2024-09-14 20:20 (토)
클라우드 보안의 새로운 위협…'블링 리브라'의 진화된 공격
상태바
클라우드 보안의 새로운 위협…'블링 리브라'의 진화된 공격
  • 길민권 기자
  • 승인 2024.08.28 19:18
이 기사를 공유합니다

2024년 들어서며, 사이버 위협 그룹 '블링 리브라(Bling Libra, 블링 리브라)'가 단순한 데이터 절도를 넘어 클라우드 환경을 겨냥한 정교한 탈취 공격으로 전환하고 있어 큰 우려를 낳고 있다. 이들은 이전에 '샤이니헌터스(ShinyHunters)'라는 이름으로 알려져 있었으며, 이제는 클라우드 보안의 취약점을 악용해 더 큰 금전적 이익을 추구하고 있다.

■ 블링 리브라의 새로운 전략

블링 리브라는 2020년부터 사이버 보안 전문가들의 주목을 받아왔다. 이들은 마이크로소프트 깃허브(Microsoft GitHub)와 토코페디아(Tokopedia)와 같은 대형 기업들을 해킹해 탈취한 데이터를 지하 포럼에서 판매하면서 이름을 떨쳤다. 그러나 2024년 들어 이 그룹은 클라우드 환경, 특히 아마존 웹 서비스(Amazon Web Services, AWS)를 겨냥한 갈취 공격으로 전술을 전환했다.

■ 클라우드 기반 갈취 공격

블링 리브라는 주로 온라인에 노출된 파일에서 합법적인 자격 증명(credentials, 크리덴셜)을 획득한 후 이를 이용해 클라우드 환경에 접근한다. 일단 시스템에 침입한 후, 이들은 아마존 S3 버킷(Amazon S3)과 같은 리소스를 집중적으로 탐색한다. 이를 위해 S3 브라우저(S3 Browser)와 WinSCP(윈에스씨피)와 같은 도구를 사용해 환경을 탐색하고 데이터를 조작하는 방식으로 공격을 실행한다.

블링 리브라는 자신의 활동을 숨기기 위해 장기간 잠복한 후, S3 버킷의 데이터를 삭제해 조직에 큰 피해를 입힌다. 이들은 피해자에게 협박 이메일을 보내 데이터를 반환하지 않으면 추가적인 공격을 감행하겠다고 위협한다. 더불어, 블링 리브라는 조롱의 의미로 새로운 S3 버킷을 생성하고 비아냥거리는 이름을 붙이기도 한다.

이러한 공격은 주로 보안 조치가 미비해서 발생한다. 특히 다단계 인증(MFA)이 설정되지 않았거나, 클라우드 활동에 대한 로그 기록과 모니터링이 제대로 이루어지지 않는 점이 주요한 취약점으로 지적된다. S3 서버 접근 로그와 데이터 로그가 비활성화된 상태에서 블링 리브라는 데이터를 유출하고 삭제하는 등 악의적인 활동을 눈치채지 못하도록 했다.

전문가들은 IAM(Identity and Access Management, 아이덴티티 앤 액세스 매니지먼트) 정책을 설정할 때 최소 권한의 원칙을 엄격히 준수할 것을 권장하고 있다. 또한, 긴급 사용이 아닌 경우 장기 액세스 키 대신 임시 자격 증명을 사용해 공격자가 시스템에 접근할 수 있는 시간을 제한하는 것이 중요하다.

조직이 클라우드 인프라에 점점 더 의존함에 따라, 블링 리브라와 같은 그룹이 초래하는 위협은 더욱 위협적이 될 수 있어, 이에 대한 신속한 대응이 필요하다.

보안전문가들은 “IAM 통제와 같은 기본적인 보안 조치를 우선시하고, 클라우드 환경에서 발생하는 의심스러운 활동을 탐지하고 경고할 수 있는 도구를 적극 활용해야 한다. AWS 가드듀티(AWS GuardDuty티)와 IAM 액세스 분석기(IAM Access Analyzer)와 같은 도구의 채택이 이러한 보안 강화에 도움이 될 수 있다”고 말한다.

[PASCON 2024] 하반기 최대 사이버보안 컨퍼런스 초대!(보안담당자 7시간 보안교육이수)

▶주최: 데일리시큐

▶후원: 개인정보보호위원회, 한국정보보호산업협회

▶대상: 정부·공공·공기업·정부산하기관·금융·의료·교육·일반기업 개인정보보호 및 정보보안 담당자 1,000여명 (단, 현업 보안실무자 이외 프리랜서, 학생, 일반인 등은 보안과 관련 없는 자는 참석 금지)

▶일시: 2024년 9월 10일 화요일 오전 9시~오후 5시

▶장소: 더케이호텔서울 2층 가야금홀+거문고홀A 및 로비

▶인원: 개인정보보호 및 정보보안 실무자 1,000여 명

▶전시회: 국내외 최신 보안솔루션 전시회(30여개 기업 참여)

▶참가비: 무료/1일 주차권 지급/점심식사는 제공하지 않습니다.

▶보안교육: 사전등록+현장참석+설문제출자에 한해 7시간 교육이수증 발급

▶사전등록: 9월 8일 오후 5시 마감

▶사전등록링크: 클릭

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★