피싱 공격으로 클라우드 HR 솔루션 계정 접근 획득...급여 지급 정보 변경 시도

[보안뉴스 김형근 기자] 클라우드 인사 관리 솔루션에 침투해 월급을 가로채려는 해킹 공격 움직임이 포착됐다.

마이크로소프트(MS) 위협 인텔리전스팀은 ‘스톰-2657’이란 이름으로 추적하는 해커 집단이 SaaS 방식 인사관리(HR) 솔루션 접근 권한을 얻기 위한 공격을 적극적으로 벌이고 있다고 최근 밝혔다.

이들의 최종 목표는 피해자 계정에 침투해 급여를 자신들이 통제하는 계정으로 옮기는 것이다. 이런 해커들을 흔히 ‘급여 해적’(payroll pirates)라 부른다.


▲SaaS 방식 인사 솔루션을 노린 급여 탈취 공격 구조도 [자료: 마이크로소프트] [자료: 연합]

이들 해커 집단은 대학 교직원 등 특정 분야 종사자를 노린 피싱 공격을 통해 SaaS 방식 HR 솔루션 ‘워크데이’ 계정 접근 권한을 얻으려 했다. 워크데이뿐 아니라 비슷한 기업용 SaaS 솔루션은 모두 공격 대상이 될 수 있다고 MS는 경고했다.

이들은 워크데이 서비스의 보안 취약점을 이용하는 것이 아니라, 사회공학적 기법을 적극 활용하고 다중인증(MFA)을 제대로 설정하지 않아 발생하는 보안 허점을 공략했다.

해커들은 중간자 공격(MiTM) 피싱 링크 등 피싱 이메일을 사용해서 직원들의 로그인 자격 증명과 MFA 코드를 한 번에 가로챘다. 이렇게 탈취한 정보로 직원들의 익스체인지 온라인 계정에 접근하고, 싱글 사인온(SSO)을 통해 곧바로 워크데이 계정 프로필까지 장악했다.

계정 탈취 후 해커들은 월급 지급 계좌 정보를 자기들이 관리하는 계좌로 바꾸고, 워크데이에서 오는 경고 메일을 자동으로 삭제하는 받은편지함 규칙까지 설정해 흔적을 지운다. 또 지속적 접근을 위해 피해자 계정에 자기들의 전화번호를 MFA 장치로 등록하기도 했다.

MS는 공격자들이 3개 대학 11개 계정을 성공적으로 해킹한 것을 확인했다. 해킹된 11개 계정은 다른 25개 대학 약 6000개 이메일 계정에 2차 피싱 메일을 대량 살포하는 데 악용됐다.

이 같은 공격을 막으려면 FIDO2 보안 키 같은 피싱 방지 MFA 방법을 도입하고, 계정 내 의심스러운 MFA 장치나 메일 규칙이 없는지 즉시 점검해야 한다고 MS는 권고했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>