• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

사상 첫 자동화 SaaS 랜섬웨어 공격을 성공시킨 오메가 일당들 2023.06.13

SaaS 환경에 대한 공격자들의 관심이 급증하는 중이다. 여태까지 엔드포인트 보안으로 방어해 왔다면 전략을 수정해야 때가 되었다. 공격자들은 항상 진화한다.

[보안뉴스 문정후 기자] 오메가(0mega)라는 이름의 랜섬웨어 그룹이 한 기업의 셰어포인트 온라인(SharePoint Online) 환경을 침해하는 데 성공했다. 특이하게도 기업의 엔드포인트를 통해 공격을 성공시킨 게 아니라 관리자 계정을 공략한 후 권한을 상승시켜 셰어포인트 라이브러리들로부터 민감한 정보를 탈취한 것으로 보인다.

[이미지 = gettyimagesbank]


여태껏 없었던 공격
보안 업체 옵시디안(Obsidian)의 CPO 글렌 키숌(Glenn Chisholm)은 “관심을 불러일으키는 사건”이라고 말한다. “SaaS 환경을 랜섬웨어로 공략한다고 했을 때 대부분의 공격자들은 엔드포인트를 노렸거든요. 그래서 기업들도 랜섬웨어 방어를 위해 엔드포인트 보안에 많은 것을 투자합니다. 이번 공격은 그런 투자들이 헛수고가 될 수 있다는 것을 보여줍니다. 하필 SaaS에 많은 데이터를 저장하는 시기에 말이죠.”

오메가 그룹의 공격자들은 먼저 MS 글로벌(MS Global) 환경의 관리자 계정을 물색한다. 특히 보안 제대로 되어 있지 않은 관리자 계정들을 찾아 크리덴셜을 확보한다. 공공 인터넷에 연결되어 있고, 다중인증 옵션이 설정되어 있지 않은 계정들이 주로 공격 대상이 된다. 그러니 공격자들은 크리덴셜을 가지고 공공 인터넷으로부터 접속할 수 있게 된다.

침해된 관리자 계정을 확보하는 데 성공한 공격자들은 그 관리자 계정을 가지고 액티브 디렉토리(Active Directory) 사용자를 하나 만든다. 심지어 이름도 오메가(0mega)로 설정한다. 그리고 이 계정에 가능한 모든 권한을 부여한다. 관리자 계정을 가지고 있으니 가능하다. 통합 관리자(Global Admin), 셰어포인트 관리자(SharePoint Admin), 익스체인지 관리자(Exchange Admin), 팀즈 관리자(Teams Admin) 등의 권한이 모두 포함된다. 오메가 계정은 셰어포인트 온라인 환경 내 모든 권한을 가져가게 되고, 기존 관리자 계정들을 삭제할 수도 있게 된다.

오메가 일당들은 이렇게 만들어진 관리자 계정을 가지고 200개가 넘는 관리자 계정들을 2시간 안에 삭제할 수 있었던 것으로 보인다. 그런 후 계정에 부여된 권한을 이용해 피해자 기업이 셰어포인트 온라인 라이브러리에 저장한 각종 파일들에 접근했다. 파일들은 러시아의 웹 호스팅 기업과 관련이 있는 VPS 서버로 전송됐다. 파일 전송을 위해서 공격자들은 sppull이라는 Node.js 모듈을 활용했다. sppull은 셰어포인트로부터 파일을 쉽고 간단하게 다운로드 할 수 있도록 개발된 것으로, 셰어포인트 사용자들 사이에서 꽤나 높은 인기를 가지고 있다.

그 다음 공격자들은 또 다른 Node.js 모듈인 got을 사용해 수천 개의 텍스트 파일을 피해자의 셰어포인트 환경에 업로드 했다. 이 파일들은 피해자에게 전달하는 공격자의 메시지를 담고 있다. 상황 설명과 함께 요구 사항이 주로 담겨 있다고 볼 수 있다.

엔드포인트 침해는 없었다
SaaS 애플리케이션을 겨냥한 랜섬웨어 공격들은 거의 항상 엔드포인트로부터 시작됐다. 허술한 엔드포인트를 찾아내 침해한 뒤 파일을 암호화 하거나 빼돌리는 데 그쳤다. “거기에 한 발 더 나아간다면 해당 엔드포인트 소유자가 기업 네트워크에 접속했을 때 횡적으로 움직이기도 했습니다.” 치숌의 설명이다. “SaaS의 끝단에서만 공격이 있었다는 것이죠. 그런데 이번 공격을 통해 SaaS의 중앙으로 들어와 공격을 가할 수 있다는 걸 공격자들이 증명했습니다. 그리고 자동화 모듈을 가지고 데이터를 빼돌렸고요. SaaS 환경을 직접 침해해 자동화 기술로 데이터를 빼돌리는 랜섬웨어 공격은 이제까지 한 번도 없었습니다.”

치숌은 “최근 6개월 동안 기업 SaaS 환경을 겨냥한 사이버 공격이 크게 증가하고 있다”며 “지난 2년 동안 벌어진 SaaS 공격을 다 합한 것보다 지난 6개월 동안 벌어진 사건이 더 많다”고 말한다. “당연한 흐름입니다. 점점 더 많은 기업들이 SaaS 환경에 중요한 데이터를 보관하고 있거든요. 게다가 엔드포인트에 보안이 재택 근무의 확산으로 허술해지기도 했고요. 이제 SaaS를 사용하는 기업들은 엔드포인트만이 아니라 SaaS 환경 전체를 보호해야만 하는 상황이 되었습니다.”

글 : 자이 비자얀(Jai Vijayan), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>