유명한 업체를 사칭하는 것, 그리고 인기 높은 기능들을 악용하는 것은 해커들의 주특기이다. 모든 유명 브랜드들이 이런 종류의 내홍을 몇 번씩 겪은 바 있다. 클라우드플레어도 이런 공격자들로부터 벗어날 수 없었다.
[보안뉴스 문정후 기자] 유명하면 위험해진다. 이는 적어도 사이버 공간에서는 변치 않는 진리이다. 조금이라도 유명해졌다 하면 그게 개인이든 회사이든 단체이든 공격자들이 사칭하기 때문이다. 클라우드 기반 콘텐츠 배포 및 사이버 보안 업체 클라우드플레어(Cloudflare)가 최근 들어 공격자들의 관심을 받기 시작했는데, 클라우드플레어가 사칭하기 딱 좋을 정도로 유명해졌기 때문이다.
[이미지 = gettyimagesbank]
보안 업체 포트라(Fortra)가 자사 블로그를 통해 공개한 내용에 의하면 “클라우드플레어 페이지(Cloudflare Pages)가 주요 표적”이라고 한다. 특히 두 개의 도메인이 피싱 공격에 악용되는 사례가 늘어나고 있다고 하는데 하나는 workers.dev이고 다른 하나는 pages.dev라는 설명도 덧붙였다. “workers.dev는 클라우드플레어의 서버리스 컴퓨팅 플랫폼인 워커스(Workers)와 관련된 도메인이고 pages.dev는 클라우드플레어 페이지 플랫폼에서 웹 페이지와 사이트를 개발할 때 사용되는 도메인입니다. 꽤나 유명하고, 사용자도 많지요. 공격자들은 이런 특징을 이용해 악성 행위를 실시하고 있습니다.”
왜 클라우드플레어인가?
공격자들이 클라우드플레어 플랫폼을 공격의 발판으로 삼는 건 단순히 유명해서만은 아니라고 포트라는 지적한다. “클라우드플레어 페이지는 웹 페이지 배포 플랫폼입니다. 합법적인 개발자는 물론 악의적인 행위자 모두에게 편리함을 제공해주죠.” 그러면서 공격자들에게 클라우드플레어 페이지가 유용한 이유를 다음과 같이 꼽았다.
1) 평판이 좋다 : 유명하다는 것과 비슷한 말인데, 클라우드플레어가 가지는 브랜드 가치 그 자체가 공격자들에게 유용하다. 소비자들이 쉽게 신뢰하기 때문이다.
2) 전 세계적인 콘텐츠 전송 네트워크다 : 그렇기 때문에 피싱 사이트가 전 세계적으로 빠르고 안정적으로 로드된다. 공격의 효율성을 높이는 데 일조한다는 뜻이다.
3) 사용이 용이하다 : 클라우드플레어는 아무나 무료로 쉽고 간단한 호스팅 서비스를 이용하게 해 준다. 자원을 아끼고자 하는 공격자들에게는 이상적인 환경이다.
4) 자동 SSL/TLS 암호화가 된다 : HTTPS 보안을 제공하기 때문에 사이트의 신뢰도가 저절로 높아지며, 따라서 피해자의 신뢰를 사기가 쉽다.
5) 맞춤형 도메인 및 URL 마스킹이 가능하다 : 그러므로 가짜 사이트를 더 정교하게 위장할 수 있다.
6) 리버스 프록시 기술이 탑재되어 있다 : 악성 콘텐츠의 출처를 추적하기가 어려워진다.
정확히 어떤 공격이 이뤄지고 있는가?
포트라에 의하면 공격자들은 “피싱 URL을 감추어 보안 시스템의 탐지를 회피하는 수법을 자주 활용한다”고 한다. “피싱에 주의해야 한다는 말이 하도 많이 나와서 요즘 많은 사용자들이 클릭하기 전에 링크 주소를 확인하고 수상하면 클릭하지 않지요. 그래서 공격자들은 URL조차 진짜처럼 만들어 피해자를 속이는데, 클라우드플레어를 통해 이런 URL 속이기를 간편하게 해냅니다. 이런 수법으로 공격자들은 주로 가짜 PDF 파일이 다운로드 되도록 유도합니다.”
게다가 공격자들은 클라우드플레어와 함께 다른 유명 기업을 같이 사칭함으로써 ‘신뢰의 벽’을 두텁게 쌓기도 한다. “특정 버튼을 누르면 마이크로소프트 원드라이브 페이지로 이동해 회사 제안서로 위장된 문서를 다운로드 하게 됩니다. MS가 가진 브랜드 가치를 통해 사용자의 신뢰를 한 번 더 얻어내는 것이죠. 클라우드플레어에 MS까지 등장하니 피해자는 더 속기가 쉬워지고, 그 결과 악성 파일을 다운로드 받게 됩니다. 이 파일을 열면 가짜 오피스365 로그인 페이지가 열리고, 접속 크리덴셜이 공격자의 손에 들어갑니다.”
클라우드플레어 워커스는 개발자가 자바스크립트 코드를 직접 클라우드플레어의 CDN 엣지에서 실행할 수 있도록 설계된, 서버리스 컴퓨팅 플랫폼이다. 서버에서 클라이언트로 데이터가 오가는 과정이 생략되므로 지연 시간이 줄어들고 웹 애플리케이션의 성능이 향상된다는 장점을 가지고 있다. 하지만 해커들은 이 장점을 악용하고 있는데, 현재까지 발견된 ‘클라우드플레어를 악용한 공격’은 다음과 같다.
1) 디도스
2) 피싱 사이트 분산 및 배포
3) 민감 사용자 데이터 유출
4) 악성 우회 공격
5) 악성 스크립트 삽입
6) 보안 시스템 회피
7) 무작위 대입을 통한 로그인 시도
클라우드플에어 악용과 관련된 통계 자료
포트라에 의하면 클라우드플레어의 이러한 특징들이 공격자들을 매료시킨 게 분명하다고 한다. “2023년에는 클라우드플레어를 악용한 사례가 460건이었습니다. 하지만 올해 10월 중순을 기준으로 이미 1370건이 넘었습니다. 작년 대비 198% 증가한 것입니다. 한 달 평균 137건이며, 이 추세로 가면 올 한해 1600건이 넘을 것으로 예상할 수 있습니다. 그렇게 된다면 작년 대비 257% 증가한 것이 됩니다.”
클라우드플레어 워커스를 악용한 공격 역시 급증하고 있다고 한다. “피싱 공격의 경우 2023년 2447건에서 2024년 현재까지 4999건으로 늘어났습니다. 104% 증가한 것입니다. 월 평균 499건이라고 할 수 있으며, 그 추세라면 6000건이 거뜬히 넘을 것으로 보입니다. 그럴 경우 전년 대비 145% 증가한 게 됩니다.”
이를 클라우드플레어도 알고 있다. “그래서 클라우드플레어는 위협 탐지 시스템, 피싱 탐지, 사용자 보고 메커니즘과 같은 여러 장치들을 마련해 사용자들을 보호하고 있습니다. 하지만 그럼에도 악성 콘텐츠가 피해로 이어지는 사례를 100% 막지는 못하고 있습니다. 탐지보다 빠르게 공격이 시작되기도 하지요. 아마 이러한 상황은 앞으로도 지속될 겁니다. 공격자들이 플랫폼 악용 방법을 끊임없이 갈고 닦고 있거든요.”
포트라는 이것이 클라우드플레어의 약점이나 잘못으로부터 비롯된 게 아니라고 강조한다. “공격자들이 클라우드플레어의 취약점을 찾아 익스플로잇 하는 게 아닙니다. 공격자들 편에서 클라우드플레어가 상업적으로 제공하는 합법적 기능과, 클라우드플레어가 가진 특성들을 악의적으로 활용하는 것이죠.”
포트라는 블로그를 통해 몇 가지 당부 사항을 추가하며 사용자가 스스로를 보호할 수 있도록 했다.
1) 낯선 웹사이트를 방문할 때 특히 주의하고, 개인정보를 요청하는지를 확인한다.
2) URL이 정상적인지를 확인한다. 도메인을 통해 접속했을 때 예상했던 곳으로 접속되는지를 지켜봐야 한다.
3) 이중인증을 활성화해서 계정을 더 단단히 보호한다.
4) 클라우드플레어 페이지를 사용하는 개발자라면 사이트의 디펜던시 상황을 정기적으로 확인 및 업데이트 하고, HTTPS 보안 도구를 활용해야 한다. 또한 의심스러운 활동에 대한 모니터링도 게을리 해서는 안 된다.
5) 피싱 시도나 악성 활동이 포착됐다면 클라우드플레어에 알려 사례가 확산되지 않도록 한다.
3줄 요약
1. 유명 CDN인 클라우드플레어, 공격자들에게 많은 관심 받고 있음.
2. 유명하다는 것, CDN이라 콘텐츠 배포에 특화되어 있다는 게 공격자들의 선호 이유.
3. 클라우드플레어의 잘못이 아니라, 공격자들이 정상적인 기능들을 악용하는 것.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 유명하면 위험해진다. 이는 적어도 사이버 공간에서는 변치 않는 진리이다. 조금이라도 유명해졌다 하면 그게 개인이든 회사이든 단체이든 공격자들이 사칭하기 때문이다. 클라우드 기반 콘텐츠 배포 및 사이버 보안 업체 클라우드플레어(Cloudflare)가 최근 들어 공격자들의 관심을 받기 시작했는데, 클라우드플레어가 사칭하기 딱 좋을 정도로 유명해졌기 때문이다.
[이미지 = gettyimagesbank]
보안 업체 포트라(Fortra)가 자사 블로그를 통해 공개한 내용에 의하면 “클라우드플레어 페이지(Cloudflare Pages)가 주요 표적”이라고 한다. 특히 두 개의 도메인이 피싱 공격에 악용되는 사례가 늘어나고 있다고 하는데 하나는 workers.dev이고 다른 하나는 pages.dev라는 설명도 덧붙였다. “workers.dev는 클라우드플레어의 서버리스 컴퓨팅 플랫폼인 워커스(Workers)와 관련된 도메인이고 pages.dev는 클라우드플레어 페이지 플랫폼에서 웹 페이지와 사이트를 개발할 때 사용되는 도메인입니다. 꽤나 유명하고, 사용자도 많지요. 공격자들은 이런 특징을 이용해 악성 행위를 실시하고 있습니다.”
왜 클라우드플레어인가?
공격자들이 클라우드플레어 플랫폼을 공격의 발판으로 삼는 건 단순히 유명해서만은 아니라고 포트라는 지적한다. “클라우드플레어 페이지는 웹 페이지 배포 플랫폼입니다. 합법적인 개발자는 물론 악의적인 행위자 모두에게 편리함을 제공해주죠.” 그러면서 공격자들에게 클라우드플레어 페이지가 유용한 이유를 다음과 같이 꼽았다.
1) 평판이 좋다 : 유명하다는 것과 비슷한 말인데, 클라우드플레어가 가지는 브랜드 가치 그 자체가 공격자들에게 유용하다. 소비자들이 쉽게 신뢰하기 때문이다.
2) 전 세계적인 콘텐츠 전송 네트워크다 : 그렇기 때문에 피싱 사이트가 전 세계적으로 빠르고 안정적으로 로드된다. 공격의 효율성을 높이는 데 일조한다는 뜻이다.
3) 사용이 용이하다 : 클라우드플레어는 아무나 무료로 쉽고 간단한 호스팅 서비스를 이용하게 해 준다. 자원을 아끼고자 하는 공격자들에게는 이상적인 환경이다.
4) 자동 SSL/TLS 암호화가 된다 : HTTPS 보안을 제공하기 때문에 사이트의 신뢰도가 저절로 높아지며, 따라서 피해자의 신뢰를 사기가 쉽다.
5) 맞춤형 도메인 및 URL 마스킹이 가능하다 : 그러므로 가짜 사이트를 더 정교하게 위장할 수 있다.
6) 리버스 프록시 기술이 탑재되어 있다 : 악성 콘텐츠의 출처를 추적하기가 어려워진다.
정확히 어떤 공격이 이뤄지고 있는가?
포트라에 의하면 공격자들은 “피싱 URL을 감추어 보안 시스템의 탐지를 회피하는 수법을 자주 활용한다”고 한다. “피싱에 주의해야 한다는 말이 하도 많이 나와서 요즘 많은 사용자들이 클릭하기 전에 링크 주소를 확인하고 수상하면 클릭하지 않지요. 그래서 공격자들은 URL조차 진짜처럼 만들어 피해자를 속이는데, 클라우드플레어를 통해 이런 URL 속이기를 간편하게 해냅니다. 이런 수법으로 공격자들은 주로 가짜 PDF 파일이 다운로드 되도록 유도합니다.”
게다가 공격자들은 클라우드플레어와 함께 다른 유명 기업을 같이 사칭함으로써 ‘신뢰의 벽’을 두텁게 쌓기도 한다. “특정 버튼을 누르면 마이크로소프트 원드라이브 페이지로 이동해 회사 제안서로 위장된 문서를 다운로드 하게 됩니다. MS가 가진 브랜드 가치를 통해 사용자의 신뢰를 한 번 더 얻어내는 것이죠. 클라우드플레어에 MS까지 등장하니 피해자는 더 속기가 쉬워지고, 그 결과 악성 파일을 다운로드 받게 됩니다. 이 파일을 열면 가짜 오피스365 로그인 페이지가 열리고, 접속 크리덴셜이 공격자의 손에 들어갑니다.”
클라우드플레어 워커스는 개발자가 자바스크립트 코드를 직접 클라우드플레어의 CDN 엣지에서 실행할 수 있도록 설계된, 서버리스 컴퓨팅 플랫폼이다. 서버에서 클라이언트로 데이터가 오가는 과정이 생략되므로 지연 시간이 줄어들고 웹 애플리케이션의 성능이 향상된다는 장점을 가지고 있다. 하지만 해커들은 이 장점을 악용하고 있는데, 현재까지 발견된 ‘클라우드플레어를 악용한 공격’은 다음과 같다.
1) 디도스
2) 피싱 사이트 분산 및 배포
3) 민감 사용자 데이터 유출
4) 악성 우회 공격
5) 악성 스크립트 삽입
6) 보안 시스템 회피
7) 무작위 대입을 통한 로그인 시도
클라우드플에어 악용과 관련된 통계 자료
포트라에 의하면 클라우드플레어의 이러한 특징들이 공격자들을 매료시킨 게 분명하다고 한다. “2023년에는 클라우드플레어를 악용한 사례가 460건이었습니다. 하지만 올해 10월 중순을 기준으로 이미 1370건이 넘었습니다. 작년 대비 198% 증가한 것입니다. 한 달 평균 137건이며, 이 추세로 가면 올 한해 1600건이 넘을 것으로 예상할 수 있습니다. 그렇게 된다면 작년 대비 257% 증가한 것이 됩니다.”
클라우드플레어 워커스를 악용한 공격 역시 급증하고 있다고 한다. “피싱 공격의 경우 2023년 2447건에서 2024년 현재까지 4999건으로 늘어났습니다. 104% 증가한 것입니다. 월 평균 499건이라고 할 수 있으며, 그 추세라면 6000건이 거뜬히 넘을 것으로 보입니다. 그럴 경우 전년 대비 145% 증가한 게 됩니다.”
이를 클라우드플레어도 알고 있다. “그래서 클라우드플레어는 위협 탐지 시스템, 피싱 탐지, 사용자 보고 메커니즘과 같은 여러 장치들을 마련해 사용자들을 보호하고 있습니다. 하지만 그럼에도 악성 콘텐츠가 피해로 이어지는 사례를 100% 막지는 못하고 있습니다. 탐지보다 빠르게 공격이 시작되기도 하지요. 아마 이러한 상황은 앞으로도 지속될 겁니다. 공격자들이 플랫폼 악용 방법을 끊임없이 갈고 닦고 있거든요.”
포트라는 이것이 클라우드플레어의 약점이나 잘못으로부터 비롯된 게 아니라고 강조한다. “공격자들이 클라우드플레어의 취약점을 찾아 익스플로잇 하는 게 아닙니다. 공격자들 편에서 클라우드플레어가 상업적으로 제공하는 합법적 기능과, 클라우드플레어가 가진 특성들을 악의적으로 활용하는 것이죠.”
포트라는 블로그를 통해 몇 가지 당부 사항을 추가하며 사용자가 스스로를 보호할 수 있도록 했다.
1) 낯선 웹사이트를 방문할 때 특히 주의하고, 개인정보를 요청하는지를 확인한다.
2) URL이 정상적인지를 확인한다. 도메인을 통해 접속했을 때 예상했던 곳으로 접속되는지를 지켜봐야 한다.
3) 이중인증을 활성화해서 계정을 더 단단히 보호한다.
4) 클라우드플레어 페이지를 사용하는 개발자라면 사이트의 디펜던시 상황을 정기적으로 확인 및 업데이트 하고, HTTPS 보안 도구를 활용해야 한다. 또한 의심스러운 활동에 대한 모니터링도 게을리 해서는 안 된다.
5) 피싱 시도나 악성 활동이 포착됐다면 클라우드플레어에 알려 사례가 확산되지 않도록 한다.
3줄 요약
1. 유명 CDN인 클라우드플레어, 공격자들에게 많은 관심 받고 있음.
2. 유명하다는 것, CDN이라 콘텐츠 배포에 특화되어 있다는 게 공격자들의 선호 이유.
3. 클라우드플레어의 잘못이 아니라, 공격자들이 정상적인 기능들을 악용하는 것.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
