공격자들이 노골적으로, 전략적으로 기업의 클라우드 환경을 노리고 있다. MS 365 계정들이 특히 위험하다. 다양한 도구와 전술이 사용되고 있어 방어하는 게 여간 까다롭지가 않다.

[보안뉴스 문가용 기자] 마이크로소프트 클라우드 환경을 노리는 악성 캠페인 때문에 이미 수많은 클라우드 기반 환경과 계정들이 침해됐다. 이 활동은 지금도 진행되고 있으며, 앞으로도 한 동안 멈추지 않을 것으로 예상된다.


이 캠페인으로 인한 ‘피해’에는 뚜렷한 특성이라고 할 만한 게 없다. 데이터 유출 사고가 되는 경우도 있고, 금융 사건으로 이어지는 경우도 있으며, 신원을 사칭하는 등의 공격으로 이어지는 사례들도 있다. 공격을 당하는 곳들에도 뚜렷한 패턴이 없다. 여러 지역에 걸쳐 아무 기업들이나 이러한 공격에 당한다. 그렇다고 이 캠페인이 ‘무식하게’ 무작위적으로 진행되느냐 하면 그것도 아니다. 기업의 고위급 인사들을 표적으로 삼고 있다는 정황들도 나타나고 있다.

보안 업체 프루프포인트(Proofpoint)는 “현재 진행되는 애저 캠페인은 무작위성 공격의 특성도 가지고 있지만 정교한 표적 공격의 모습도 동시에 나타나고 있다”고 말한다. 그러면서 “공격자들이 그 때 그 때 필요에 따라 공격의 도구와 전략을 자유롭게 변형시키고 있는 것으로 보인다”고 말한다. “그렇다면 뛰어난 적응력과 유연성이 돋보이는 거라고 할 수 있습니다.”

기업 클라우드를 노려
이 캠페인은 최소 11월부터 시작된 것으로 추정되고 있다. 공유 문건을 내포하고 있는 수상한 이메일이 처음 발견된 때가 그 때였다. 당시 그 이메일들은 피해자 개개인에 맞춤형으로 작성됐었다. 하지만 결국 모든 메일의 궁극적인 목적은 마이크로소프트 365의 로그인 크리덴셜을 탈취하는 것이었다. 이 사건이 대대적으로 알려지며 캠페인의 존재가 드러났었다.

마이크로소프트 365 크리덴셜을 노리는 피싱 공격 자체야 새로울 것이 하나도 없었다. 하지만 피해자와 피해 조직 개개인에게 맞는 맞춤형 피싱 이메일이 사용된 사례는 매우 드물다. 또한 특정 조직을 노릴 때 여러 부서와 계층의 임직원들을 다 같이 노렸다는 것도 특이하다. 이들은 조직의 재정을 담당하는 사람들을 직접 노리기도 했지만 CFO와 CEO 등도 똑같이 노렸다. 즉 공격자가 꽤 부지런하며, 공격의 목적에 따라 다양한 사람들을 노릴 줄 안다는 뜻이 된다.

구름이 모여 먹구름이 되고
사용자 계정에 접근하는 데 성공한 요즘의 공격자들은 클라우드 앱들을 마치 ‘뷔페’처럼 취급한다. 클라우드에 저장된 각종 데이터를 훔치기도 하고, 클라우드 계정과 앱을 활용해 각종 금융 사기를 저지르기도 한다. 그 외에도 사칭 등 수많은 공격이 가능하다.

예를 들어 마이사인인(My Sign-ins)이라는 기능을 공격자들이 활용할 경우 피해자의 다중인증 설정들을 마음대로 주무를 수 있게 되는데, 인증에 사용되는 전화번호나 인증 전용 앱을 공격자가 임의로 등록하는 게 가능하다. 익스체인지 온라인(Exchange Online) 앱을 활용하면 어떨까? 공격자는 매우 개인적인 메시지를 특정 개인에게 보냄으로써 기업 네트워크 내에서 횡적으로 움직일 수도 있게 된다. 당연하지만 익스체인지 메시지 함에 있는 온갖 정보도 열람하고 유출할 수도 있다.

클라우드 앱을 노리는 공격을 막으려면 사용자들은 어떻게 해야 할까? 프루프포인트는 최초 접근을 가능하게 하는 공격을 예방하고, 이런 류의 활동을 모니터링해야 한다고 권장한다. “계정 탈취 공격이 선행되는 것이 보통이나 이런 공격의 대책을 마련하는 것도 중요합니다. 클라우드 계정에는 비밀번호와 관련된 정책을 보다 엄격하게 적용하는 것도 큰 도움이 됩니다.”

3줄 요약
1. 최근 기업에서 사용하는 클라우드 앱을 노리는 캠페인, 11월부터 진행 중.
2. 여러 전략과 도구들이 사용되는데, 결국 MS 365 등 클라우드 앱 침해하는 게 목적.
3. 클라우드 앱을 침해할 경우 공격자는 많은 악성 행위를 할 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>