크리덴셜에 대한 수요 자연스럽게 올라가자 다크웹에서 정보 공유돼
[보안뉴스 문가용 기자] 화상 회의 플랫폼인 줌(Zoom)에서 이른 바 ‘줌 폭탄(Zoom bombing)’ 공격이 이어짐에 따라 사용자 기업들이 비밀번호를 설정하는 등 화상 회의 세션에 대한 보안을 강화하기 시작했다. 그러자 줌 회의 세션 크리덴셜에 대한 수요가 사이버 공격자들 사이에서 높아졌고, 이에 따라 실제 다크웹에서 줌 크리덴셜 시장이 형성되기 시작했다. 이를 두 개의 보안 업체가 확인했다.
[이미지 = iclickart]
한 사이버 범죄자는 다크웹에 2300개의 사용자 이름과 비밀번호가 결합된 데이터베이스를 유통하기 시작했다. 전부 줌 계정들이었다. 이는 위협 첩보 전문 업체인 인트사이츠(IntSights)가 처음 발견해 보고서 형식으로 발표했다. 이 데이터베이스를 구매할 경우 디도스 공격이나 줌 폭탄 공격을 실시할 수 있게 될 뿐만 아니라 회의 엿듣기나 소셜 엔지니어링 공격도 실시할 수 있게 된다고 인트사이츠의 CSO인 이테이 마오르(Etay Maor)는 설명했다.
“또한 공격자가 이 DB를 확보한 뒤 계정 주인을 특정할 수 있게 된다면, 그 사람인 척 회의 세션을 개설해 더 큰 일을 벌일 수도 있습니다. 중요한 파트너사와 회의를 시작해서 상상도 못할 손해를 끼칠 수도 있게 됩니다. 게다가 구글과 링크드인 검색을 조금만 해보면 계정 주인 찾는 게 그리 어려운 일도 아닙니다.” 마오르의 설명이다.
또 다른 사이버 범죄자는 350개가 넘는 줌 계정 크리덴셜을 다크웹 포럼에 올렸다. 교육 기관과 소규모 기업체들에서 사용하는 것이 대부분인데, 의료 기관의 것도 하나 있는 것으로 알려졌다. 이를 발견한 보안 업체 식스길(Sixgill)은 “화상 회의 세션에 불쑥 들어가 여러 가지 방해 행위를 하라고, 독려하는 차원에서 이런 정보를 업로드 한 것으로 보인다”고 분석했다.
전 세계에서 원격 근무자들이 늘어남에 따라 사이버 공격자들이 ‘원격 근무 인프라’를 끊임없이 노리고 있는 상황이다. 코로나 바이러스나 팬데믹이라는 주제를 미끼로 사용한 피싱 공격을 퍼붓는 것은 물론이고, VPN 애플리케이션이나 원격 데스크톱 프로토콜(RDP)을 겨냥한 익스플로잇 공격도 이어지고 있다. 화상 회의 애플리케이션들도 당연히 표적이 되고 있다.
인트사이츠는 이번 발표를 통해 “이미 VPN이나 RDP, 화상 회의 애플리케이션들에서는 여러 가지 취약점들이 나오고 있는 상황”이라고 썼다. 게다가 “집에서 근무를 하게 되니 가장 기본적인 보안 수칙들도 잘 안 지켜지고 있어 문제가 더 심각하다”고 한다. “화상 회의가 비밀번호 없이 개설되거나, 비밀번호나 중요한 ID가 아무렇게나 노출되는 경우도 많습니다. 공격자들이 이런 호기를 놓칠 리가 없죠.”
지난 10월 보안 전문가들은 줌과 시스코의 웹엑스(WebEx) 화상 회의 애플리케이션에서 취약점을 하나 발견했다. 비밀번호가 걸려 있지 않은 회의를 찾아 참석할 수 있게 해주는 오류였다. 공격자들은 자동화 기술을 접목해 비밀번호가 걸려 있지 않은 회의 세션을 검색한 후 자동으로 참석할 수 있게 되었다.
줌과 시스코는 이 문제를 패치로 해결했다. 하지만 패치를 적용하지 않은 사용자들이 아직도 많이 있는 것으로 알려져 있으며, 비밀번호를 걸지 않고 회의를 전체 공개로 진행하는 사람들이 여전히 존재해서 문제다. “그런 경우 공격자들은 자동화 도구로 회의를 찾아내 합류할 수 있습니다. 누군가 프레젠테이션을 하고 있다거나 엄청나게 많은 사람이 참석해 있는 경우, 새로운 사람이 회의장에 들어왔을 때 눈에 안 띕니다. 그러면 공격자는 조용히 앉아서 지적재산이나 민감 정보를 수집하기만 하면 됩니다.” 마오르의 설명이다.
왜 전체 공개로 회의를 하는 걸까? 왜 누군가 합류해도 경고가 뜨지 않도록 설정을 해놓는 걸까? 마오르는 “편리함 때문”이라고 지적한다. “줌이나 다른 화상 회의 앱을 그렇게 써온 사람들은 새로운 사고가 터지고 보안 이슈가 생겨도 사용 습관을 고치지 않습니다. 갑자기 비밀번호를 걸고, 갑자기 참석자가 합류할 때마다 알림이 뜨게 하면 불편하기 때문이죠. 이게 보안의 딜레마이기도 합니다. 강화를 위해선 사용자 경험을 어느 정도 손상시킬 수밖에 없다는 것 말이죠.”
마오르는 “보안을 친절하게만 넣을 수는 없다”고 말한다. “줌의 경우는 반드시 ‘불편함’이라는 대가를 치러야 안전함이 따라옵니다. 줌이 만약 회사 차원에서 모든 사용자가 로그인을 할 때마다 비밀번호를 입력하는 것은 물론 캡챠(Captcha)까지 진행하도록 한다면 환경은 확실히 안전해질 겁니다. 자동화 도구도 접속이 어렵게 되겠죠. 그런데 그렇게 하면 사용자들도 같이 떨어져 나갈 겁니다. 이 경우 강화된 로그인 옵션 같은 걸 ‘옵트인’ 방식으로 첨가할 수 있을 겁니다. 그러면 안전이 사용자의 책임으로 넘어가죠.”
3줄 요약
1. 줌이 문제가 되면서 비밀번호 거는 사용자들 늘어남.
2. 그러자 다크웹에서 줌 크리덴셜이 거래되기 시작.
3. 하지만 아직도 줌 회의를 전체 공개로 하는 사용자들 많음. 크리덴셜 시장 별 반응 없을지도.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>