클라우드 방화벽 무력화: 공격자가 클라우드 네트워크를 뚫는 방법 | T1562.007

$ cat ./report.md

MITRE ATT&CK: T1562.007 (Disable or Modify Cloud Firewall) | 전술: Defense Evasion | 플랫폼: IaaS

검색 키워드: Security Group(보안 그룹), 클라우드 방화벽

도입: 왜 이 공격이 중요한가

2022년 Palo Alto Networks Unit 42가 발표한 보고서에 따르면, 클라우드 환경에서 탈취된 자격 증명을 이용한 공격자들이 가장 먼저 시도하는 것 중 하나가 바로 클라우드 방화벽 규칙 수정이었습니다. 공격자들은 새로운 보안 그룹을 생성하거나 기존 규칙을 변경하여 모든 TCP/IP 연결을 허용하도록 만들었습니다.

클라우드 방화벽 무력화 는 공격자가 클라우드 환경 내에서 네트워크 접근을 제한하는 방화벽 규칙을 비활성화하거나 수정하여 보안 통제를 우회하는 기법입니다. 이는 기존 시스템 방화벽과는 별개로, AWS 보안 그룹, Azure 네트워크 보안 그룹, GCP 방화벽 규칙 등을 대상으로 합니다.

💡 쉬운 비유: 아파트 단지의 출입통제 시스템을 해킹해서 모든 문을 열어두는 것과 같습니다. 외부에서 누구든 자유롭게 들어올 수 있게 만드는 것이죠.

1. 공격자 관점

왜 이 기법을 사용하는가

은밀한 접근 경로 확보: 정상적인 관리 권한을 이용하므로 의심받지 않으면서도 강력한 네트워크 접근권을 얻을 수 있음
다단계 공격의 기반 구축: C2 통신, 횡적 이동, 데이터 유출 등 후속 공격을 위한 네트워크 경로를 사전에 확보
암호화폐 채굴 등 장기간 활동: 네트워크 제한을 제거하여 리소스 집약적인 악성 활동을 지속적으로 수행

동작 흐름

💡 쉬운 비유: 경비실 열쇠를 훔친 후, CCTV를 끄고 모든 출입문의 보안 설정을 해제하여 자유롭게 드나들 수 있는 환경을 만드는 과정입니다.

2. 실제 공격 사례

📌 Pacu 프레임워크 - AWS 환경 공격 도구 (2019)

배경: Rhino Security Labs에서 개발한 오픈소스 AWS 공격 프레임워크인 Pacu는 클라우드 환경의 설정 결함을 악용하도록 설계되었습니다. 이 도구는 침투 테스트 목적으로 개발되었지만, 실제 공격자들도 활용할 수 있는 강력한 기능들을 포함하고 있습니다.

공격 과정:

초기 접근: 탈취된 AWS 자격 증명을 이용하여 Pacu 프레임워크에 인증 정보 설정
방화벽 무력화: GuardDuty 서비스에서 공격자의 IP 주소를 허용 목록에 추가하여 탐지 우회
지속적 접근: 보안 그룹 규칙을 수정하여 외부에서 클라우드 리소스에 직접 접근할 수 있는 경로 확보

피해 규모: 오픈소스로 공개되어 누구나 사용 가능하며, 현재까지 GitHub에서 5,000개 이상의 스타를 받을 정도로 널리 알려진 도구

출처: Pacu GitHub Repository

📌 클라우드 암호화폐 채굴 공격 - 대규모 리소스 남용 (2022)

배경: Palo Alto Unit 42 연구진이 발견한 사례로, 공격자들이 탈취된 클라우드 자격 증명을 이용해 대규모 암호화폐 채굴 작업을 수행한 캠페인입니다. 이들은 탐지를 피하면서 동시에 최대한 많은 컴퓨팅 리소스를 활용하기 위해 네트워크 제한을 제거했습니다.

공격 과정:

권한 탈취: 과도한 권한을 가진 클라우드 API 키나 계정 자격 증명 확보
네트워크 규칙 조작: 기존 보안 그룹에 새로운 인그레스 규칙을 추가하거나 완전히 새로운 보안 그룹 생성
채굴 인프라 구축: 모든 포트와 프로토콜을 허용하는 규칙을 통해 채굴 풀과의 통신 및 원격 관리 활성화

피해 규모: 수십 개 기업의 클라우드 환경에서 월 수천 달러에서 수만 달러의 비정상적인 컴퓨팅 비용 발생

출처: Palo Alto Unit 42 Compromised Cloud Compute Credentials Report

3. 왜 탐지가 어려운가?

공식 탐지 방법

[DET0424] 클라우드 방화벽 비활성화/수정 탐지 전략 - AN1188: 클라우드 제어 플레인 로그에서 보안 그룹과 방화벽 규칙의 생성, 삭제, 수정을 모니터링하여 예상 기준선을 벗어나 클라우드 리소스 접근을 확장하는 활동을 탐지. 방어자 관점에서는 0.0.0.0/0을 허용하는 예상치 못한 인그레스/이그레스 규칙이나 비정상적인 포트 개방을 확인하며, 이는 종종 특권 역할이나 API 키 활동과 연관됨.

공격자가 이 기법을 선호하는 이유

정당한 관리 작업으로 위장: 방화벽 규칙 변경은 일상적인 클라우드 운영 작업으로 보이기 때문에 의심을 받지 않음
광범위한 영향: 단 몇 번의 규칙 변경만으로 전체 클라우드 환경의 네트워크 보안 경계를 무너뜨릴 수 있음
복구의 어려움: 어떤 규칙이 변경되었는지, 원래 설정이 무엇이었는지 파악하기 어려워 피해 복구가 복잡함

탐지의 현실적 한계

클라우드 환경에서는 매일 수백, 수천 건의 설정 변경이 발생하기 때문에 정상적인 변경과 악의적인 변경을 구분하기 어렵습니다. 또한 대부분의 조직이 클라우드 감사 로그를 실시간으로 모니터링하지 않으며, 0.0.0.0/0 규칙이 추가되더라도 즉시 알람이 발생하도록 설정된 경우가 드뭅니다. 특히 DevOps 환경에서는 자동화된 배포 과정에서 임시로 광범위한 접근 권한이 부여되는 경우가 있어 오탐률이 높을 수 있습니다.

4. 나도 위험할까? 자가 진단

이 공격이 나와 관련 있는지 확인해보세요.

이런 환경이라면 주의가 필요합니다

AWS, Azure, GCP 등 클라우드 서비스를 사용하며 관리자 권한을 가진 계정이 여러 명 있는 경우
클라우드 API 키나 액세스 키를 개발자들이 로컬 환경이나 코드 저장소에 저장하고 있는 경우
클라우드 보안 그룹이나 방화벽 규칙 변경에 대한 승인 프로세스나 모니터링 체계가 없는 경우
임시로 생성한 광범위한 네트워크 접근 규칙을 나중에 제거하지 않고 그대로 방치하는 경우

공식 대응 방안

[M1047] 감사 (Audit): 계정 역할 권한을 정기적으로 점검하여 예상된 사용자와 역할만이 클라우드 방화벽을 수정할 권한을 갖도록 보장

[M1018] 사용자 계정 관리 (User Account Management): IAM(Identity and Access Management) 보안 정책에 최소 권한 원칙이 적용되도록 보장

당장 할 수 있는 것

클라우드 계정의 API 키나 액세스 키를 정기적으로 교체하고, 사용하지 않는 키는 즉시 비활성화하기
클라우드 관리 콘솔 접속 시 다중 인증(MFA)을 반드시 활성화하고, 의심스러운 로그인 알림 설정하기
🏢 보안 담당자: CloudTrail, Azure Activity Log 등 클라우드 감사 로그에서 보안 그룹 변경 이벤트에 대한 실시간 알림 규칙 설정하고, 0.0.0.0/0 규칙 생성 시 즉시 차단하는 자동화 정책 구현

5. 관련 기술

기법	어떤 상황에서 함께 사용되나
T1078 Valid Accounts	클라우드 방화벽을 수정하기 위해 먼저 정당한 클라우드 계정 자격 증명을 탈취하거나 오남용할 때
T1190 Exploit Public-Facing Application	방화벽 규칙을 수정하여 새로 노출된 서비스나 포트를 통해 공개 애플리케이션의 취약점을 공격할 때
T1496 Resource Hijacking	방화벽 제한을 제거한 후 클라우드 컴퓨팅 리소스를 이용해 암호화폐 채굴 등 리소스 하이재킹을 수행할 때

참고 자료

MITRE ATT&CK - T1562.007

📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.

?뱛 ??湲? [蹂댁븞 臾대젰??T1562) ?쒕━利?(/blog/t1562-impair-defenses)???쇰??낅땲??

COMMENTS (0)

댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.