클라우드 오피스 사용자 계정 탈취를 노린 대규모 공격이 발견됐다.
미국 보안업체 프루프포인트는 최근 6개월간 주요 클라우드 서비스 사용자 계정 보안 위협을 조사했다. 수백만 개 계정에서 일어난 무단 접속 10만 건 이상을 분석한 결과, 탈취된 인증정보와 레가시 인증 프로토콜을 바탕으로 한 대규모 침해 사실을 발견했다.
공격자는 레가시 인증 프로토콜을 악용해 다중인증을 우회, 비밀번호 스프레이 공격으로 사용자 계정 탈취를 노렸다. 가장 많이 악용된 레가시 프로토콜은 이메일 전송에 쓰이는 인터넷메시지액세스프로토콜(IMAP)이다. 마이크로소프트(MS) 오피스 365와 구글 G스위트 사용자 60%가 IMAP 기반 공격 타깃이 됐고, 사용자 25%가 침해를 겪었다. 공격자는 특정 조직을 표적 삼은 계정 유출에서 44%에 이르는 성공률을 기록했다.
이러한 공격은 과거 유출된 정보 위주로 7억7300만 개 이메일과 2100만 개 비밀번호 정보를 담은 '콜렉션#1' 데이터 덤프가 해킹 포럼에 유포된 지난해 12월에 급격히 증가했다. 공격자는 취약한 라우터나 서버 수천 대를 해킹해 공격에 썼다. 탈취한 네트워크 기기로 평균 2.5일마다 클라우드 사용자 계정에 접근을 시도했다. 무단 접속 시도 대부분은 나이지리아 IP로 이뤄졌다. 침입에 성공한 공격 40%는 나이지리아 IP, 26%는 중국 IP인 것으로 조사됐다.
공격자는 이메일 피싱 공격을 병행했다. 공격자는 탈취한 인증정보로 사용자 클라우드 애플리케이션 계정에 침입한다. 내부에서 피싱 공격을 벌이고, 이메일 계정 권한 설정을 이용해 중간자(MITM) 공격도 실행한다. 주로 기업 경영진이나 관리자 계정을 타깃으로 삼았다.
프루프포인트는 “공격자는 점점 더 정교한 수법으로 사용자 클라우드 계정에 침해를 가한다. 다중인증의 취약함이 증명됐고, 서비스 계정과 공유된 메일함은 특히 취약하다”며 “클라우드 계정에 대한 위협에 대처하기 위해 사용자 교육을 비롯해 계층적·지능적 보안 대책을 시행할 필요가 있다”고 말했다.
팽동현기자 paing@etnews.com
