요약 : 보안 외신 시큐리티위크에 의하면 스노우플레이크(Snowflake)라는 클라우드 저장 플랫폼을 겨냥한 대형 사이버 공격 캠페인으로 인해 165개 정도의 기업들이 영향을 받았다는 보고서가 발표됐다고 한다. 보안 업체 맨디언트(Mandiant)에 의하면 배후의 공격자는 UNC5537이라고 하며, 각종 정보 탈취형 멀웨어를 사용해 스노우플레이크 고객들이 스노우플레이크에 접속할 때 사용하는 크리덴셜을 다량으로 훔쳐내는 데 성공한 것이라고 한다. 그러므로 스노우플레이크라는 플랫폼 자체가 뚫린 것은 아닌 것으로 보인다고 맨디언트는 결론을 내리고 있다. 공격자들은 최소 2020년부터 이런 식으로 스노우플레이크 고객들의 크리덴셜 정보를 수집한 것으로 분석됐다.


배경 : 장기간 진행되어 온 캠페인이라 공격자들이 사용했던 멀웨어 또한 다양한 것으로 분석됐다. 현재까지 발견된 것만 룸마(Lumma), 메타(Meta), 라쿤스틸러(Racoon Stealer), 레드라인(Redline), 라이즈프로(Risepro), 비다(Vidar)다. 최근 정보 탈취형 멀웨어들이 각종 사이버 공격자들로부터 큰 인기를 누리고 있다.

말말말 : “다중인증 옵션을 사용한 고객이거나, 비밀번호를 주기적으로 바꿔주는 고객이라면 이번 캠페인에 당하지 않았을 겁니다. 아무리 단단한 플랫폼이라 하더라도 사용자들이 허술하게 사용하면 뚫릴 수밖에 없습니다.” -맨디언트-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>