| 해킹의 진화 : 저렴하고 강력한 Man-in-the-cloud 발견! | 2015.08.06 | |
프론트도어 통한 계정 탈취가 아니라 백도어를 통한 공략 해커 입장에선 저렴하고 강력해 앞으로 상당히 유행할 전망 [보안뉴스 문가용] 멀웨어를 사용하지도 않는다. 계정 정보를 훔치지도 않는다. 그런데도 사용자의 구글 드라이브나 드롭박스 계정으로 접속해 정보를 훔치고 멀쩡한 파일을 악성 파일로 바꾸는 등의 공격이 가능하다는 사실이 드러났다. 이런 공격을 클라우드 침투 공격(man in the cloud)이라고 하며 외곽보안이나 엔드포인트 보안으로도 잡을 수 없다.
이를 최초로 발견하고 보고한 건 임퍼바(Imperva)라는 보안업체의 연구원들. “구글 드라이브, 드롭박스, 원드라이브(OneDrive), 박스(Box) 등, 공격자들은 이런 클라우드 서비스의 싱크 기능을 악용하는 법을 익혔습니다. 여태까지는 프론트도어를 이용했는데(즉, 사용자 계정을 훔쳤는데), 이제는 백도어를 활용하더군요. 즉 서버를 직접 공략하는 것이죠.” 클라우드는 서버와 엔드포인트 간의 파일 상태를 항상 ‘동기화’ 혹은 ‘싱크’해서 동일하게 맞춘다. 사용자가 인증을 해서 클라우드에 접속하면 서버 측에서 사용자들에게 동기화 토큰 혹은 싱크로 토큰을 넘겨준다(엔드포인트에 저장한다). 이 토큰은 여러 기기 및 시스템에서 사용이 가능하다. 클라우드 침투 공격은 바로 이 싱크 토큰을 훔쳐내는 게 포인트다. 그렇다면 공격자들은 이를 어떻게 훔쳐낼까? 사용자들이 전혀 수상하다고 느끼지 못하지만, 새로운 싱크 토큰을 생성해내게 하는 코드를 실행하도록 만들면 된다. 이때 멀웨어를 사용하면 당연히 일이 커질 가능성이 높다. 그래서 공격자들은 간단하고 일시적인 ‘환결 설정의 변화’만 유도한다고 한다. 그렇다면 사용자에게 이런 코드 실행 행위를 어떻게 강제하는가? 소셜 엔지니어링 기법을 통해서다. 그래서 코드를 실행하는 데까지만 성공하면 싱크 토큰이 새롭게 만들어지고, 엔드포인트의 파일은 정식 클라우드 서버와 동기화(싱크)를 하는 대신 공격자가 지정해준 계정이나 서버와 동기화를 시작한다. 즉 공격자가 지정한 곳에 피해자의 클라우드가 고스란히 복사되는 것이다. 이 모든 과정이 겨우 수초 만에 이루어진다. 여기까지 했다면 공격자에게 남은 할 일이란 자신들의 흔적을 지워내는 것이다. 그래서 피해자 시스템의 레지스트리에서 가짜 토큰을 지워내고 사용자의 진짜 토큰을 다시 삽입해 넣는다. 로그파일을 한줄 한줄 꼼꼼히 살펴보지 않는 한 알아채기 힘든 변화다. 이런 공격법은 어디에 주로 활용될까? 사이버 스파이 행위 혹은 지적재산 탈취에 주로 사용된다. “여기까지는 너무 당연하죠? 그런데 말이죠, 공격자들은 한번 더 이런 당연한 생각들을 꼬았습니다.” 공격자들이 탈취나 도난만 하는 게 아니라 원래 파일을 감염시키기도 했다는 것. “정상 파일에 악성코드를 삽입시키더군요. 아무런 정보를 가져가거나 하지도 않고요. 그리고 나중에 사용자가 그 파일을 실행시킬 때 악성코드를 발동시키는 것이죠. 이 경우 탐지가 수배는 더 어렵게 됩니다. 이런 공격의 진짜 단점은 복구가 불가능하다는 겁니다. 계정을 버리고 다른 계정을 만드는 수밖에 없어요.” 임퍼바 측의 설명이다. 그렇다고 기업들이 클라우드를 사용하지 않을 수도 없는 게 현 시대의 상황이다. 즉 먹잇감이 항상 존재한다는 것도 주요 매력 포인트다. “결국 클라우드에 업로드하기 전에 파일들을 하나하나 암호화시키는 것만이 답입니다.” Copyrighted 2015. UBM-Tech. 117153:0515BC [국제부 문가용 기자(globoan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
