사용자 기업들 사이에서 오피스 365 도입하는 비율 높아지고 있어...공격자들 연구 활발
그저 이메일 및 공유 플랫폼으로만 생각하면 안 돼...클라우드에 대한 학습부터 선행되어야
[보안뉴스 문가용 기자] 기업들의 이메일 플랫폼 시장을 MS 오피스 365가 점점 장악하고 있는 상황이다. 때문에 사이버 범죄자들 사이에서도 오피스 365에 대한 관심이 높아지고 있다. 보안 업체 맨디언트(Mandiant)의 조시 매들리(Josh Madeley)에 의하면 “APT 공격자들도 오피스 365를 창의적인 방법으로 공격에 활용하고 있다”고 한다.
[이미지 = utoimage]
오피스 365에는 정보 공유와 협업을 위한 도구인 익스체인지(Exchange), 팀즈(Teams), 셰어포인트(SharePoint), 원드라이브(OneDrive)와 같은 것들이 포함되어 있다. 이 툴들에 저장되어 있는 데이터만 생각해도 공격자들이 오피스 365를 노린다는 게 그리 이상하게 생각되지 않는다. “심지어 오피스 365만 잘 털어도, 굳이 회사의 온프레미스 네트워크를 해킹할 필요가 없게 되죠.”
작년 한 해 동안에도 수많은 APT 단체들이 오피스 365에 대한 관심을 보였다. 맨디언트의 수석 컨설턴트인 더그 비엔스톡(Doug Bienstock)은 “이제 오피스 365 플랫폼은 정보의 광산과 같다”고 표현한다. “APT 공격자들은 원래 데이터를 노리는 경우가 많고, 보다 많은 데이터를 갖기 위해 오랜 기간 동안 피해자의 네트워크에 머물러 있는 걸 선호합니다. 또한 한 기업을 침해해 다른 기업을 침투하는 경우도 많죠. 그렇기 때문에 이메일 등이 있는 오피스 365가 안성맞춤일 수밖에 없습니다. 온갖 정보와, 타 회사와의 연락 내용도 메일에 보통 들어 있으니까요.”
심지어 이메일만 유용한 것도 아니다. “개발자들은 주로 팀즈를 활용해 API 키나 취약점 정보를 나눕니다. 셰어포인트로도 이런 식의 이야기가 진행되고, 원드라이브에 여러 민감 정보를 저장해두고 어디서나 작업하는 걸 선호하죠. 공격자 입장에서 오피스 365가 갖는 가치는 무궁무진합니다. 특히나 코로나 때문에 이런 협업 도구들이 보편화 된 지금 시점에서는 더 그렇습니다.”
기술력이 그리 높지 않은 해커의 경우 오피스 365를 BEC 기법으로 공략하려 한다. APT 단체들은 오피스 365의 관리자 계정을 탈취하려고 한다. 관리자 계정을 확보하면 오피스 365라는 인프라가 회사 내 온프레미스 네트워크와 어떤 식으로 결합되어 있는지도 알 수 있고, 이를 통해 공격 전략을 보다 효과적으로 짤 수 있기 때문이다. 특히 액티브 디렉토리(Active Directory)가 주요한 접근점이 된다고 한다.
오래된 소프트웨어를 노리는 경우도 많다고 비엔스톡은 설명한다. “한 사건을 예로 들면, 해커들이 2016년에 마지막으로 업데이트 된 소프트웨어를 통해 오피스 365에 접근하는 데 성공하기도 했습니다. 이렇게 했을 때 다중 인증 장치도 손쉽게 우회할 수 있었습니다. 오피스 365 자체의 취약점이 공략된 것이 아니라 오래된 소프트웨어가 문제였던 것입니다. 해당 개발사가 업데이트를 내놓지 않았던 것이 주요했죠.” 공격자들은 이 오래된 소프트웨어를 스스로 다운로드 받아 여러 가지로 실험을 진행한 것으로 보인다고 한다. 해킹 기술이 뛰어나기 때문에 할 수 있는 일이었다.
매들리는 “오피스 365에 기본 탑재되어 있는 보안 도구들을 남용하는 공격 사례도 있다”고 소개한다. “원래는 관리자들이 악성 행위나 비정상 행위를 탐지할 수 있도록 만들어진 도구인데, 공격자들이 이를 이용해 네트워크에 몰래 침투하는 경우가 있습니다. 보안 도구이긴 하지만 어떤 데이터가 도난당했는지 탐지하고 분석하는 기능에서 조금의 부족함이 있다는 걸 노린 것입니다. 보안 도구라 권한이 높고 많은 데이터에 접근할 수 있는데, 특정 성능이 기대 이하이기 때문에 오히려 공격자들의 도구로서 활용되고 있는 겁니다.”
그렇다면 기업들은 오피스 365의 사용을 중단해야 할까? “오피스 365도 일종의 클라우드이고, 따라서 클라우드 보안 수칙을 지키는 것이 오피스 365를 보호하는 지름길입니다. 저는 클라우드 인프라가 보안이라는 측면에 있어서 온프레미스보다 강력하다고 보는 편인데, 여기에는 한 가지 전제 조건이 있습니다. 클라우드 인프라라는 생소한 기술에 우리가 좀 더 익숙해져야 한다는 것이죠. 즉 누구나 쉽게 사용할 수 있는 인프라가 아니라는 겁니다. 반대로 말하면 클라우드 인프라의 안전한 사용 방법을 익힌다면 돌아오는 혜택이 많을 수 있다는 것이기도 합니다.” 매들리의 설명이다.
비엔스톡은 “오피스 365에서 사고가 많이 발생하기 시작하는 이유는 공격자들이 이 플랫폼에 관심을 기울이고 있기 때문이고, 공격자들에게 틈을 내주는 건 오피스 365를 일반 이메일 도구로서 이해하고 있는 사용자가 많기 때문”이라고 설명을 덧붙인다. “오피스 365는 새로운 클라우드 인프라이고, 따라서 새로운 인프라에 대한 학습 과정이 필요합니다. 오피스 365를 사용하는 조직의 보안 담당자라면 이 점을 강조해야 합니다.”
매들리는 “조직 입장에서 아이덴티티 관리도 보다 철저히 해야 한다”고 제안한다. “클라우드 플랫폼에 대한 아이덴티티 관리까지 클라우드 업체에 맡기는 경우가 많고, 그렇기 때문에 사고가 일어나면 사용자 기업과 클라우드 업체 사이의 책임 논란이 생기기도 하는데, 이 점을 명확히 해둘 필요가 있습니다. ‘저쪽에서 책임지겠지’, ‘알아서 관리하겠지’라는 모호한 믿음이 공격자들에게 틈을 내주는 겁니다.”
3줄 요약
1. 많은 기업들이 사용하는 업무용 인프라, MS 오피스 365. 사용자 점점 늘어나고 있음.
2. 따라서 공격자들의 관심도도 높아지고 있는 상황. BEC 공격자들부터 APT 단체까지.
3. 클라우드 안전하게 사용하려면 선행 학습 필수. 회사 간 명확한 책임 구분도 필수.
[국제부 문가용 기자(globoan@boannews.com)]
그저 이메일 및 공유 플랫폼으로만 생각하면 안 돼...클라우드에 대한 학습부터 선행되어야
[보안뉴스 문가용 기자] 기업들의 이메일 플랫폼 시장을 MS 오피스 365가 점점 장악하고 있는 상황이다. 때문에 사이버 범죄자들 사이에서도 오피스 365에 대한 관심이 높아지고 있다. 보안 업체 맨디언트(Mandiant)의 조시 매들리(Josh Madeley)에 의하면 “APT 공격자들도 오피스 365를 창의적인 방법으로 공격에 활용하고 있다”고 한다.
[이미지 = utoimage]
오피스 365에는 정보 공유와 협업을 위한 도구인 익스체인지(Exchange), 팀즈(Teams), 셰어포인트(SharePoint), 원드라이브(OneDrive)와 같은 것들이 포함되어 있다. 이 툴들에 저장되어 있는 데이터만 생각해도 공격자들이 오피스 365를 노린다는 게 그리 이상하게 생각되지 않는다. “심지어 오피스 365만 잘 털어도, 굳이 회사의 온프레미스 네트워크를 해킹할 필요가 없게 되죠.”
작년 한 해 동안에도 수많은 APT 단체들이 오피스 365에 대한 관심을 보였다. 맨디언트의 수석 컨설턴트인 더그 비엔스톡(Doug Bienstock)은 “이제 오피스 365 플랫폼은 정보의 광산과 같다”고 표현한다. “APT 공격자들은 원래 데이터를 노리는 경우가 많고, 보다 많은 데이터를 갖기 위해 오랜 기간 동안 피해자의 네트워크에 머물러 있는 걸 선호합니다. 또한 한 기업을 침해해 다른 기업을 침투하는 경우도 많죠. 그렇기 때문에 이메일 등이 있는 오피스 365가 안성맞춤일 수밖에 없습니다. 온갖 정보와, 타 회사와의 연락 내용도 메일에 보통 들어 있으니까요.”
심지어 이메일만 유용한 것도 아니다. “개발자들은 주로 팀즈를 활용해 API 키나 취약점 정보를 나눕니다. 셰어포인트로도 이런 식의 이야기가 진행되고, 원드라이브에 여러 민감 정보를 저장해두고 어디서나 작업하는 걸 선호하죠. 공격자 입장에서 오피스 365가 갖는 가치는 무궁무진합니다. 특히나 코로나 때문에 이런 협업 도구들이 보편화 된 지금 시점에서는 더 그렇습니다.”
기술력이 그리 높지 않은 해커의 경우 오피스 365를 BEC 기법으로 공략하려 한다. APT 단체들은 오피스 365의 관리자 계정을 탈취하려고 한다. 관리자 계정을 확보하면 오피스 365라는 인프라가 회사 내 온프레미스 네트워크와 어떤 식으로 결합되어 있는지도 알 수 있고, 이를 통해 공격 전략을 보다 효과적으로 짤 수 있기 때문이다. 특히 액티브 디렉토리(Active Directory)가 주요한 접근점이 된다고 한다.
오래된 소프트웨어를 노리는 경우도 많다고 비엔스톡은 설명한다. “한 사건을 예로 들면, 해커들이 2016년에 마지막으로 업데이트 된 소프트웨어를 통해 오피스 365에 접근하는 데 성공하기도 했습니다. 이렇게 했을 때 다중 인증 장치도 손쉽게 우회할 수 있었습니다. 오피스 365 자체의 취약점이 공략된 것이 아니라 오래된 소프트웨어가 문제였던 것입니다. 해당 개발사가 업데이트를 내놓지 않았던 것이 주요했죠.” 공격자들은 이 오래된 소프트웨어를 스스로 다운로드 받아 여러 가지로 실험을 진행한 것으로 보인다고 한다. 해킹 기술이 뛰어나기 때문에 할 수 있는 일이었다.
매들리는 “오피스 365에 기본 탑재되어 있는 보안 도구들을 남용하는 공격 사례도 있다”고 소개한다. “원래는 관리자들이 악성 행위나 비정상 행위를 탐지할 수 있도록 만들어진 도구인데, 공격자들이 이를 이용해 네트워크에 몰래 침투하는 경우가 있습니다. 보안 도구이긴 하지만 어떤 데이터가 도난당했는지 탐지하고 분석하는 기능에서 조금의 부족함이 있다는 걸 노린 것입니다. 보안 도구라 권한이 높고 많은 데이터에 접근할 수 있는데, 특정 성능이 기대 이하이기 때문에 오히려 공격자들의 도구로서 활용되고 있는 겁니다.”
그렇다면 기업들은 오피스 365의 사용을 중단해야 할까? “오피스 365도 일종의 클라우드이고, 따라서 클라우드 보안 수칙을 지키는 것이 오피스 365를 보호하는 지름길입니다. 저는 클라우드 인프라가 보안이라는 측면에 있어서 온프레미스보다 강력하다고 보는 편인데, 여기에는 한 가지 전제 조건이 있습니다. 클라우드 인프라라는 생소한 기술에 우리가 좀 더 익숙해져야 한다는 것이죠. 즉 누구나 쉽게 사용할 수 있는 인프라가 아니라는 겁니다. 반대로 말하면 클라우드 인프라의 안전한 사용 방법을 익힌다면 돌아오는 혜택이 많을 수 있다는 것이기도 합니다.” 매들리의 설명이다.
비엔스톡은 “오피스 365에서 사고가 많이 발생하기 시작하는 이유는 공격자들이 이 플랫폼에 관심을 기울이고 있기 때문이고, 공격자들에게 틈을 내주는 건 오피스 365를 일반 이메일 도구로서 이해하고 있는 사용자가 많기 때문”이라고 설명을 덧붙인다. “오피스 365는 새로운 클라우드 인프라이고, 따라서 새로운 인프라에 대한 학습 과정이 필요합니다. 오피스 365를 사용하는 조직의 보안 담당자라면 이 점을 강조해야 합니다.”
매들리는 “조직 입장에서 아이덴티티 관리도 보다 철저히 해야 한다”고 제안한다. “클라우드 플랫폼에 대한 아이덴티티 관리까지 클라우드 업체에 맡기는 경우가 많고, 그렇기 때문에 사고가 일어나면 사용자 기업과 클라우드 업체 사이의 책임 논란이 생기기도 하는데, 이 점을 명확히 해둘 필요가 있습니다. ‘저쪽에서 책임지겠지’, ‘알아서 관리하겠지’라는 모호한 믿음이 공격자들에게 틈을 내주는 겁니다.”
3줄 요약
1. 많은 기업들이 사용하는 업무용 인프라, MS 오피스 365. 사용자 점점 늘어나고 있음.
2. 따라서 공격자들의 관심도도 높아지고 있는 상황. BEC 공격자들부터 APT 단체까지.
3. 클라우드 안전하게 사용하려면 선행 학습 필수. 회사 간 명확한 책임 구분도 필수.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
