• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

사이버 사기 범죄, 클라우드로 한층 강화되다 2019.05.08

온라인 데이팅, 기술 지원 등 사기 위한 사이트를 클라우드에 호스팅
AWS, 애저, 구글 등 다양한 유명 클라우드 서비스 활용해

[보안뉴스 문가용 기자] 사이버 범죄자들이 정상 클라우드 서비스들을 남용하는 새로운 방법들을 고안해낸 것으로 보인다. 이를 통해 보안 통제 장치들을 우회하고, 자신들의 악성 행위들을 보다 그럴 듯하게 꾸민다고 한다.

[이미지 = iclickart]


보안 업체 넷스코프(Netskope)가 발견한 바에 의하면 “최근 공격자들은 피싱 이메일과 단문 메시지들에 악성 사이트로 연결되는 링크를 보내는데, 이 악성 사이트나 콘텐츠는 AWS나 애저, 알리바바 클라우드, 구글 독스 등 유명 클라우드 서비스에 호스팅 되어 있다”고 한다.

넷스코프는 공격자들이 가짜 제약 관련 사이트, 온라인 데이팅 사이트, 기술 지원 사이트 등을 호스팅 해놓고 피해자들을 꼬드긴다고 발표했다. “이런 사이트들은 대부분 크리덴셜을 훔치거나 피해자들을 협박하기 위한 용도로 만들어져 있습니다. 한 공격자는 구글 독스를 통해 악성 링크가 포함되어 있는 프레젠테이션 파일을 전파하기도 했습니다.”

크리덴셜을 훔치고 피해자를 협박하는 수법 자체야 낡고 흔한 것이지만, 여기에 정상 클라우드 서비스를 혼합한 것은 최근에서야 발견된 것이다. “공격자들에게 있어 AWS나 애저와 같은 클라우드 인프라의 등장은 저렴하고 역동적인 호스팅 서비스가 생긴 것과 마찬가지입니다. 웹 호스팅뿐만 아니라 다양한 기능을 기본으로 제공하고 있죠.” 넷스코프의 전문가 아비나브 싱(Abhinav Singh)의 설명이다.

“원래 이런 종류의 사기성 범죄(scam)는 새로운 도메인 이름을 등록하거나 정상 도메인을 침해하는 방식으로 악성 콘텐츠가 호스팅 되곤 했습니다. 클라우드가 사용된 건 최근의 일입니다. 클라우드를 통해서는 클릭 몇 번으로 무한개의 도메인 이름을 생성할 수 있다는 장점이 있습니다.” 싱의 설명이다.

“객체 저장소를 생성하고, 이름을 부여하고 나서는 사용자가 해당 이름을 가지고 있는 객체들에 접근할 수 있게 됩니다. 예를 들어 A라는 사람이 AWS S3 스토리지 버킷을 만들고 my-text-bucket이라는 이름을 붙였다고 합시다. 그렇다면 A는 my-test-bucket.s3.Amazonaws.com이라는 도메인을 통해 해당 버킷에 접근할 수 있게 된다는 겁니다.”

그렇다는 건 공격자가 악성 사이트나 콘텐츠를 클라우드 객체 저장소에 호스팅했을 때, 들키고 차단된다고 해도 도메인을 계속해서 새롭게 등록할 필요가 없어진다는 뜻이라고 싱은 설명한다. “공격자들은 그저 도메인 생성 알고리즘을 사용해 새로운 객체 저장소와 URL을 필요한 만큼 생성하면 됩니다.”

또한 악성 사이트지만, 수많은 사용자들에게 신뢰받고 있는 클라우드 서비스를 인프라로서 활용하고 있기 때문에 악성 링크가 더 ‘믿을만하게’ 보인다는 장점도 있다. 콘텐츠 필터링 기능도 우회할 수 있다. 그렇다고 클라우드 서비스 제공업체들이 이러한 행위를 파악하고 근절시킬 수 있는 것도 아니라고 한다. 이 때문에 온라인 사기 공격은 더 극성을 피우고 있는 상황이다.

넷스코프에 의하면 “공격자들은 현재 클라우드 서비스를 적극적으로 활용해 공격 인프라로서 활용하고 있으며, 이것이 유행처럼 자리 잡아가고 있는 중”이라고 한다. “뿐만 아니라 이러한 기법을 응용해 구글 드라이브와 같은 서비스를 사용하는 기업들을 표적으로 삼아 공격하는 것도 가능합니다.”

싱은 “앞으로 클라우드를 사용하는 공격자들의 기법이 대세로 자리 잡을 것으로 예상한다”고 말한다. “이미 클라우드를 통해 암호화폐를 채굴하고, 멀웨어를 호스팅하며, 피싱하는 건 흔한 것이 되었죠. 온라인 사기도 그 뒤를 이을 겁니다.”

그래서 싱은 “임직원들을 교육시켜 클라우드 서비스의 이름을 가진 도메인이라고 해서 함부로 클릭하지 않도록 해야 한다”고 설명한다. “또한 조직 차원에서 이런 공격을 방어할 수 있도록 정책과 각종 필터링 장치를 도입해야 합니다. 방어 전략도 수정해야겠지요. 결국 주어진 기술을 누가 빨리 이해하고 활용하느냐의 싸움입니다.”

3줄 요약
1. 사이버 공격 중 사기를 기반으로 하고 있는 공격자들, 클라우드 사용하기 시작.
2. 클라우드에 가짜 데이팅, 기술 지원 사이트 등 마련해놓고 마음껏 피해자들 유도.
3. 도메인 하나하나 등록할 필요 없고, 링크 주소가 더 믿음직스럽게 보이는 효과.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>