[보안뉴스 문가용 기자] 최근 조사를 통해 기업들의 멀웨어 다운로드 출처가 클라우드 애플리케이션임이 밝혀졌다. 보안 업체 넷스코프(Netskope)가 조사한 바에 따르면 2020년 1월 1일부터 2021년 11월 30일까지 기업들로 유입되는 멀웨어의 2/3가 클라우드 애플리케이션에서부터 나왔다고 한다. 웹이나 웹사이트로부터 유입되는 것보다 클라우드를 통해 전파되는 멀웨어가 더 많은 때로 접어들었다.
[이미지 = utoimage]
공격자들의 수단이 이렇게 바뀐 이유는 편의성과 가격 때문이라고 넷스코프의 레이 캔제이니즈(Ray Canzanese)는 설명한다. “클라우드 스토리지 앱들은 저장 용량 설정만 낮게 하면 무료에 가깝게 파일을 호스팅해 줍니다. 게다가 그 클라우드 서비스가 이름까지 알려져 있다면 피해자들의 의심을 피할 확률도 높아지죠. 예를 들어 구글 드라이브나 드롭박스에 호스팅 된 파일이라면, 그냥 이메일로 날아든 파일보다 덜 의심이 가는 게 사실입니다.”
물론 클라우드라고 해서 ‘프리패스’인 건 아니다. 대형 서비스일수록 악의적인 목적을 가지고 호스팅 된 파일을 빠르게 파악해 제거한다. 이런 기능이 점점 더 기본으로 자리를 잡아가고 있기도 하다. 하지만 문제는 공격자 입장에서 이런 식의 제재를 당했을 때, 간편하게 새로운 계정을 만들고 또 다시 걸릴 때까지 같은 공격을 반복하면 그만이다. 잃을 게 사실상 없다는 게 클라우드 앱을 활용한 공격의 큰 장점이라고 캔제이니즈는 설명한다.
넷스코프의 분석에 따르면 공격자들이 가장 많이 활용하는 서비스는 구글 드라이브라고 한다. 원래는 마이크로소프트의 원드라이브가 1등이었는데, 최근 구글 드라이브가 앞질렀다. “2021년 한 해 동안 클라우드를 통해 전파된 앱들 중 대다수가 구글 드라이브로부터 나왔습니다. 이런 면에서는 구글 드라이브가 압도적인 1위를 차지하고 있다고 봐도 무방합니다.”
또 하나 주목해서 봐야 할 현상은 악성 오피스 문건을 통해 전파되는 멀웨어 역시 크게 증가했다는 것이다. 2020년 초반부에만 하더라도 전체 멀웨어의 19%를 차지했는데, 지금은 37%에 이른다. 오피스를 활용해 멀웨어를 전파하는 공격이 2배 가까이 증가한 것이다. 여기에는 2020년 2사분기에 발생한 대규모 이모텟(Emotet) 캠페인의 작용도 상당한 몫을 차지하고 있다. 그 후 이모텟만큼 오피스를 악용한 멀웨어 캠페인은 나타나지 않고 있지만, 이를 모방한 후속 공격들이 꾸준히 증가하는 중이다.
캔제이니즈는 “당신이 어떤 클라우드 서비스를 사용하든 공격자가 없는 곳은 없다”고 말한다. 그러나 인기라는 면에 있어서는 당연히 차등이 존재한다. “구글 드라이브, 원드라이브, 박스가 공격자들 사이에서는 가장 인기가 높습니다. 그러나 이들만 조심하면 되느냐 하면 절대 그렇지 않습니다. 2021년 한 해 동안 공격자들이 멀웨어 유포에 사용한 클라우드 서비스는 230개가 넘습니다. 즉 클라우드 서비스를 사용한다면 누구나 공격의 대상이 될 수 있다는 뜻입니다.”
클라우드가 공격자의 주류 도구가 되었다는 건 보안 담당자들에게 무슨 뜻일까? “회사가 승인한 클라우드 서비스라고 해서 무조건 신뢰하지 말아야 합니다. 10년 동안 사용해 왔던 앱이라고 하더라도 매번 이 클라우드로 파일을 올리거나 내릴 때, 최소 스캔부터 한 번 하도록 정책을 바꾸는 것이 안전합니다. 즉 제로트러스트를 적용하라는 뜻이 됩니다. 싱글사인온이나 다중 인증 시스템을 도입하는 것도 클라우드 애플리케이션으로부터의 공격 확률을 낮추는 좋은 방법입니다.”
구글 워크스페이스나 오피스 365와 같은 ‘매니지드 앱’을 사용하더라도 안심할 수 없다고 넷스코프는 강조한다. “중앙 IT 팀이 관리하는 클라우드 앱들이 있습니다. 이런 앱들은 크리덴셜 공격에 당할 수 있습니다. 공격자들의 동기는 이런 앱들에 저장된 중요 데이터에 접근하는 것 혹은 이 앱들을 통해 조직 전체 네트워크에 침투하는 것이지요. 멀웨어 유포와는 조금 성격이 다르긴 하지만 피해를 입힌다는 면에서는 동일합니다.”
캔제이니즈는 “클라우드 서비스의 활용이라는 측면에서 공격자들이 한 발 더 나아간 형국”이라며 “이제 보안 업계가 한 발 나아가야 할 차례”라고 강조했다. “일부 클라우드 서비스들은 이미 공격자들을 방해하기 시작했습니다. 구글 드라이브나 원드라이브의 경우, 구글과 MS가 자체적으로 멀웨어 스캐닝을 합니다. 공격자들은 이 스캔에 걸리지 않도록 전략을 짜고 페이로드를 만들어야 한다는 부담감을 갖게 됩니다.”
캔제이니즈는 “모든 클라우드 서비스들에서 비슷한 기능이 도입되고 있지만 시간이 좀 걸릴 것”이라며 “어떤 클라우드를 사용하든 결국 업로드하고 다운로드 하는 파일이 정확히 무엇인지 파악하는 습관을 조직 전체가 길러야 하는 건 분명하다”고 권고했다.
3줄 요약
1. 웹사이트나 각종 웹 링크 통해 멀웨어 유포하던 공격자들, 클라우드 적극 활용.
2. 이제는 클라우드에 호스팅 된 멀웨어가, 다른 곳에 저장된 멀웨어보다 훨씬 많음.
3. 클라우드 서비스 활용 시 업/다운로드 되는 파일 꼼꼼하게 점검해야 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>