사이버보안 연구진이 아마존 웹 서비스(Amazon Web Services, AWS)에서 새로운 유형의 네임 혼동(name confusion) 공격인 ‘whoAMI’를 발견했다. 이 공격은 아마존 머신 이미지(Amazon Machine Image, AMI)의 이름 혼동을 악용해 원격 코드 실행(Remote Code Execution, RCE)을 통해 AWS 계정에 침투할 수 있는 위험성을 지니고 있다.
이번 취약점은 데이타독 시큐리티 랩스(Datadog Security Labs) 연구팀이 밝혀냈으며, 특히 개발자가 AWS에서 AMI를 검색할 때 ‘소유자(owner)’ 속성을 지정하지 않을 경우 공격자가 악성 AMI를 통해 피해자의 계정에 침투할 수 있다고 경고했다.
데이타독 시큐리티 랩스의 연구원 세스 아트(Seth Art)는 “이 공격이 대규모로 실행된다면 수천 개의 계정에 접근할 수 있다”며 “이 패턴은 여러 개인 및 오픈소스 코드 저장소에서 발견됐다”고 밝혔다.
‘whoAMI’ 공격의 원리와 위험성
‘whoAMI’ 공격은 소프트웨어 공급망(Supply Chain) 공격의 일종이다. 공격자는 자신이 만든 악성 AMI를 AWS 커뮤니티 카탈로그에 공개하고, 이 이미지의 이름을 개발자가 찾는 일반적인 패턴과 일치하게 만든다. 이후 개발자가 ec2:DescribeImages API를 통해 AMI를 검색할 때 ‘소유자(owner)’ 속성을 지정하지 않으면 공격자가 만든 악성 이미지가 검색 결과에 포함된다.
특히, 다음과 같은 조건이 충족되면 공격에 쉽게 노출된다.
-이름 필터만 사용: 검색 시 이름(name) 필터만 사용하고, 소유자(owner), 소유자 별칭(owner-alias), 소유자 ID(owner-id) 등의 파라미터를 지정하지 않을 경우.
-‘most_recent=true’ 옵션 사용: 최신 이미지를 자동으로 선택하도록 설정한 경우.
-자동화된 이미지 검색: 테라폼(Terraform)과 같은 IaC(Infrastructure as Code) 도구가 최신 이미지를 자동으로 선택하도록 설정한 경우.
이렇게 되면 공격자가 의도적으로 최신 날짜에 악성 AMI를 게시해 자동으로 피해자의 EC2 인스턴스에 설치되도록 유도할 수 있다. 이를 통해 공격자는 원격 코드 실행 권한을 확보해 시스템을 장악하고 추가적인 침해 행위를 시도할 수 있다.
세스 아트는 “이 공격은 의존성 혼동(Dependency Confusion) 공격과 유사하지만, 후자는 소프트웨어 패키지(예: pip 패키지) 기반이고, ‘whoAMI’는 가상머신 이미지(AMI)를 기반으로 한다”고 설명했다.
AWS 및 테라폼의 대응 조치
데이타독은 이 문제를 2024년 9월 16일 AWS에 책임 있는 공개(Responsible Disclosure) 절차를 통해 전달했으며, AWS는 3일 만에 즉각적인 대응에 나섰다. AWS는 “모든 AWS 서비스는 정상적으로 운영 중이며, 이번 기술은 연구진에 의해 시뮬레이션된 것으로, 실제 악용 사례는 발견되지 않았다”고 밝혔다.
이어 AWS는 2024년 12월부터 계정 전체에 적용할 수 있는 ‘Allowed AMIs’ 기능을 도입했다고 발표했다. 이 기능은 고객이 신뢰할 수 있는 AMI만 사용할 수 있도록 허용 목록을 설정할 수 있는 보안 통제 장치다. AWS는 모든 사용자가 ec2:DescribeImages API 사용 시 반드시 ‘소유자(owner)’ 값을 지정할 것을 강력히 권고했다.
한편, 하시코프(HashiCorp)는 자사의 IaC 도구인 테라폼(Terraform)에서 보안을 강화했다. 2024년 11월부터 ‘most_recent=true’ 옵션을 ‘소유자(owner)’ 필터 없이 사용할 경우 경고 메시지를 출력하도록 조치했으며, 2025년 출시되는 테라폼 6.0.0 버전부터는 경고를 오류로 격상할 예정이다.
보안 전문가들은 이번 ‘whoAMI’ 공격의 위험성을 심각하게 보고 있으며, 다음과 같은 예방 조치를 권장했다.
-API 호출 시 ‘소유자(owner)’ 필터 지정: ec2:DescribeImages API 사용 시 반드시 소유자(owner) 값을 설정해 신뢰할 수 없는 AMI를 제외할 것.
-‘Allowed AMIs’ 기능 활용: AWS 계정에서 허용된 AMI만 사용할 수 있도록 보안 정책을 구성할 것.
-기존 인프라 점검: 이미 배포된 EC2 인스턴스의 AMI 출처를 점검해 신뢰할 수 없는 이미지는 즉시 교체할 것.
-보안 도구 사용: 데이타독이 제공하는 ‘whoAMI 스캐너’를 사용해 환경 내 위험 요소를 탐지할 것.
국내 보안 전문가는 “이번 ‘whoAMI’ 공격은 AWS 사용자의 보안 인식 부족을 노린 전형적인 공급망 공격”이라며 “특히 IaC 환경에서 기본 설정에 의존하는 조직이 위험에 노출될 수 있다”고 경고했다. 이어 “AWS에서 제공하는 ‘Allowed AMIs’ 기능을 적극적으로 활용하고, 테라폼과 같은 도구의 경고를 무시하지 말아야 한다”고 강조했다.
![[사설]코드서명 해킹 탈취, 작게 볼 일 아니다](https://img.etnews.com/news/article/2025/02/20/news-a.v1.20250220.05f046225b6a4cbebd84b85c58e40a04_T1.jpg)
![[투고]인격을 살해하는 중범죄 ‘딥페이크’ 순간의 호기심이 평생의 고통이 됩니다](https://www.jnnews.co.kr/data/cheditor4/2502/062f857dd89c585e2bc1ac46b929c0763ea44c0e.png)
![[기고] 디지털 기술 발달과 보이스피싱](https://img.etnews.com/news/article/2025/02/05/news-p.v1.20250205.54b309293d6b4f15a890b25d823c49c8_P2.png)
