1. 개요

최근 IT 개발자 및 시스템 운영자의 단말을 겨냥한 악성코드 유포를 통해, 클라우드 자격증명(Access Key) 정보가 탈취되는 사례가 증가하고 있습니다.

공격자는 탈취한 권한으로 클라우드 내 민감정보 및 백업 데이터를 유출하고 있으므로, 기업 보안 담당자께서는 아래 내용을 확인하시어 즉각적인 자산 점검을 수행해 주시기 바랍니다.

2. 주요 공격 매커니즘

1) 초기 침투 

IT 관리자·개발자가 출처가 불분명한 유틸리티, 개발 도구 등을 다운로드할 때 인포스틸러(Infostealer) 악성코드 감염

2) 정보 탈취

로컬 단말 내 소스코드 저장소, 설정 파일, 개발 환경 등에 하드코딩되거나 저장된 클라우드 자격증명(Access Key) 수집 후 외부 유출

3) 무단 접근

탈취한 권한(관리자 권한 등)을 악용하여 클라우드 자산 목록 조회 및 백업 데이터, 개인정보 등 민감 정보 탈취

주의: 초기 정보수집 행위(자산 리스팅 등)는 정상적인 관리 행위의 API 호출과 구분이 어려워 침해 인지 및 탐지가 지연되는 경향이 있습니다.

3. 즉시 조치 및 대응 방안

1) 침해 의심 시 즉시 조치

• 권한 제한: 유출이 의심되는 Access Key의 권한을 즉시 제한 및 비활성화하고, 신규 Key로 교체/재발급하십시오.
• 로그 분석 및 추적: CloudTrail 등 클라우드 사용 로그를 분석하여 비정상적인 API 호출, 자산 리스팅, 타 지역(IP)에서의 데이터 접근 내역을 정밀 추적하십시오.
• 증적 보존: 사고 인지 시점 확인 및 원인 분석을 위해 로그 데이터를 변조 없이 즉시 백업(보존)하십시오. 침해사고 확인 시 지체 없이 한국인터넷진흥원(KISA)에 신고하시기 바랍니다.

2) 상시 예방 수칙

• 하드코딩 금지: Access Key를 소스코드, 설정파일, 공개 저장소(GitHub 등)에 하드코딩하지 말고, 환경변수나 비밀관리 서비스(Secrets Manager 등)를 이용하십시오.
• 임시 자격증명 활용: 장기 Access Key 사용을 지양하고, IAM Role 및 임시 자격증명(STS) 기반의 운영 전환을 권장합니다.
• 최소 권한 부여: IAM 정책 전반을 검검하여 '최소 권한 원칙(Least Privilege)'에 따라 불필요한 권한을 축소하고, 다단계 인증(MFA)을 필수 적용하십시오.
• 보안 인식 제고: 출처가 불분명한 유틸리티나 오픈소스 개발 도구의 다운로드 및 설치를 자제하십시오.

■ 침해사고 발생 또는 의심 시

침해사고가 확인되거나 의심되는 경우, 신속한 대응을 위해 한국인터넷진흥원 인터넷침해대응센터(KrCERT) 또는 관할 기관을 통해 신고해 주시기 바랍니다.

• 한국인터넷진흥원 인터넷침해대응센터 종합상황실: 02-405-4911~5, certgen@krcert.or.kr
• ['KISA 인터넷보호나라&KrCERT' 홈페이지] → 침해사고 신고