UNC4899 클라우드 침해 캠페인

2025년에 발생한 정교한 사이버 침입 사건이 북한의 위협 행위자 UNC4899와 연관된 것으로 밝혀졌습니다. 이 단체는 대규모 암호화폐 조직 해킹을 통해 수백만 달러 상당의 디지털 자산을 탈취한 혐의를 받고 있습니다. 이번 공격은 국가 지원을 받는 것으로 추정되며, UNC4899는 Jade Sleet, PUKCHONG, Slow Pisces, TraderTraitor 등 여러 다른 이름으로도 활동하고 있습니다.

이번 사건은 다층적인 공격 방식을 사용했다는 점에서 주목할 만합니다. 공격자들은 사회공학적 기법과 개인 간 데이터 전송 메커니즘 악용을 결합한 후, 조직의 클라우드 인프라로 침투했습니다. 클라우드 환경에 침입한 후에는 정상적인 DevOps 워크플로우를 악용하여 자격 증명을 탈취하고, 컨테이너 경계를 우회하며, 클라우드 SQL 데이터베이스를 조작하여 데이터 탈취를 용이하게 했습니다.

개인 기기에서 기업 네트워크로: 최초의 침해

이번 공격은 치밀하게 계획된 소셜 엔지니어링 캠페인으로 시작되었습니다. 공격 대상 조직의 개발자는 합법적인 오픈 소스 협업 프로젝트의 일부로 위장한 압축 파일을 다운로드하도록 속았습니다. 파일을 개인 기기에 다운로드한 후, 개발자는 AirDrop을 사용하여 회사 워크스테이션으로 파일을 전송했고, 의도치 않게 개인 환경과 회사 환경 간의 보안 경계를 허물게 되었습니다.

해당 아카이브와의 상호 작용은 AI 기반 통합 개발 환경(IDE)을 통해 이루어졌습니다. 이 과정에서 아카이브에 내장된 악성 Python 코드가 실행되었습니다. 이 코드는 Kubernetes 명령줄 도구로 위장한 바이너리를 배포하여, 악의적인 작업을 수행하는 동안 정상적인 도구처럼 보이도록 했습니다.

해당 악성코드는 공격자가 제어하는 도메인에 접속하여 기업 시스템 내에서 백도어 역할을 했습니다. 이 발판을 통해 공격자들은 손상된 워크스테이션에서 기업의 Google Cloud 환경으로 침투할 수 있었으며, 활성 인증 세션과 접근 가능한 자격 증명을 악용한 것으로 추정됩니다.

클라우드 인프라에 침투한 공격자들은 추가적인 침해에 악용될 수 있는 서비스, 프로젝트 및 접근 지점을 파악하기 위한 정찰 단계를 시작했습니다.

클라우드 환경 악용 및 권한 상승

정찰 단계에서 공격자는 클라우드 환경 내의 배스천 호스트를 식별했습니다. 해당 호스트의 다단계 인증 정책 속성을 수정하여 무단 접근을 성공시켰습니다. 이 접근 권한을 통해 쿠버네티스 환경 내의 특정 파드에 접근하는 등 더욱 심층적인 정찰 활동을 수행할 수 있었습니다.

공격자들은 이후 클라우드 기반 공격 전략으로 전환하여 외부 악성코드보다는 합법적인 클라우드 도구와 구성을 주로 활용했습니다. 쿠버네티스 배포 구성을 변경하여 새로운 파드가 생성될 때마다 악성 bash 명령어가 자동으로 실행되도록 함으로써 시스템 지속성을 확보했습니다. 이 명령어는 백도어를 검색하고 배포하여 지속적인 접근을 보장했습니다.

공격자가 침해 과정에서 수행한 주요 작업은 다음과 같습니다.

• 조직의 CI/CD 플랫폼과 관련된 Kubernetes 리소스를 수정하여 시스템 로그에 서비스 계정 토큰을 노출하는 명령어를 삽입했습니다.
• 높은 권한을 가진 CI/CD 서비스 계정에 연결된 토큰을 획득하여 네트워크 정책 및 로드 밸런싱을 담당하는 파드로의 권한 상승 및 측면 이동을 가능하게 합니다.
• 탈취한 토큰을 사용하여 권한 모드로 작동하는 민감한 인프라 포드에 인증하고, 컨테이너 환경에서 탈출하여 영구적인 백도어를 설치합니다.
• 고객 정보(사용자 신원, 계정 보안 세부 정보 및 암호화폐 지갑 데이터 포함) 관리를 담당하는 워크로드를 대상으로 삼기 전에 추가적인 정찰을 수행합니다.
• 포드 환경 변수에 부적절하게 저장된 정적 데이터베이스 자격 증명을 추출합니다.
• 클라우드 SQL 인증 프록시를 통해 해당 자격 증명을 활용하여 프로덕션 데이터베이스에 액세스하고 여러 중요 계정에 대한 암호 재설정 및 다단계 인증 시드 업데이트를 포함하여 사용자 계정을 수정하는 SQL 명령을 실행했습니다.

이러한 조작을 통해 공격자들은 결국 해킹당한 계정을 장악하고 수백만 달러에 달하는 암호화폐를 성공적으로 인출할 수 있었습니다.

환경 간 데이터 전송의 보안적 영향

이번 사건은 최신 클라우드 네이티브 환경에서 흔히 발견되는 몇 가지 심각한 보안 취약점을 부각시켰습니다. 에어드롭과 같은 개인과 기업 간의 P2P 데이터 전송 메커니즘은 의도치 않게 기업 보안 제어를 우회하여 개인 기기에 침투한 악성 소프트웨어가 기업 시스템에 도달할 수 있도록 허용할 수 있습니다.

추가적인 위험 요소로는 권한 있는 컨테이너 모드 사용, 워크로드 간의 불충분한 분할, 환경 변수에 민감한 자격 증명을 안전하지 않게 저장하는 것 등이 있었습니다. 이러한 취약점들은 공격자가 초기 발판을 마련한 후 침입의 파급 효과를 더욱 확대시켰습니다.

유사한 위협을 완화하기 위한 방어 전략

클라우드 기반 인프라를 운영하는 조직, 특히 금융 자산이나 암호화폐를 관리하는 조직은 엔드포인트 및 클라우드 위험 모두에 대응하는 다층적인 방어 체계를 구축해야 합니다.

효과적인 완화 조치에는 다음이 포함됩니다.

• 상황 인식 접근 제어 및 피싱 방지 다중 요소 인증을 구현합니다.
• 클라우드 환경에는 신뢰할 수 있고 검증된 컨테이너 이미지만 배포되도록 보장합니다.
• 손상된 노드를 격리하고 외부 호스트와의 연결을 차단합니다.
• 컨테이너 환경에서 예기치 않은 프로세스 또는 비정상적인 런타임 동작을 모니터링합니다.
• 환경 변수에 자격 증명을 저장하는 것을 없애기 위해 강력한 비밀 관리 방식을 도입합니다.
• AirDrop이나 Bluetooth와 같은 P2P 파일 전송을 비활성화하거나 제한하는 엔드포인트 정책을 시행하고, 회사 기기에서 관리되지 않는 외부 미디어의 마운트를 방지합니다.

신원 확인, 통제되지 않은 데이터 전송 경로 제한, 클라우드 환경 내 엄격한 런타임 격리 등을 포함하는 포괄적인 심층 방어 전략은 유사한 고도화된 침입 캠페인의 영향을 크게 줄일 수 있습니다.