아마존 클라우드 서비스 악용해 스파이아이 유포

2011년 1월 ASEC에서는 2011년 예상되는 7대 보안 위협을 선정하여 발표하였었다. 해당 2011년 7대 보안 위협 예측에서는 소셜 네트워크 서비스(Social Network Service)를 악용한 보안 위협과 제로 데이(Zero-Day, 0-Day) 공격의 고도화 등 2011년에도 지속적으로 발생할 가능성이 높은 주요 보안 위협 이슈들을 선정하였다.

해당 7대 보안 위협 예측 중에는 "클라우드, 가상화 기술 이용한 위협 등장"이 포함되어 있으며, 해당 보안 위협은 악성코드와 같은 보안 위협을 광범위 하게 유포하기 위해 IT 자원의 효율적인 사용과 관리로 주목 받고 있는 클라우드(Cloud)와 가상화(Virtualization) 기술을 악용하는 것으로 볼 수 있다.

2011년 7월 29일 러시아 보안 업체인 캐스퍼스키(Kaspersky)의 블로그 "Amazon S3 exploiting through SpyEye"를 통해 제우스봇(ZeusBot)과 함께 금융 정보 탈취를 위해 제작되기로 유명한 스파이아이(SpyEye)가 클라우드 서비스를 제공하는 아마존 S3(Amazon S3)를 악용해 유포되었다 사실이 공개 되었다.

이 번에 발견된 스파이아이 유포와 조정을 위한 C&C(Command and Control) 서버는 아래 캐스퍼스키에서 공개한 이미지와 같이 아마존 S3 서비스를 악용하여 개인 금융 정보 등을 수집하고 있었다.

클라우드와 가상화 서비스를 기업에서 활용할 경우에는 IT 자원의 효율적인 활용과 업무 공간의 이동성이 보장되는 긍정적인 측면도 존재하지만, 이 번 스파이아이 악성코드와 같이 보안 위협의 유포를 위한 부정적인 측면도 존재한다.

이렇게 상용화된 클라우드와 가상화 서비스를 악용하게 될 경우 보안 위협을 양산하는 악성코드 제작자들의 경우 언제, 어디서나 악성코드에 감염된 시스템들의 조정과 유포가 가능해지게 된다.

그러므로 클라우드와 가상화 서비스를 제공하는 공급자의 입장에서는 자사의 서비스가 악의적인 목적으로 악용되지 않는지 지속적인 모니터링과 시스템 감사가 필요조건이라고 할 수 있다.