(보안) 클라우드본, 클라우드재킹 공격

클라우드본, 클라우드재킹 공격

1. 개요

클라우드본(Cloudborne)과 클라우드재킹(CloudJacking)은 클라우드 컴퓨팅 환경의 취약점을 악용하는 대표적인 공격 유형이다. 두 공격 모두 클라우드 서비스의 핵심 요소인 가상화와 접근 제어 시스템을 목표로 하지만, 공격 대상과 방식에 차이가 있다.

2. 클라우드본 공격 (Cloudborne Attack)

클라우드본(Cloudborne) 은 베어메탈(bare-metal) 또는 클라우드 인프라의 펌웨어·하드웨어 계층 취약점을 악용해 호스트(물리서버) 수준에 영구적 백도어를 심거나, 서버 상태(로그·자격증명 등)를 통해 다음 임대한 테넌트로 영향이 전이되는 취약성/공격군을 가리킨다.

• 공격 목표: 단순 VM 탈취를 넘어 하드웨어·펌웨어 수준에 침투해 지속성(persistence)을 확보.
• 공격 원리:
  1. 공급업체 하드웨어·BMC(Baseboard Management Controller) 펌웨어 취약점 악용 → 펌웨어 변경으로 부팅·관리계층 장악.
  2. 임대형(또는 재사용되는) 물리서버에서 로그/자격정보가 초기화되지 않아 다음 테넌트에 노출되는 간접적 전이.
• 특징:
  • 테넌트 간 데이터 유출
  • 영구적 계정·루트 접근 확보
  • 이후 랜섬·암호화폐 채굴·내부망 횡적 이동 가능.
• 주요 방어: 
  • 하드웨어·펌웨어 업데이트 정책 강화(공급자와 협업하여 이미지·BMC 펌웨어 패치).
  • 베어메탈 임대 전후 펌웨어 무결성 검사 및 출고 전 클린 이미지 재구성.
  • 입주·퇴거 절차에 로그/자격정보 완전 삭제(secure wipe) 표준화.
  • 공급업체 HW 구성 및 공급망 검증(서명·SBOM 개념 확장).

3. 클라우드재킹 공격 (CloudJacking Attack)

클라우드재킹은 클라우드 인프라 내에서 사용자의 자격 증명(Credentials)이나 계정 정보를 탈취하여 클라우드 자원을 무단으로 사용하는 공격이다. 즉, 공격자가 사용자의 클라우드 계정을 가로채서 자원(컴퓨팅 파워, 스토리지)을 도용하는 행위이다.

• 공격 목표: 클라우드 서비스 사용자 계정의 접근 권한(Access)과 자격 증명(IAM Keys).
• 공격 원리:
  1. 피싱(Phishing), 크로스 사이트 스크립팅(XSS), 또는 잘못된 접근 통제 설정(Misconfiguration)을 통해 사용자의 API 키, 비밀번호 또는 세션 토큰을 탈취.
  2. 탈취한 자격 증명을 이용해 클라우드 계정에 합법적인 사용자처럼 로그인.
  3. 클라우드 자원을 사용하여 암호화폐 채굴, 스팸 발송, 디도스(DDoS) 공격을 위한 서버 구축 등 악의적인 활동 수행.
• 특징:
  • 금전적 피해: 사용자에게 막대한 클라우드 사용 요금(Billing) 청구.
  • 권한 오용: 공격자가 관리자 권한을 획득할 경우, 데이터 삭제나 중요 시스템 중단 등.
• 주요 방어:
  • 다중 요소 인증(MFA) 필수 적용
  • 최소 권한 원칙(Least Privilege) 준수
  • 계정 활동에 대한 지속적인 모니터링 및 비정상적인 비용 발생 감시.

4. 비교 요약

구분	클라우드본 (Cloudborne)	클라우드재킹 (CloudJacking)
공격 대상	하드웨어·펌웨어 수준 침투	사용자의 클라우드 계정 및 자격 증명 (접근 권한)
공격 방식	하드웨어/펌웨어(베어메탈) 취약점	자격 증명 탈취를 통한 무단 자원 사용
주요 위협	물리적·영구적 침투·테넌트 전이	불필요한 비용 청구, 데이터 탈취 및 시스템 오용
방어 주체	CSP의 이미지 무결성 검증, 사용자의 이미지 검증	사용자의 MFA 사용, 최소 권한 관리, 모니터링