cd ../blog
MITRE

클라우드 API 악용: 공격자가 클라우드 인프라를 장악하는 방법 | T1059.009

읽는 시간 약 7분
조회수 7
클라우드 보안공격 기법MITRE ATT&CK위협 탐지사이버 보안

APT29, Storm-0501 실제 사례로 배우는 클라우드 CLI 공격 기법. AWS/Azure/GCP API 악용 탐지 방법과 자가진단 체크리스트를 제공합니다.

share:
클라우드 API 악용: 공격자가 클라우드 인프라를 장악하는 방법 | T1059.009

MITRE ATT&CK: T1059.009 (Cloud API) | 전술: Execution | 플랫폼: IaaS, SaaS

도입: 왜 이 공격이 중요한가

2021년 APT29(코드명: 노벨륨)가 Microsoft Graph API를 악용해 Azure와 M365 환경을 완전히 장악했을 때, 보안 업계는 충격에 빠졌습니다. 공격자들은 정상적인 API 호출로 위장하여 수개월간 탐지되지 않으며 기업의 핵심 데이터에 접근했습니다.

클라우드 API 악용(T1059.009)은 공격자가 탈취한 자격 증명을 이용해 클라우드 서비스의 API를 통해 악성 명령을 실행하는 기법입니다. AWS CLI, Azure PowerShell, Google Cloud SDK 등의 도구를 사용하여 마치 정상적인 관리 작업처럼 보이게 하면서 시스템을 조작합니다.

💡 쉬운 비유: 회사 출입카드를 훔친 도둑이 정문으로 당당히 들어와서 관리자 권한으로 모든 사무실을 뒤지는 것과 같습니다.

1. 공격자 관점

왜 이 기법을 사용하는가

  • 정상 트래픽으로 위장: API 호출은 일반적인 관리 작업과 구별하기 어려워 탐지를 피할 수 있음
  • 강력한 권한: 클라우드 API는 컴퓨팅, 스토리지, IAM, 네트워킹 등 테넌트의 모든 서비스에 관리자 수준 접근 제공
  • 다양한 실행 방법: CLI, 브라우저 기반 Cloud Shell, PowerShell 모듈, Python SDK 등 여러 경로로 접근 가능

동작 흐름

💡 쉬운 비유: 은행 직원의 ID카드를 훔쳐서 ATM이 아닌 직원용 단말기로 접근하는 것과 같습니다. 훨씬 강력한 기능을 사용할 수 있지만, 겉보기엔 정상적인 업무처럼 보입니다.

2. 실제 공격 사례

📌 APT29 (노벨륨) - SolarWinds 후속 공격 (2021)

배경: SolarWinds 공급망 공격 이후 APT29는 더욱 정교한 방식으로 클라우드 환경을 타겟으로 삼았습니다. Microsoft Graph API를 악용하여 Azure와 M365 환경에서 지속적인 접근을 유지하려 했습니다.

공격 과정:

  1. 스피어피싱을 통해 초기 접근 후 유효한 자격 증명 탈취
  2. AADInternals PowerShell 모듈을 사용하여 Microsoft Graph API에 접근
  3. 정상적인 관리 작업으로 위장하면서 Azure AD, Exchange Online, SharePoint 등에서 민감한 정보 수집

피해 규모: 전 세계 수십 개 조직의 클라우드 환경이 침해되었으며, 수개월간 탐지되지 않고 지속적인 정보 수집 활동을 벌임

출처: NOBELIUM targeting delegated administrative privileges to facilitate broader attacks

📌 Storm-0501 - 클라우드 기반 랜섬웨어 (2024)

배경: Storm-0501은 온프레미스 환경에서 시작하여 클라우드로 확장하는 하이브리드 공격을 수행했습니다. 특히 정부, 제조업, 운송, 법 집행 기관을 대상으로 한 랜섬웨어 공격에서 클라우드 API를 적극 활용했습니다.

공격 과정:

  1. 온프레미스 Active Directory 침해 후 하이브리드 환경의 동기화 계정 탈취
  2. Azure CLI와 PowerShell을 사용하여 클라우드 리소스에 접근
  3. API를 통해 백업 시스템 비활성화 및 중요 데이터 암호화 후 외부로 유출

피해 규모: 미국 내 다수의 정부 기관과 제조업체가 피해를 입었으며, 기밀 데이터가 대량 유출됨

출처: Storm-0501's evolving techniques lead to cloud-based ransomware

📌 Pacu 프레임워크 - AWS 환경 침투 테스트 도구 악용

배경: 원래 보안 연구 목적으로 개발된 Pacu는 AWS 환경의 취약점을 테스트하는 프레임워크였지만, 실제 공격자들이 이를 악용하여 AWS 환경을 공격하는 사례가 증가했습니다.

공격 과정:

  1. 피싱이나 다른 방법으로 AWS 자격 증명 탈취
  2. Pacu 프레임워크를 사용하여 AWS CLI를 통해 환경 정찰 수행
  3. IAM 사용자 백도어 생성, Lambda 함수 악용, 권한 상승 등의 모듈을 순차적으로 실행

피해 규모: 다수의 AWS 환경에서 권한 상승, 데이터 유출, 백도어 설치 등이 발생했으며, 특히 잘못 구성된 IAM 정책을 가진 환경이 주요 타겟이 됨

출처: Pacu - AWS Exploitation Framework

3. 왜 탐지가 어려운가?

공식 탐지 방법

DET0078 악성 클라우드 API 스크립팅의 행동 기반 탐지: 명령 실행, 리소스 제어, 정찰을 위한 클라우드 API의 적대적 사용을 탐지합니다. 탈취된 자격 증명이나 브라우저 내 클라우드 셸을 통한 CLI/SDK/스크립팅 언어 남용에 초점을 맞춥니다. 인증 컨텍스트 변화와 연결된 비정상적인 API 호출(예: 탈취된 토큰 → 권한 있는 작업)과 서비스 간 영향을 모니터링합니다.

공격자가 이 기법을 선호하는 이유

  • 정상 활동과의 구별 어려움: 관리자가 일상적으로 사용하는 API 호출과 구별하기 매우 어려워 False Positive가 높음
  • 암호화된 통신: HTTPS를 통한 API 호출은 네트워크 레벨에서 내용을 분석하기 어려움
  • 다양한 접근 경로: CLI, SDK, 웹 콘솔, PowerShell 등 여러 방법으로 같은 결과를 달성할 수 있어 탐지 규칙 우회 용이

탐지의 현실적 한계

공식 탐지 방법이 존재하지만 실제 구현에는 많은 어려움이 있습니다. 대부분의 조직은 클라우드 API 호출에 대한 상세한 로깅을 활성화하지 않고 있으며, 활성화하더라도 엄청난 양의 로그 데이터로 인해 분석이 어렵습니다. 또한 정상적인 자동화 스크립트와 악성 API 호출을 구별하려면 고도의 행동 분석 기술이 필요하지만, 이를 위한 전문 인력과 도구가 부족한 경우가 많습니다.

4. 나도 위험할까? 자가 진단

이 공격이 나와 관련 있는지 확인해보세요.

이런 환경이라면 주의가 필요합니다

  • AWS, Azure, GCP 등 클라우드 서비스를 사용하고 있으며, 관리자 권한을 가진 계정이 여러 개 존재
  • 개발팀이나 DevOps팀에서 자동화를 위해 API 키나 서비스 계정을 광범위하게 사용
  • 클라우드 관리 작업을 위해 개인 PC에 CLI 도구(AWS CLI, Azure CLI 등)가 설치되어 있음
  • 하이브리드 클라우드 환경을 운영하며 온프레미스와 클라우드 간 계정 동기화가 설정되어 있음

공식 대응 방안

M1038 실행 방지: PowerShell CmdLets이나 클라우드 API 리소스에 접근하는 다른 호스트 기반 리소스의 사용을 차단하기 위해 적절한 애플리케이션 제어를 사용합니다.

M1026 권한 있는 계정 관리: 역할 기반 접근 제어(RBAC) 정책과 함께 적절한 신원 및 접근 관리(IAM)를 사용하여 관리자가 수행할 수 있는 작업을 제한하고 관리 작업의 이력을 제공하여 무단 사용과 남용을 탐지합니다.

당장 할 수 있는 것

  • 개인 클라우드 계정(AWS, GCP 등)에 MFA(다단계 인증)를 반드시 활성화하기
  • 사용하지 않는 액세스 키나 API 토큰은 삭제하기
  • 🏢 보안 담당자: 클라우드 API 호출 로깅(CloudTrail 등)을 활성화하고 비정상 활동 모니터링하기

5. 관련 기술

기법어떤 상황에서 함께 사용되나
T1550.001 Application Access Token클라우드 API 호출을 위해 탈취한 OAuth 토큰이나 API 키를 사용할 때
T1078.004 Cloud Accounts클라우드 계정을 탈취한 후 해당 계정의 권한으로 API를 호출할 때
T1087.004 Cloud Account DiscoveryAPI를 통해 클라우드 환경의 계정 정보를 수집하고 추가 공격 대상을 찾을 때

참고 자료

📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.

?뱛 ??湲€?€ [?ㅽ겕由쏀듃 ?ㅽ뻾(T1059) ?쒕━利?(/blog/t1059-command-and-scripting-interpreter)???쇰??낅땲??

COMMENTS (0)

댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.