’훈련용’으로 만든 앱은 기업에서 관리 소홀한 경향
공격 표면 확장하는 결과로 이어져

[보안뉴스 김형근 기자] 직원을 위한 보안 교육용으로 제작된 애플리케이션들이 실제 클라우드 환경에서 보안 구멍이 되고 있다는 조사 결과가 나왔다.

이스라엘 보안 기업 펜테라랩스(Pentera Labs)는 OWASP쥬스샵(OWASP Juice Shop)이나 DVWA 등 연습용이라서 의도적으로 취약하게 설계된 앱들이 격리되지 않은 채 공용 인터넷에 노출돼 있다고 최근 발표한 보고서에서 지적했다.


조사 결과, 약 2000개의 노출된 훈련용 인스턴스 중 60%가 AWS, 애저, 구글클라우드플랫폼 등 고객이 직접 관리하는 클라우드 인프라에서 작동 중인 것으로 확인됐다. 많은 경우 이 앱들은 과도한 권한을 가진 클라우드 ID와 연결돼 있어, 공격자가 전체 인프라로 이동할 수 있는 발판이 된다는 것이 문제다.

분석 대상의 약 20%에선 이미 암호화폐 채굴기, 웹셸(Webshell) 등 공격자가 심어놓은 악성 아티팩트가 발견됐다. 이는 해커들이 훈련용 앱의 취약점을 이용해 이미 대규모로 자동화된 공격을 수행하고 있음을 보여준다.

이러한 보안 태만은 일반 중소기업뿐만 아니라 포춘 500대 기업과 팔로알토네트웍스, 클라우드플레어 등 주요 보안 기업들에서도 포착됐다.

훈련용 환경은 흔히 ‘저위험’ 자산으로 분류돼 표준 보안 모니터링이나 액세스 리뷰 대상에서 제외되는 경향이 있다. 한번 설치된 테스트 환경이 목적 달성 후에도 폐기되지 않고 방치되면서 해커들의 은신처가 되고 있는 것이다. 공격자들은 제로데이 취약점 없이도 기본 설정과 알려진 약점만으로 클라우드 내부망에 침투할 수 있었다.

‘훈련용’이라는 꼬리표는 결코 실제 시스템의 위험을 줄여주지 않으며, 오히려 공격 표면을 넓히는 꼴이 된다. 기업들은 테스트 환경을 격리하고, 사용하지 않는 자산은 정확하게 식별해 제거하는 등 철저한 수명 주기 관리에 나서야 한다고 펜테라랩스는 권고했다. .

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>