AWS 기술 블로그

AWS 위협 인텔리전스(Threat Intelligence)가 위협 행위자를 차단하는 방법

본 게시글은 AWS Security Blog에 게시된 ‘How AWS threat intelligence deters threat actors’을 한국어 번역 및 편집하였습니다.

Amazon Web Services(AWS)는 클라우드 인프라 전반에 걸쳐 매일 수백 건의 사이버 공격을 탐지하고 성공적으로 막아내고 있습니다. 대부분 눈에 띄지 않는 성공적인 방어는, 글로벌 센서 네트워크와 보안 도구들을 통해 이뤄지고 있다는 점은 중요한 부분입니다. 이러한 기능들을 활용하여 AWS의 네트워크, 인프라, 고객을 대상으로 수행되는 사이버 공격을 더욱 어렵게 만들고, 공격 실행에 비용이 많이 들게 만들고 있습니다. 또한, AWS는 다른 책임 있는 제공업체와 협력하여 그들의 인프라에서 활동하는 위협행위자에 대해 조치를 취함으로써, 인터넷 전체를 더 안전한 곳으로 만들어 가고 있습니다.

글로벌 규모의 위협 인텔리전스를 신속한 조치로 전환하는 것은 보안을 최우선 과제로 삼기 위한 노력의 일환으로 취하는 여러 단계 중 하나입니다. 이 작업은 끝없는 노력이 필요하고 우리의 역량은 지속적으로 개선되고 있지만, 고객과 여러 이해관계자들이 현재 저희가 하고 있는 일과 앞으로 나아가고자 하는 방향에 대해 더 많이 알면 위협을 효과적으로 방어할 수 있다고 믿는 지점에 도달했습니다.

AWS 클라우드를 이용한 글로벌 규모의 위협 인텔리전스

클라우드 제공업체 중 가장 큰 퍼블릭 네트워크 공간을 보유한 AWS의 규모는 인터넷상의 특정 활동을 실시간으로 파악할 수 있는 독보적인 인사이트를 제공하고 있습니다. 몇 년 전, AWS의 수석 보안 엔지니어인 니마 샤리프 메르(Nima Sharifi Mehr)는 이러한 규모를 활용하여 위협에 대응하고 정보를 수집하기 위한 새로운 접근 방식을 모색했습니다. 해당 팀은 매드팟(MadPot)이라고 이름 붙인 내부 도구들을 구축하기 시작했고, 얼마 지나지 않아 아마존 보안 연구원들은 고객에게 영향을 미칠 수 있는 수천 개의 디지털 위협을 성공적으로 찾아내고, 연구 및 차단할 수 있었습니다.

매드팟은 두 가지 목적을 달성하기 위해 구축되었습니다. 첫째, 위협활동을 발견 및 모니터링 하고 둘째, 가능한 유해한 활동을 중단시켜 AWS 고객과 다른 사람들을 보호하는 것입니다. 매드팟은 센서들의 모니터링과 자동화된 대응 기능을 갖추도록 정교한 시스템으로 성장했습니다. 이 센서는 전 세계에서 매일 1억건 이상의 잠재적인 위협 행위의 관찰과 조사를 하였고, 이 중 약 50만건의 활동이 악성으로 분류될 수 있는 수준까지 발전했습니다. 이렇게 방대한 양의 위협 인텔리전스 데이터를 수집하고, 상관관계를 분석하여 인터넷에서 발생하는 잠재적으로 악의적인 활동에 대해 실행가능한 인사이트를 제공합니다. 대응 기능은 식별된 위협으로부터 AWS 네트워크를 자동으로 보호하고, 다른 회사의 인프라에서 악의적인 활동에 사용되고 있는 외부 통신에 대해 응답을 제공하여 통신을 포착합니다.

이러한 종류의 시스템은 허니팟(위협행위자의 행동을 포착하기 위해 만들어진 유인책) 으로 알려져 있으며, 오랫동안 유용한 관찰 및 위협 인텔리전스 도구로 사용되어 왔습니다. 하지만 매드팟을 통한 접근 방식은 AWS 의 거대한 규모와 시스템의 자동화를 통해 고유한 인사이트를 만들어냅니다. 위협행위자의 행동을 관찰하고 조치를 취할 수 있도록 유인하기 위하여 저희는 시스템을 그럴듯 한 목표대상으로 구성된 것처럼 보이도록 설계했습니다. 통제되고 안전한 환경에서 실제 시스템을 모방하면 악의적인 활동을 차단하고 고객을 보호하는 데 즉시 적용할 수 있는 정보와 인사이트를 얻을 수 있습니다.

물론 위협행위자는 이러한 시스템이 있다는 것을 알고 있기 때문에 수법을 자주 변경하고 있으며, 저희 또한 마찬가지로 하고 있습니다. 매드팟이 지속적으로 동작을 변경시키고 발전시켜 위협행위자의 전술, 기법, 절차(TTP: Tactics Techniques, Procedures) 의 활동에 대한 가시성을 지속적으로 확보할 수 있도록 많은 투자를 하고 있습니다. 이러한 인텔리전스를 AWS ShieldAWS WAF 와 같은 AWS 도구에서 빠르게 적용하여 자동화된 대응을 시작함으로써 많은 위협을 선제적으로 완화할 수 있었습니다. 필요한 경우, Amazon GuardDuty 를 통해 위협 데이터를 제공하고, 고객은 자체 도구와 자동화로 대응을 할 수 있게 됩니다.

공격 시도에 단지 3분, 지체할 시간이 없어요

매드팟 시뮬레이션 워크로드에서 새로운 센서가 실행된 후 90초 이내에 인터넷에서 스캐닝에 의해 해당 워크로드가 발견되는 것을 확인 할 수 있었습니다. 거기서부터 침투하여 공격을 시도하기까지 평균적으로 3분 밖에 걸리지 않았고, 이러한 워크로드가 외부에 알려지거나 또는 위협 공격자들이 쉽게 인지할 수 있는 노출된 시스템의 일부가 아니었다 라는 점을 고려하면 놀라울 정도로 짧은 시간입니다. 이는 위협 공격자들이 다음 공격 대상을 찾기 위해 얼마나 많은 스캔이 이루어지고 있고, 높은 수준의 자동화가 이뤄지고 있는지를 명확하게 보여줍니다.

이러한 시도가 진행됨에 따라 매드팟 시스템은 텔레메트리(역자 주: 원격으로 정보를 수집하고 전송하는 기술), 코드, 네트워크 연결 시도 그리고 위협행위자의 행동에 대한 기타 주요 데이터 포인트를 분석합니다.

공격 차단을 통해 평소처럼 비즈니스를 유지

심층적인 위협 인텔리전스 분석도 매드팟안에서 이뤄지고 있습니다. 이 시스템은 샌드박스 환경에서 캡처한 악성코드를 실행하고, 서로 다른 기술에서 얻은 정보를 위협패턴으로 연결하는 등의 다양한 작업을 수행합니다. 수집된 시그널에서 발견된 이벤트에 대한 충분한 신뢰도를 제공하면, 시스템은 위협행위자의 리소스를 AWS 네트워크에서 분리하는 등 가능한 위협을 차단하기 위한 조치를 수행합니다. 또는 CERT(Computer Emergency Response Team), 인터넷 서비스 제공업체(ISP), 도메인 등록기관, 정부 기관등 광범위한 커뮤니티와 해당 정보를 공유하여 식별된 위협을 차단하는데 도움을 줄 수 있는 작업들이 수반되고 있습니다.

인터넷 주요 업체로서 AWS 는 가능한 보안 커뮤니티를 돕고 협력할 책임이 있다고 생각하며, 보안 커뮤니티안에서의 정보 공유는 오랜 전통이자 AWS 가 오랫동안 적극적으로 참여해 온 분야입니다.

2023년 1분기:

·      봇넷 방지를 위해 55억개의 인터넷 위협 센서의 시그널과 액티브한 네트워크 조사를 통한 15억개 시그널을 사용

·      130만건 이상의 봇넷 기반의 아웃바운드 디도스(DDoS) 공격 차단

·      약 1,000 개의 봇넷 C2 호스트를 포함하여, 보안 인텔리전스 데이터를 관련 호스팅 업체 및 도메인 등록기관과 공유

·      외부기관과 협력하여 23만건의 L7/HTTP(S) DDoS 공격의 소스를 역추적하고 차단

매드팟(MadPot)의 효과에 대한 세가지 사례 : 봇넷, 샌드웜(Sandworm) 및 볼트 타이푼(Volt Typhoon)

최근 매드팟은 free.bigbots.[tld] (최상위 도메인 생략) 도메인을 명령 및 제어 (C2) 도메인으로 사용하는 분산 서비스 거부(DDoS) 봇넷의 의심스러운 시그널을 탐지, 수집 및 분석했습니다. 봇넷은 컴퓨터, 홈 라우터, 사물 인터넷(IoT)장치등 일반적인 시스템으로 이전에 악성코드에 감염되어, 특정 공격 대상에 대량의 네트워크 패킷을 플러딩 하는 명령을 기다리고 있었습니다. 이 C2 도메인의 봇은 초당 약 8억개의 패킷을 전송하는 속도로 시간당 15-20 건의 DDoS 공격을 실행했습니다.

매드팟이 이 위협을 파악하는 과정에서, 봇의 요청이 매우 많은 C2 서버에서 사용하는 IP 주소 목록을 발견했습니다. 저희 시스템은 해당 IP 주소가 AWS 네트워크에 접근하지 못하도록 차단하여 AWS 에서 감염된 고객의 컴퓨팅 노드가 해당 공격에 참여할 수 없도록 했습니다. 그런 다음 AWS 자동화를 통해 수집된 인텔리전스를 이용하여 C2 시스템을 호스팅하는 회사와 DNS 이름을 담당하는 등록기관에 연락했습니다. C2 를 호스팅하던 업체는 48시간 이내에 인프라를 오프라인 상태로 전환했고, 도메인 등록기관은 72시간 안에 DNS 이름을 제거 했습니다. DNS 레코드를 제어할 수 없었기 때문에 공격자는 C2를 다른 네트워크 위치로 이동시켜 쉽게 되살릴 수 없었습니다. 3일도 채 되지 않아, 광범위하게 분산된 악성코드는 이를 작동하는데 필요한 C2 인프라가 동작할 수 없게 되었고, 인터넷 전체 시스템에 영향을 미치는 DDoS 공격은 중단되었습니다.

매드팟은 클라우드 인프라뿐만 아니라 다양한 종류의 인프라를 표적으로 삼고 있는 위협행위자가 이용하는 악성코드, 포트, 기법등을 탐지하고 이해하는데 효과적 이었고, 따라서 매드팟을 통해 감염된 라우터의 봇넷을 관리하는데 사용되는 악성코드인 사이클롭스 블링크(Cyclops Blink)와 연관된 샌드웜이라는 위협 그룹을 식별할 수 있었습니다. 샌드웜은 워치가드(WatchGuard) 네트워크 보안 어플라이언스의 취약점을 악용하려고 시도했습니다. 페이로드를 면밀히 조사한 결과, IP 주소 뿐만 아니라 AWS 의 고객 침해 시도와 관련하여 연관된 다른 고유 속성들도 확인했습니다. 다양한 서비스를 모방하고 높은 수준의 상호작용을 하는 매드팟의 고유한 기능 덕분에 공격자가 표적으로 삼은 서비스 및 공격코드 명령 전송 등 샌드웜 캠페인에 대한 추가 세부정보를 수집할 수 있었습니다. 이러한 인텔리전스를 사용하여 고객에게 정보를 알렸고, 고객은 즉시 취약점을 해결하기 위한 조치를 취했습니다. 이와같은 신속한 조치가 없었다면, 공격자는 고객 네트워크에서 거점을 확보하고 고객이 서비스를 제공하는 다른 조직에도 접근할 수 있었을 것입니다.

마지막 사례로, 매드팟 시스템은 중요 인프라 조직에 은밀하고 표적화된 사이버 스파이 캠페인에 집중한 것으로 알려져 있고, 국가후원을 받는 볼트 타이푼을 정부 사법 당국이 식별하고 차단할 수 있게 도움을 주었습니다. 매드팟 내부 조사를 통해 위협행위자에 의해 기록된 페이로드에 고유한 시그너처 패턴을 확인했고, 이를 통해 서로 관련이 없어 보이는 볼트 타이푼의 활동을 식별할 수 있었습니다. 매드팟의 전체 활동 이력을 저장하고 있는 데이터 레이크를 사용하여 수년간의 데이터를 매우 빠르게 검색할 수 있었고, 결국 2021년 8월까지 페이로드로 전송되었던 이 고유의 시그너처 패턴의 다른 사례를 찾아낼 수 있었습니다. 이전 요청은 겉으로는 정상처럼 보였기 때문에 정찰 도구와 관련된 것으로 추정했습니다. 그 결과 위협행위자가 최근 몇 달 동안 사용했던 다른 IP 주소를 확인할 수 있었습니다. 저희는 정부 당국과 조사 결과를 공유했고, 어렵게 확보한 연결 정보는 미국 정부와 CISA(Cybersecurity and Infrastructure Security Agency)의 조사와 최종 판단에 도움이 되었습니다. 저희의 작업과 다른 협력기관과의 조사로 2023년 5월 사이버 보안 권고문이 발표되었습니다. 현재까지도 미국 네트워크 인프라를 조사하는 공격자를 지속적으로 관찰하고 있으며, 관련 정부 사이버 및 법 집행 기관과 세부 정보를 계속 공유하고 있습니다.

글로벌 규모의 위협 인텔리전스를 AWS 고객과 보다 더 많은 곳에 제공

AWS는 보안을 최우선으로 생각하며, 보안 문제로 인해 비즈니스가 중단되는 것을 방지하기 위해 최선을 다하고 있습니다. 저희는 인프라와 데이터를 보호하기 위해 노력하면서 글로벌 규모의 인사이트를 통해 대규모의 보안 인텔리전스를 실시간으로 수집하여 자동으로 보호할 수 있도록 지원합니다. AWS 보안팀과 매드팟은 가능한 위협이 가장 크게 영향을 미칠 수 있는 곳에서 위협을 차단하며, 이러한 작업은 대부분 보이지 않는 곳에서 이뤄집니다. 앞서 설명한 봇넷 사례에서 볼 수 있듯이, AWS는 글로벌 규모의 위협 인텔리전스를 사용하고 악의적인 활동에 직접적인 영향을 받는 기관과 협력하여 위협을 차단합니다. 저희는 매드팟에서 얻은 결과를 AWS WAF, AWS Shield, AWS Network FirewallAmazon Route 53 Resolver DNS Firewall 과 같은 예방적 서비스와 탐지 및 대응 서비스의 Amazon GuardDuty, AWS Security Hub, Amazon Inspector 의 보안 도구에 통합하고, 필요한 경우 보안 인텔리전스를 제공하여 고객이 직접 자체 대응 및 자동화를 구축할 수 있습니다.

하지만 저희의 작업은 AWS 자체의 한계를 훨씬 뛰어넘어 보안 보호 및 개선작업을 확대하고자 합니다. 전 세계 보안 커뮤니티 및 협력 기업과 긴밀히 협력하여 위협 행위자를 격리하고 제거합니다. 올해 상반기에는 약 2,000개의 봇넷 C2 호스트에 대한 인텔리전스를 관련 호스팅 제공업체 및 도메인 등록기관과 공유하여 봇넷 제어 인프라를 중단시켰습니다. 또한, 외부 파트너와 협력하여 약 230,000 건의 Layer 7 디도스 공격의 발원지를 추적하고 제거했습니다. 방어 전략의 효과는 위협 인텔리전스를 신속하게 수집, 분석 그리고 조치할 수 있는 능력에 크게 좌우됩니다. 이러한 조치를 취함으로써, AWS 는 일반적인 디도스 방어를 넘어 저희 인프라 너머로 보호 기능을 확장하고 있습니다.

매드팟과 현재 운영 중인 일부 기능에 대해 정보를 공유할 수 있게 되어 기쁘게 생각합니다. 보다 자세한 내용은 가장 최근에 열린 re:Inforce 컨퍼런스에서 “How AWS threat intelligence becomes managed firewall rules” 발표된 이 프리젠테이션과, 금일 게시된 포스팅Meet MadPot, a threat intelligence tool Amazon uses to protect customers from cybercrime” (MadPot을 처음 만든 AWS 보안 엔지니어에 대한 유용한 정보가 포함되어 있음) 를 참고하세요. 앞으로, 위협 인텔리전스 및 대응 시스템을 개발하고 개선하여 AWS 와 인터넷 전체를 더욱 안전한 곳으로 만들기 위해 더 많은 소식을 전해드릴 예정입니다.

이 게시물에 대한 의견이 있으면 아래의 코멘트 섹션에 의견을 남겨주시고, 해당 포스팅에 대한 궁금한 점이 있으면, AWS Support 에 문의주시면 됩니다.

Kwanjin Jung

Kwanjin Jung

보안 스페셜리스트로 AWS 환경에서 안전한 클라우드 보안 환경을 만들기 위해 고민하고 있는 솔루션 아키텍트 입니다. 시스템 및 네트워크 보안부터 악성코드,취약점 분석가의 길을 걷다 클라우드의 매력에 빠져 다양한 클라우드 서비스에 빠져 살고 있습니다.