP와 관련된 잠재적 위험과 이러한 위협을 피하기 위한 모범 사례에 대해 잘 알고 있어야 합니다. 종합적인 교육을 통해 보안에 유의하는 문화를 조성하여 기술적 안전장치를 보완할 수 있습니다.

자동화를 통한 보안 강화

유동 IP의 탐지 및 관리를 자동화하면 조직의 보안 태세를 크게 강화할 수 있습니다. 자동화를 통해 잠재적인 취약성에 대한 즉각적인 가시성을 확보하고, 수동 점검을 제거하여 운영 효율성을 개선하며, 신속한 대응을 통해 위험을 완화할 수 있습니다.

조직은 유동 IP와 관련된 위험을 이해하고 강력한 완화 전략을 구현함으로써 잠재적인 보안 침해로부터 자신을 보호하고 클라우드 환경의 무결성과 안전을 보장할 수 있습니다.

댕글링 IP 자동 감지

댕글링 IP를 탐지하는 자동화된 프로세스의 작동 방식은 다음과 같습니다:

1. 이 도구는 DNS 공급자로부터 모든 DNS A 레코드를 검색합니다. 그런 다음 이러한 레코드를 필터링하여 클라우드 서비스 제공업체(예: AWS, GCP 또는 Azure)의 공인 IP 범위와 일치하는 레코드를 식별합니다.
2. 동시에 클라우드 계정 전반의 리소스와 연결된 모든 공인 IP를 가져옵니다. 여기에는 인스턴스, 로드 밸런서 및 기타 관련 서비스가 포함됩니다.
3. 그런 다음 DNS 레코드의 IP 주소를 실제 클라우드 리소스와 연결된 IP 주소와 비교합니다. 활성 DNS 레코드가 있지만 현재 클라우드 리소스와 연결되어 있지 않은 모든 IP는 댕글링 IP 탈취의 잠재적 위험으로 플래그가 지정됩니다.
4. 잠재적인 댕글링 IP가 식별되면 Slack과 같은 사전 정의된 커뮤니케이션 채널을 통해 내부 보안 팀에 알림이 전송됩니다. 이 신속한 알림을 통해 확인된 취약점을 해결하고 보안을 유지하기 위한 신속한 조치가 가능합니다.

댕글링 IP 탐지를 자동화하고 알림 프로세스를 간소화함으로써 조직은 몇 가지 주요 이점을 얻을 수 있습니다:

• 즉각적인 가시성: 보안팀은 잠재적인 취약성에 대한 즉각적인 인사이트를 확보하여 공격자의 공격 기회를 줄일 수 있습니다.
• 효율성 향상: 매달린 IP에 대한 일상적인 검사를 자동화하면 귀중한 리소스를 확보할 수 있으므로 보안 팀은 보다 전략적인 보안 이니셔티브에 집중할 수 있습니다.
• 신속한 대응: Slack과 같은 메시징 플랫폼과의 통합을 통한 간소화된 커뮤니케이션은 보안 팀 간의 신속한 커뮤니케이션과 조정을 촉진하여 위험을 완화하기 위한 신속한 문제 해결 조치를 가능하게 합니다.

결론
댕글링 IP 탈취는 공격자가 트래픽을 가로채고 악의적인 활동을 시작하며 민감한 정보에 액세스할 수 있도록 하여 클라우드 컴퓨팅에서 심각한 보안 위협을 초래합니다. 이 취약점은 제대로 관리되지 않는 탄력적이고 임시적인 IP에서 비롯됩니다. 이러한 위협에 대응하기 위해 조직은 철저한 DNS 관리, 지속적인 클라우드 리소스 감사, 엄격하고 탄력적인 IP 수명 주기 정책, 최소 권한 원칙에 따른 액세스 제어, 포괄적인 직원 교육 등 집중적인 보안 조치를 구현해야 합니다. 댕글링 IP의 탐지 및 관리를 자동화하면 적시에 인사이트를 제공하고 효율성을 높이며 신속하게 위험을 완화할 수 있어 보안이 강화됩니다. 잠재적인 침해로부터 클라우드 인프라를 보호하려면 효과적인 전략과 자동화가 필수적이며, 이를 통해 IP 익스플로잇을 방지하고 클라우드 인프라를 보호할 수 있습니다.

‍

저자 소개
비샬 판차니는 Deriv의 개발 보안 팀 리더입니다. 그는 특히 펜 테스트와 DevSecOps에 관한 한 인터넷 안전에 열정을 가지고 있습니다.

리틱 카라얏은 Deriv의 제품 보안 엔지니어로, 모든 것이 내부에서 어떻게 작동하는지 궁금해합니다. 그는 컴퓨터 기술에 대해 깊이 파고들어 OS/커널과 보안 구현과 같은 기본 구성 요소를 탐구하는 것을 좋아합니다.

‍