HOME > 보안정보 > 최신보안동향
Security Information
문의사항
작성자 관리자 날짜 2010-06-11
제목 클라우드 시스템을 악용한 공격의 실태

 

 클라우드 시스템을 악용한 공격의 실태

 대량 연산 능력을 이용



첫 번째로 클라우드 시스템의 대량 연산 능력을 이용한 취약점 공격에 대해서 알아보자. 미국의 Electric Alchemy사의 블로그에서는, PGP ZIP에서 암호화된 파일을 복호화 하기 위해서 Amazon EC2을 사용한 사례를 소개하고 있다. 이 사례에서는 “하나의 인스턴스를 사용했을 경우에, 복호화 하는데 10년 (3600일) 정도의 시간이 걸린다” 라는 결과를 해독 툴이 출력했다고 한다. 하지만 인스턴스 수를 10개로 증가시킨 다면, 120일로 단축될 수 있다는 결과도 나왔다.

a-z 로 구성된 암호의 길이에 따른 Brute 암호 취득 비용.

그림1) a-z로 구성된 암호의 길이에 따른 Brute 암호 취득 비용. 미국 Electric Alchemy 회사 블로그에서 인용


 게다가 이 회사는 흥미로운 결과를 블로그에 남겨두고 있다. 그 내용에 의하면 Amazon EC2를 사용한 암호의 취득은 a에서 z 까지의 소문자로 구성된 길이 8 자의 암호의 경우 3달러의 비용가치로 가능하고, 길이 9자의 암호라면 87달러의 가치로 취득이 가능해진다고 한다.
그러나 이것은 어디까지나 “이상적인 비용 산출” 이라고 보고 있다. A 에서 z 까지 소문자 이외에 0부터 9까지의 숫자로 구성된 암호의 경우는 길이 8문자까지의 비밀번호는 45달러, 길이 9문자 일 경우는 1,620달러의 비용가치가 든다고 한다.

이번에는 취약성의 악용 사례에 대한 확인을 위해 Amazon EC/S3을 사용한 사례를 소개하려 한다. 점검 대상이 된 것은 "Debian 및 Ubuntu의 OpenSSL 패키지 취약성 (CVE - 2008 - 0166)." 이다. 이것은 "Debian GNU / Linux와 Ubuntu 등의 배포 판에 포함된 OpenSSL 패키지로 예측 가능한 난수를 생성하는 것이다" 라고 설명되어 있다. 이것이 악용되면, 취약한 패키지에서 생성된 암호화 키를 사용하여 암호화 통신을 할 경우에는 공격자에게 쉽게 통신의 전문을 탈취 당할 수 있으며, 증명서를 사용한 공개키 인증도 우회할 수 있는 가능성이 있게된다. 이 취약성을 이용한 공격에 이용 되는 툴도 인터넷상에서 배포되고 있다. 단, 이러한 툴은 대단히 많은 키를 생성하고, 대량의 컴퓨터 리소스를 소모하기 때문에 제한된 PC를 사용할 수 밖에 없는 공격자들에게 있어 가장 높은 장애물이 되고 있었다.

하지만 해외 보안 연구 가인 Dino Dai Zovi는 컨퍼런스 "The Last Hope"의 강연 내용 중에서 클라우드 시스템을 이용하여 제한된 PC자원에 대한 장애를 극복할 수 있음을 증명했다. 그들은 취약한 암호키를 하나의 PC에서 에뮬레이트 하는데 필요한 시간은 키 하나당 1.5초 정도 걸린다고 계산했다. 따라서 암호를 불법적으로 취득하고자 할 때 필요한 키를 일반적인 PC로 생성하려고 한다면 5일 정도의 시간이 필요하다고 환산된다. 여기에서 Amazon EC2/S3을 사용해서 52만 4288개의 암호키를 생성했는데, 이에 소요된 시간은 6시간, 비용은 16달러 였다고 한다. 또한 생성된 키는 여러 번 재사용이 가능하고, 더 많은 암호키를 사전에 생성하게 해주므로, 취약점을 이용한 공격이 한층 더 강력해 지고 있다.

따라서, 클라우드 시스템의 대량연산능력이, 암호키를 취득하는 공격을 위한 시간을 단축시켜주고 있으며, 이러한 공격을 하기 위해 필요한 PC의 비용까지도 낮추고 있다.


작성자: 아라이 유우 (新井 悠) 
               주식회사 LAC 
               라크 사이버리스크 종합 연구소 연구 센터장
 
 
원문보기