해킹의 진화 : 저렴하고 강력한 Man-in-the-cloud 발견!

프론트도어 통한 계정 탈취가 아니라 백도어를 통한 공략

해커 입장에선 저렴하고 강력해 앞으로 상당히 유행할 전망

[보안뉴스 문가용] 멀웨어를 사용하지도 않는다. 계정 정보를 훔치지도 않는다. 그런데도 사용자의 구글 드라이브나 드롭박스 계정으로 접속해 정보를 훔치고 멀쩡한 파일을 악성 파일로 바꾸는 등의 공격이 가능하다는 사실이 드러났다. 이런 공격을 클라우드 침투 공격(man in the cloud)이라고 하며 외곽보안이나 엔드포인트 보안으로도 잡을 수 없다.

이를 최초로 발견하고 보고한 건 임퍼바(Imperva)라는 보안업체의 연구원들. “구글 드라이브, 드롭박스, 원드라이브(OneDrive), 박스(Box) 등, 공격자들은 이런 클라우드 서비스의 싱크 기능을 악용하는 법을 익혔습니다. 여태까지는 프론트도어를 이용했는데(즉, 사용자 계정을 훔쳤는데), 이제는 백도어를 활용하더군요. 즉 서버를 직접 공략하는 것이죠.”

클라우드는 서버와 엔드포인트 간의 파일 상태를 항상 ‘동기화’ 혹은 ‘싱크’해서 동일하게 맞춘다. 사용자가 인증을 해서 클라우드에 접속하면 서버 측에서 사용자들에게 동기화 토큰 혹은 싱크로 토큰을 넘겨준다(엔드포인트에 저장한다). 이 토큰은 여러 기기 및 시스템에서 사용이 가능하다.

클라우드 침투 공격은 바로 이 싱크 토큰을 훔쳐내는 게 포인트다. 그렇다면 공격자들은 이를 어떻게 훔쳐낼까? 사용자들이 전혀 수상하다고 느끼지 못하지만, 새로운 싱크 토큰을 생성해내게 하는 코드를 실행하도록 만들면 된다. 이때 멀웨어를 사용하면 당연히 일이 커질 가능성이 높다. 그래서 공격자들은 간단하고 일시적인 ‘환결 설정의 변화’만 유도한다고 한다.

그렇다면 사용자에게 이런 코드 실행 행위를 어떻게 강제하는가? 소셜 엔지니어링 기법을 통해서다. 그래서 코드를 실행하는 데까지만 성공하면 싱크 토큰이 새롭게 만들어지고, 엔드포인트의 파일은 정식 클라우드 서버와 동기화(싱크)를 하는 대신 공격자가 지정해준 계정이나 서버와 동기화를 시작한다. 즉 공격자가 지정한 곳에 피해자의 클라우드가 고스란히 복사되는 것이다. 이 모든 과정이 겨우 수초 만에 이루어진다.

여기까지 했다면 공격자에게 남은 할 일이란 자신들의 흔적을 지워내는 것이다. 그래서 피해자 시스템의 레지스트리에서 가짜 토큰을 지워내고 사용자의 진짜 토큰을 다시 삽입해 넣는다. 로그파일을 한줄 한줄 꼼꼼히 살펴보지 않는 한 알아채기 힘든 변화다.

이런 공격법은 어디에 주로 활용될까? 사이버 스파이 행위 혹은 지적재산 탈취에 주로 사용된다. “여기까지는 너무 당연하죠? 그런데 말이죠, 공격자들은 한번 더 이런 당연한 생각들을 꼬았습니다.” 공격자들이 탈취나 도난만 하는 게 아니라 원래 파일을 감염시키기도 했다는 것.

“정상 파일에 악성코드를 삽입시키더군요. 아무런 정보를 가져가거나 하지도 않고요. 그리고 나중에 사용자가 그 파일을 실행시킬 때 악성코드를 발동시키는 것이죠. 이 경우 탐지가 수배는 더 어렵게 됩니다. 이런 공격의 진짜 단점은 복구가 불가능하다는 겁니다. 계정을 버리고 다른 계정을 만드는 수밖에 없어요.” 임퍼바 측의 설명이다.

임퍼바는 이런 패턴의 공격이 앞으로도 계속해서 성행할 것이라고 예측한다. “인프라 구축이나 멀웨어 제작이라는 노력 없이 아주 강력하고 은밀한 C&C 서버를 보유할 수 있기 때문입니다. 훨씬 저렴하고 훨씬 탄탄합니다. 발각도 힘들고 수사 기관이 공조한다고 해도 잡기가 힘들고요. 해커를 소탕한다고 구글 드라이브를 폐쇄할 수 있는 기관이 있을까요?”

그렇다고 기업들이 클라우드를 사용하지 않을 수도 없는 게 현 시대의 상황이다. 즉 먹잇감이 항상 존재한다는 것도 주요 매력 포인트다. “결국 클라우드에 업로드하기 전에 파일들을 하나하나 암호화시키는 것만이 답입니다.”

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)