□ 개요
 ○ 최근 IT개발자 및 시스템 운영자가 사용하는 클라우드 자격증명(Credential) 정보를 탈취, 이를 악용한 클라우드 환경 무단 접근 및 민감정보 유출 사고가 발생하고 있어 기업보안 강화 요청
 
□ 주요 내용
  ○ IT개발자 및 시스템 운영자 단말의 악성코드 감염을 통한 소스코드 저장소, 설정 파일, 시스템 로그, 감염된 개발 환경 등을 통해 클라우드 자격증명 정보를 탈취
  ○ 탈취된 자격증명 정보의 접근권한이 관리자(예: S3 버킷 읽기/쓰기 등)인 경우, 공격자는 해당 권한 범위 내 클라우드 자산을 광범위하게 열람·제어
  ○ 백업 데이터 등 민감정보가 저장된 자산이 노출될 경우 개인정보 유출로 피해확산
 
 
□ 침해 의심 시 대응 방안
  ○ (즉시 조치) 유출 의심 자격증명의(Access Key) 접근 권한 즉시 제한 및 비활성화, 신규 Key로 교체·재발급
  ○ (권한 점검) IAM 정책 전반을 점검하여 최소 권한 원칙(Least Privilege)에 따라 불필요한 권한 축소
  ○ (로그 분석) 클라우드 자원 사용로그를 통해 비정상 API 호출, 자산 리스팅, 데이터 접근 내역을 추적하여 정상 조회 기록과 실제 침입 여부를 판별
   ※ 침해 초기 공격자가 클라우드 자산 목록 조회 등 정보수집 행위를 수행하나, 이는 정상 운영 로그와 구분이 어려워 침해 인지가 지연되는 경향이 있음
  ○ (증적 보존) 사고 인지 시점 및 공격 경로 확인을 위한 객관적 증빙(CloudTrail 로그 등)을 변조 없이 보존
  ○ (신고) 침해사고 인지 시 지체 없이 KISA에 신고
 
□ 예방 수칙
  ○ 사고 예방을 위해 사용중인 Access Key를 교체하고, 키 유효기간은 단축
  ○ Access Key를 소스코드·설정파일·공개 저장소에 하드코딩 금지, 환경변수 또는 비밀관리 서비스(Secrets Manager 등) 활용
  ○ 장기 Access Key 사용을 지양하고 임시 자격증명(STS, IAM Role) 기반 운영 권장
  ○ 사용하지 않는 Key는 폐기하고 정기적으로 교체, 다단계 인증(MFA) 적용
  ○ 위협 탐지 서비스 및 이상 징후 모니터링 체계 운영
  ○ 출처가 불분명한 유틸리티·개발도구 설치 자제  
    ※ 보안공지 'IT 관리자·개발자 대상 유틸리티 도구로 위장한 악성코드 유포 주의 권고' 참조
 
□ 침해사고 신고
  ○ 'KISA 인터넷 보호나라&KrCERT' 홈페이지(www.boho.or.kr) → 상담 및 신고 → 해킹 사고 신고
 
□ 기타 문의사항
  ○ 한국인터넷진흥원 118 (국번없이 118)
 
□ 작성 : 위협분석단 AI종합분석팀