프루프포인트, 리버스 프록시 아키텍처에 기반한 피싱도구 ‘이블프록시’ 위협 연구 발표

[보안뉴스 김영명 기자] 지난 5개월 새 리버스 프록시(reserve proxy) 아키텍처에 기반한 피싱 도구인 이블프록시(EvilProxy)를 사용해 글로벌 유수 기업 고위 임원들과 관련된 클라우드 계정 탈취(ATO) 공격 사례가 100% 이상 급증한 것으로 분석됐다.


프루프포인트의 사이버 위협 연구원이 지난 5개월간 연구한 결과에 따르면, 글로벌 유수 기업 고위 임원들과 관련된 클라우드 계정 탈취(Account Takeover, ATO) 공격 사례가 100% 이상 급증한 것으로 나타났다. 글로벌 100여개 기업에 소속된 직원 150만명이 ATO 공격 타깃이 됐다.

공격자들은 리버스 프록시 아키텍처에 기반한 피싱 도구인 이블프록시를 사용했다. 이블프록시는 다중인증(Multi Factor Authentication, MFA)이 설정된 자격증명 정보와 세션 쿠키 데이터 등을 유출하는 데 사용될 수 있다. 사이버 공격자들은 최근 MFA를 채택하는 기업이 증가하는 추세에 대응하기 위해 계정 탈취 수법과 다단계 중간자(AitM) 피싱을 결합해 사이버 공격 수위가 나날이 높아지고 있다.

공격자들은 사용자 정보와 계정을 탈취하기 위해 끊임없이 새로운 수법을 고안한다. MFA 등 새로운 보안 상품이나 방식이 나올 때마다 수법도 바꿔나간다. 이번 연구 결과에서 알 수 있듯이 보안 방어를 우회하기 위해 다양한 이메일, 클라우드 공격 형태가 생겨나고 있다. 따라서 MFA가 모든 사이버 공격을 해결하는 것은 아니다.

최근 부상하고 있는 이블프록시 등 리버스 프록시 공격은 상대적으로 파급력이 적었던 과거의 피싱 키트 공격을 앞지르고 있다. 우선 리버스 프록시 공격 빈도가 급증했고, 조직의 방어 전략에서도 현격한 격차를 보이고 있다. 그러한 이유로 공격자들은 편리한 첨단 피싱 키트를 빠르게 개발해 하이브리드 공격의 속도와 효율을 높이고 있다.

이블프록시의 초기 공격 벡터는 이메일이었지만, 공격자들은 침투를 통해 클라우드 계정, 자산, 데이터 탈취를 최종 목표로 한다. ‘VIP’ 사용자 계정에 침투하면 공격자는 지속성을 확보해 얻고자 하는 정보를 수집하고 무단 계정 접근을 시도한다.

공격자들은 공격 마지막 단계가 되면 측면 이동(lateral movement), 멀웨어 배포 등 다양한 수법을 동원한다. 사전에 타깃 기업의 문화, 조직도, 업무절차를 입수, 연구해 공격 성공 확률을 높이는 것으로 알려져 있다.

또한, 공격자들은 금융사기, 데이터 유출, 서비스형 해킹(Hacking-as-a-Service, HaaS) 거래 참여, 침투 계정 접근권한 판매 등 계정 접근을 기반으로 현금화 작업도 벌이는 것으로 나타났다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>