Home > 전체기사

해킹의 진화 : 저렴하고 강력한 Man-in-the-cloud 발견!

  |  입력 : 2015-08-06 18:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

프론트도어 통한 계정 탈취가 아니라 백도어를 통한 공략

해커 입장에선 저렴하고 강력해 앞으로 상당히 유행할 전망


[보안뉴스 문가용] 멀웨어를 사용하지도 않는다. 계정 정보를 훔치지도 않는다. 그런데도 사용자의 구글 드라이브나 드롭박스 계정으로 접속해 정보를 훔치고 멀쩡한 파일을 악성 파일로 바꾸는 등의 공격이 가능하다는 사실이 드러났다. 이런 공격을 클라우드 침투 공격(man in the cloud)이라고 하며 외곽보안이나 엔드포인트 보안으로도 잡을 수 없다.

 


이를 최초로 발견하고 보고한 건 임퍼바(Imperva)라는 보안업체의 연구원들. “구글 드라이브, 드롭박스, 원드라이브(OneDrive), 박스(Box) 등, 공격자들은 이런 클라우드 서비스의 싱크 기능을 악용하는 법을 익혔습니다. 여태까지는 프론트도어를 이용했는데(즉, 사용자 계정을 훔쳤는데), 이제는 백도어를 활용하더군요. 즉 서버를 직접 공략하는 것이죠.”


클라우드는 서버와 엔드포인트 간의 파일 상태를 항상 ‘동기화’ 혹은 ‘싱크’해서 동일하게 맞춘다. 사용자가 인증을 해서 클라우드에 접속하면 서버 측에서 사용자들에게 동기화 토큰 혹은 싱크로 토큰을 넘겨준다(엔드포인트에 저장한다). 이 토큰은 여러 기기 및 시스템에서 사용이 가능하다.


클라우드 침투 공격은 바로 이 싱크 토큰을 훔쳐내는 게 포인트다. 그렇다면 공격자들은 이를 어떻게 훔쳐낼까? 사용자들이 전혀 수상하다고 느끼지 못하지만, 새로운 싱크 토큰을 생성해내게 하는 코드를 실행하도록 만들면 된다. 이때 멀웨어를 사용하면 당연히 일이 커질 가능성이 높다. 그래서 공격자들은 간단하고 일시적인 ‘환결 설정의 변화’만 유도한다고 한다.


그렇다면 사용자에게 이런 코드 실행 행위를 어떻게 강제하는가? 소셜 엔지니어링 기법을 통해서다. 그래서 코드를 실행하는 데까지만 성공하면 싱크 토큰이 새롭게 만들어지고, 엔드포인트의 파일은 정식 클라우드 서버와 동기화(싱크)를 하는 대신 공격자가 지정해준 계정이나 서버와 동기화를 시작한다. 즉 공격자가 지정한 곳에 피해자의 클라우드가 고스란히 복사되는 것이다. 이 모든 과정이 겨우 수초 만에 이루어진다.


여기까지 했다면 공격자에게 남은 할 일이란 자신들의 흔적을 지워내는 것이다. 그래서 피해자 시스템의 레지스트리에서 가짜 토큰을 지워내고 사용자의 진짜 토큰을 다시 삽입해 넣는다. 로그파일을 한줄 한줄 꼼꼼히 살펴보지 않는 한 알아채기 힘든 변화다.


이런 공격법은 어디에 주로 활용될까? 사이버 스파이 행위 혹은 지적재산 탈취에 주로 사용된다. “여기까지는 너무 당연하죠? 그런데 말이죠, 공격자들은 한번 더 이런 당연한 생각들을 꼬았습니다.” 공격자들이 탈취나 도난만 하는 게 아니라 원래 파일을 감염시키기도 했다는 것.


“정상 파일에 악성코드를 삽입시키더군요. 아무런 정보를 가져가거나 하지도 않고요. 그리고 나중에 사용자가 그 파일을 실행시킬 때 악성코드를 발동시키는 것이죠. 이 경우 탐지가 수배는 더 어렵게 됩니다. 이런 공격의 진짜 단점은 복구가 불가능하다는 겁니다. 계정을 버리고 다른 계정을 만드는 수밖에 없어요.” 임퍼바 측의 설명이다.

임퍼바는 이런 패턴의 공격이 앞으로도 계속해서 성행할 것이라고 예측한다. “인프라 구축이나 멀웨어 제작이라는 노력 없이 아주 강력하고 은밀한 C&C 서버를 보유할 수 있기 때문입니다. 훨씬 저렴하고 훨씬 탄탄합니다. 발각도 힘들고 수사 기관이 공조한다고 해도 잡기가 힘들고요. 해커를 소탕한다고 구글 드라이브를 폐쇄할 수 있는 기관이 있을까요?”


그렇다고 기업들이 클라우드를 사용하지 않을 수도 없는 게 현 시대의 상황이다. 즉 먹잇감이 항상 존재한다는 것도 주요 매력 포인트다. “결국 클라우드에 업로드하기 전에 파일들을 하나하나 암호화시키는 것만이 답입니다.”

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 시큐아이 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)