공격 분류: 내부자 위협
1. 개요
1.1 사고 배경
2020년 3월, 미국의 대형 민간 은행인 First Republic Bank에서 전직 클라우드 엔지니어에 의한 내부자 위협 사고가 발생했습니다.
Miklos Daniel Brody는 First Republic Bank의 클라우드 엔지니어로 재직 중이었으나, 회사 내규 위반을 이유로 2020년 3월 11일 해고 통보를 받았습니다.
해고 당일, 회사는 그가 보유하고 있던 기기 중 데스크탑 PC는 즉시 회수하였으나 당시 Brody가 소지하고 있지 않았던 회사 지급 맥북은 회수하지 못했고 이것이 이후 공격의 핵심 수단이 되었습니다.
1.2 사고 요약
Brody는 해고된 당일 저녁, 반납하지 않은 맥북을 이용하여 회사 VPN에 무단으로 접속하였습니다.
이후 내부 클라우드 인프라에 진입하여 AWS 인스턴스 대량 종료, 코드 저장소 삭제, 자동화 시스템 파괴, 로그 은폐 등 다수의 행위를 수행하였습니다.
이는 단순한 데이터 유출 사고가 아닌, 클라우드 인프라 자체를 표적으로 한 보복성 파괴 공격으로 분류할 수 있습니다.
2. 공격 분석
2.1 공격 흐름 (Attack Flow)
아래는 이번 사고의 전체적인 공격 흐름을 정리한 것입니다.
[해고 당일 저녁]
│
▼
[반납하지 않은 맥북으로 기업 VPN 무단 접속]
│
▼
[Linux 점프박스(Jump Box) 로그인]
│
▼
[시스템 로그 덮어쓰기 → 흔적 은폐 시도]
│
▼
[Linux 관리자 계정으로 타 직원 사칭]
│
├──▶ [GitHub 서버 스크립트 실행 → AWS 인스턴스 대량 종료]
│
├──▶ [코드 저장소(Repository) 삭제]
│
├──▶ [Ansible Tower 파괴]
│
└──▶ [Amazon EMR 서비스 잠금]2.2 단계별 공격 프로세스
1. VPN 무단 접속
Brody는 해고 당일 저녁, 회수되지 않은 회사 맥북을 통해 기업 내부 VPN에 접속하였습니다.
해고 직후 계정 비활성화 조치가 즉시 이루어지지 않은 것으로 보이며, 이로 인해 여전히 유효한 자격증명으로 VPN 인증을 통과한 것으로 추정됩니다.
2. Linux 점프박스 접속 및 로그 은폐
VPN 접속 이후, Brody는 내부 인프라 접근의 중간 경유지 역할을 하는 Linux 점프박스(Jump Box)에 로그인하였습니다.
점프박스 접속 이후 가장 먼저 수행한 행위는 시스템 로그 덮어쓰기였습니다. 이는 자신의 접속 및 활동 흔적을 사전에 제거하려는 의도로 추측해볼 수 있습니다.
3. 타 직원 계정 사칭
Linux 관리자 계정을 이용하여 다른 직원의 계정을 사칭하였다고 형사 고소장에 기재되어 있습니다. 이는 공격 행위의 귀책을 타인에게 전가하거나, 추가적인 권한을 확보하기 위한 목적일 수 있습니다.
4. 리소스 제거 및 공격
4-1. AWS 인스턴스 대량 종료
Brody는 클라우드 엔지니어로 재직하면서 보유하고 있던 광범위한 AWS 권한을 아직 소유하고 있었고 이를 이용해 기업 내부 GitHub 서버에 존재하는 스크립트를 활용하여 AWS 환경에서 운영 중이던 거의 모든 인스턴스를 강제 종료시켰습니다.
은행의 핵심 운영 시스템이 AWS 위에서 동작하고 있었을 것으로 추정되므로, 이 단계에서 발생한 서비스 중단의 영향은 상당히 컸을 것으로 보입니다.
4-2. 코드 저장소 삭제
기업 GitHub 서버에 저장되어 있던 다수의 코드 저장소를 삭제하였습니다.
4-3. Ansible Tower 파괴
IT 인프라 자동화 도구로 서버 구성 관리, 배포 자동화 등 인프라 운영의 핵심 역할을 수행하는 Ansible Tower를 파괴하였습니다.
4-4. Amazon EMR 서비스 잠금
마지막으로 대규모 데이터 처리 및 분석(수학적 연산 등)에 활용되는 서비스인 Amazon EMR(Elastic MapReduce) 서비스에 대한 사용자 접근을 잠금 처리하였습니다.
3. 대응 방안
3.1 즉각 대응 절차
① 퇴직/해고 직원 계정 즉시 비활성화
임직원 해고 또는 퇴직이 확정되는 즉시, 아래 항목들에 대한 접근 권한을 동시에 차단하여야 합니다.
- VPN 계정 비활성화
- 사내 SSO(Single Sign-On) 계정 비활성화
- AWS IAM, GitHub, 내부 서버 등 개별 시스템 자격증명 즉시 폐기
- MFA 등록 기기 해제
계정 비활성화는 인사팀의 통보 이후가 아닌, 해고 결정과 동시에 보안팀이 선제적으로 조치할 수 있는 프로세스를 수립하여야 합니다.
② 회사 지급 기기 즉시 회수
모든 회사 지급 단말(노트북, 휴대폰, 보안 토큰 등)은 해고 당일 현장에서 즉시 회수하는 것을 원칙으로 하여야 합니다.
만약 당일 회수가 불가능한 경우, 해당 기기에 대한 원격 잠금 및 기업 데이터 원격 삭제(Remote Wipe)를 즉각 수행하여야 합니다.
MDM(Mobile Device Management) 솔루션을 통해 이러한 조치를 자동화하는 것이 권장됩니다.
③ 이상 접속 실시간 탐지 및 알림
해고된 직원의 계정으로 VPN 접속이 시도되는 경우, 이를 실시간으로 탐지하고 보안팀에 즉각 알림이 발송되어야 합니다.
SIEM 등을 활용하여 비업무 시간대 접속, 해고 처리된 계정의 접속 시도 등에 대한 탐지 규칙을 사전에 설정하여야 합니다.
3.2 사후 조치 및 재발 방지
① 최소 권한 원칙(Least Privilege) 적용
클라우드 엔지니어 등 높은 권한을 보유한 직무에 대해서는 직무 수행에 필요한 최소한의 권한만을 부여하는 정책을 수립하여야 합니다.
AWS IAM 정책을 검토하여 단일 계정이 전체 인스턴스를 종료할 수 있는 광범위한 권한을 보유하지 않도록 설계하여야 합니다. 또한 고위험 작업(대규모 인스턴스 종
② 오프보딩(Offboarding) 프로세스 표준화
퇴직/해고 발생 시 수행해야 할 보안 체크리스트를 사전에 문서화하고, 이를 인사팀·보안팀, IT팀이 공동으로 실행하는 표준 프로세스를 수립하여야 합니다.
체크리스트에는 계정 비활성화, 기기 회수, 접근 권한 감사, 공유 자격증명 변경 등이 포함되어야 합니다.
③ 클라우드 인프라 이상 행위 탐지 강화
AWS CloudTrail, CloudWatch 등을 활용하여 아래와 같은 이상 행위에 대한 탐지 규칙을 구성하여야 합니다.
- 단시간 내 대량의 인스턴스 종료 요청
- 다수의 저장소 일괄 삭제
- 로그 삭제 또는 변조 시도
- 비정상적인 시간대의 관리자 권한 사용
④ 정기적인 권한 감사(Access Review) 수행
재직 중인 임직원에 대해서도 정기적으로 보유 권한을 검토하고, 불필요한 권한을 회수하는 주기적 접근 권한 감사를 수행하여야 합니다.
특히 직무 변경, 부서 이동, 프로젝트 종료 등의 이벤트 발생 시 즉각적인 권한 재조정이 이루어지도록 하여야 합니다.
⑤ 핵심 인프라 백업 및 복구 체계 점검
코드 저장소, 자동화 설정 파일, 인프라 구성 정보 등 핵심 자산에 대해 오프사이트 백업 및 정기적인 복구가 필요합니다.
단일 관리자가 백업 데이터까지 삭제할 수 없도록 백업 시스템에 대한 별도의 접근 통제를 적용하여야 합니다.
참고:
