X-Force Cloud Threat Landscape Report 2024
클라우드 시장 현황과 보안 위협
IBM가 발표한 2024년 데이터 유출 보고서에 따르면, 클라우드 컴퓨팅 시장이 2024년 약 6000억 달러 규모에 도달할 것으로 전망되는 가운데, 기업들의 클라우드 전환이 가속화되고 있다. 보고서 내용을 살펴보면, 전체 유출 사고의 약 40%가 퍼블릭 클라우드, 프라이빗 클라우드, 온프레미스 등 복수의 환경에서 발생했다. 특히 새롭게 발견된 CVE 중에서는 크로스사이트 스크립팅(XSS) 취약점이 27%를 차지하며 가장 큰 위협으로 나타났다. 공격자들은 이를 통해 세션 토큰을 탈취하거나 사용자를 악성 웹페이지로 리다이렉트하는 등 다양한 공격을 시도하고 있다.
해커들의 주요 공격 경로와 수법
클라우드 환경을 노리는 공격 중 가장 큰 비중을 차지하는 것은 피싱으로, 전체 클라우드 관련 사고의 33%를 차지했다. 특히 공격자들은 피싱을 통해 중간자(AITM) 공격을 수행하여 사용자 자격증명을 탈취하고 있다. 또한 비즈니스 이메일 침해(BEC) 공격이 39%를 차지했는데, 공격자들은 이메일 계정을 장악한 후 추가적인 악성 활동을 수행하는 것으로 나타났다. 전체 클라우드 관련 사고의 28%는 이미 유출된 유효한 자격증명을 악용한 사례였다.
다크웹 시장의 변화와 인포스틸러 동향
클라우드 접근 자격증명의 평균 거래 가격은 2022년 11.74달러에서 2024년 10.23달러로 12.8% 하락했다. 다크웹에서 가장 많이 거래되는 SaaS 솔루션은 마이크로소프트 아웃룩으로, 전체 언급의 68%를 차지했다. 특히 주목할 만한 변화는 WordPress-Admin 관련 논의가 98% 감소했고, Microsoft Active Directory는 44%, ServiceNow는 38% 감소한 반면, Microsoft TeamViewer는 예외적으로 9% 증가했다는 점이다.
2024년 다크웹에서 활발히 거래되는 인포스틸러들은 AWS, Microsoft Azure, Google Cloud 등 주요 클라우드 플랫폼을 타깃으로 삼고 있다. RedLine, Raccoon Stealer, Vidar, Lumma, MetaStealer, Stealc 등의 인포스틸러와 FBot, AlienFox, Legion 등의 해킹 도구들이 클라우드 플랫폼을 공격하는 데 사용되고 있다. 특히 2023년에 300만 건 이상으로 가장 많았던 Raccoon Stealer의 언급이 2024년에는 30만 건으로 급감했다는 점이 주목된다.
클라우드 서비스를 겨냥한 새로운 공격 기법
공격자들은 드롭박스, 원드라이브, 구글 드라이브와 같은 신뢰할 수 있는 클라우드 기반 서비스를 악용하고 있다. 북한의 해커 그룹 APT43은 드롭박스를 활용해 TutorialRAT 멀웨어를 배포하는 다단계 공격을 수행했으며, APT37은 원드라이브를 통해 RokRAT 멀웨어를 배포하는 광범위한 피싱 캠페인을 진행했다. 또한 Kinsing 멀웨어는 시스템 파일로 위장해 클라우드 컨테이너의 취약점을 공격하는 새로운 수법을 보여주고 있다. 실제 사례로 덴마크의 클라우드 호스팅 기업 CloudNordic은 데이터 센터 마이그레이션 중 랜섬웨어 공격을 받아 모든 고객 데이터를 손실하는 사고를 겪었다.
클라우드 환경의 보안 규칙 실패 현황
완전한 클라우드 환경에서는 리눅스 시스템의 구성 및 보안 가이드라인 실패가 29%로 가장 높았으며, 중요 디렉토리 보안 마운트 옵션 실패가 27%, 사용자 홈 디렉토리 관리 미흡이 23%로 뒤를 이었다. 하이브리드 환경에서는 인증 및 암호화 정책 실패가 25%로 가장 많았고, 계정 및 SSH 구성 오류가 20%, SSH 보안 조치와 Umask 구성 실패가 각각 19%를 차지했다.
AI가 클라우드 보안에 미치는 영향과 전망
현재 AI를 이용한 클라우드 환경 공격은 초기 단계이지만, 그 위험성은 점차 증가하고 있다. AI를 활용하면 인간이 작성하는 것보다 훨씬 빠른 속도로 정교한 사회공학 프롬프트와 피싱 캠페인을 개발할 수 있다는 점이 특히 우려된다. 실제로 해커그룹 Hive0137은 대규모 언어모델을 활용해 스크립트 개발과 피싱 이메일을 제작하고 있다.
X-Force는 AI 시장이 성숙하고 기업 운영에 더 깊이 통합됨에 따라 공격 표면이 확대될 것으로 전망했다. 특히 단일 생성형 AI 기술이 시장의 50%를 차지하거나 시장이 3개 이하의 기술로 통합될 경우 대규모 공격이 발생할 수 있다고 경고했다.
포괄적인 보안 강화 방안
IBM은 강력한 신원 보안 체계 구축을 위해 간소화된 신원 관리 전략과 MFA, QR 코드, FIDO2 인증과 같은 현대적 인증 방식의 도입을 권장한다. 또한 AI 전략의 보안 설계를 위해서는 인증 및 식별 프로세스를 강화하고, 강력한 암호화와 접근 제어를 통해 데이터와 모델을 보호해야 한다.
보안 DevOps, 위협 모델링, 엄격한 테스트를 통한 복원력 구축도 중요하며, 보안 위협 인텔리전스를 활용한 사고 대응 능력 강화와 함께 정기적인 재해 복구 및 백업 절차 테스트가 필요하다. 마지막으로 저장, 사용, 전송 중인 데이터의 암호화와 최소 권한 원칙 준수, 휴면 계정 해제를 통한 보안 강화가 요구된다. 클라우드 환경이 복잡해지고 AI 기술이 발전함에 따라 보안 위협도 더욱 정교해지고 있다. 기업들은 이러한 새로운 위협에 대응하기 위해 포괄적이고 선제적인 보안 전략을 수립하고 실행해야 할 것이다.
해당 리포트의 원문은 링크에서 확인할 수 있다.
기사는 클로드 3.5 Sonnet과 챗GPT-4o를 활용해 작성되었습니다.
관련 콘텐츠 더보기
![[Q&AI] 이재명, 출마 선언 후 첫 공식 일정으로 AI기업 방문… 왜?](https://aimatters.co.kr/wp-content/uploads/2025/04/AI-Matters-기사-썸네일-QAI-9.jpeg)
