“공격자들이 클라우드에 성공적으로 침입했을 때 65%는 크립토재킹을 수행합니다. 공격자들은 피해를 입은 클라우드에서 리소스를 이용해 가상자산을 채굴하고, 수반되는 모든 비용은 테넌트(임차인)에게로 고스란히 돌아갑니다. 클라우드에서 발생하고 있는 가장 심각한 사이버공격의 형태로 볼 수 있습니다.”
스티브 레드지안 맨디언트 아시이·태평양 부사장 겸 최고기술책임자(CTO)는 20일 미디어 브리핑에서 사이버보안 위협 중 하나인 ‘크립토재킹’의 위험성을 이같이 설명했다. 크립토재킹은 사용자의 PC나 클라우드에 악성코드를 설치해 비트코인 등 가상자산을 채굴하도록 만들고 전자지갑으로 전송해 갈취하는 사이버범죄 유형이다.
은밀하게 진행되기 때문에 탐지하기가 쉽지 않고 고액의 전기요금을 떠안고서야 크립토재킹으로 당했다는 걸 아는 경우가 많다. 거래소를 상대로 가상자산을 탈취하거나 랜섬웨어를 통해 탈취하는 것보다 일반적으로 피해액은 적지만 진입장벽이 낮다. 과거에는 가상자산 ‘불장’이 오면서 가치가 급격히 올라가면서 크립토재킹 공격도 늘어나기도 했다.
크립토재킹을 막기 위해서는 패스키 인증을 도입하는 등 신원확인을 철저히 하고 위험한 접근을 막을 수 있어야만 한다. 레드지안 CTO는 “구글 클라우드 시큐리티 커맨드 센터에서 사용 중인 SIEM(클라우드 인프라 관리)기능을 활용해 위험한 접근을 막고 보안을 강화할 수 있다”고 설명했다. 또한 “하이퍼바이저(여러 운영체제를 통제하는 플랫폼)상에서 이뤄지는 VMTD(가상머신위협탐지)를 통해 가상자산 채굴 멀웨어(악성 소프트웨어)를 찾아낼 수 있다”고 했다.
구글 클라우드는 지난달 발표한 보고서를 통해 크립토재킹 외에도 로깅의 중앙화, 서버 취약성을 이용한 랜섬웨어를 주요 사이버위협으로 꼽았다. 레드지안 CTO는 “랜섬웨어 공격자는 예전엔 데이터를 암호화했지만 지금은 더 심각한 피해를 입힐 수 있는 데이터 탈취를 선호한다”면서 “하나의 피해자만 공격하는 게 아니라 피해기업의 고객들까지 공격하는 경우도 많다”고 말했다.
구글 클라우드 시큐리티는 이날 클라우드 환경을 노린 주요 사이버위협 유형을 소개하고, 이를 막을 수 있는 구글의 위험관리솔루션 SCC엔터프라이즈를 소개했다. SCC엔터프라이즈는 클라우드 보안과 조직의 보안운영(SecOps)을 단일 플랫폼으로 통합한 솔루션이다. 그동안 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)은 회사 조직의 보안운영과 분리되어 있었고, 이 때문에 CNAPP와 보안운영팀 간 책임이 명확하지 않다는 단점이 있었다.
SCC엔터프라이즈는 SIEM(보안정보이벤트관리), SOAR(보안 오케스트레이션 자동화·대응) 도구로 빠르게 대응할 수 있는 보안운영 방식을 클라우드에 적용한다. 보안운영팀은 SCC엔터프라이즈를 활용해 △조직의 보안 상태 △잠재적인 위협 활동 △클라우드 사용자 인증 정보 및 데이터를 확인할 수 있다.
또한 2022년 구글 클라우드에 인수된 보안 자회사인 맨디언트의 위협 인텔리전스(TI)를 융합해, 맨디언트의 인적 자원과 기술도 활용할 수 있다. 터너 사장은 “자체적으로 조직 내에서 보유한 리소스만으로는 문제에 대응하지 못하는 경우, 맨디언트에서 수년간 운영해온 ‘맨디언트 헌트’ 서비스를 SCC엔터프라이즈 고객들도 누릴 수 있다”고 설명했다.
터너 사장은 SSC엔터프라이즈를 소개하면서 차별점 중 하나로 생성형 AI(인공지능) 기술을 꼽기도 했다. 그은 “구글은 최근 ISO와 협력해 SAIF(시큐어 AI 프레임워크)라고 하는 보안 프레임워크를 개발했다”면서 “사이버보안 환경에서 가장 큰 문제가 되는 게 인재 부족인데, AI가 위협 인텔리전스를 빠르게 요약하고 분석을 지원하면서 이 문제를 보완해줄 수 있다고 본다”고 말했다.