최근 사이버 공격자들, 클라우드에 대한 신뢰도를 적극 악용

입력 : 2020-07-22 17:19

클라우드 서비스 사용 비율 높아지면서 소비자들의 신뢰도도 같이 높아져
이 신뢰도 이용한 피싱 공격 활성화 되고 있어...클라우드에 공격 재료들 숨겨

[보안뉴스 문가용 기자] 구글 클라우드 서비스(Google Cloud Services) 속에 은닉한 채 진행됐던 피싱 공격에 대한 상세 보고서가 발표됐다. 이를 통해 클라우드를 통한 해커들의 공격이 얼마나 성행하고 있는지 엿볼 수 있다.


보안 업체 체크포인트(Check Point)가 발표한 이 보고서에 따르면 클라우드를 활용한 피싱 공격은 너무나 정교해 보안 전문가들도 조금만 방심하면 걸려들 수 있다고 한다. 체크포인트의 보고서에 따르면 공격은 제일 먼저 PDF 문서로부터 시작한다. 이 문서 안에는 악성 링크가 포함되어 있고, 구글 드라이브에 호스팅되어 있다. 현재는 구글 측에서 이 문건과, 관련 URL을 삭제한 상태다.

2018년 이전에는 이러한 문건을 주로 웹사이트에 호스팅해놓고 사람들이 다운로드 받기를 기다리는 게 일반적이었다. 그러나 최근 들어 구글 클라우드 서비스나 애저 스토리지(Azure Storage), 혹은 아마존 AWS 등과 같은 클라우드에 미끼들을 호스팅 해놓는 것이 보편화 됐다. 클라우드에 호스팅 되어 있을 경우 의심하는 경우가 줄어들기 때문이다.

“이번 피싱 캠페인의 경우 공격자가 여러 개의 클라우드 스토리지 서비스들을 활용했습니다. 한 가지 서비스만을 집중적으로 사용하는 것보다 탐지가 힘들기 때문입니다. 또한 스토리지 서비스에 문서를 호스팅해놓는 것 자체가 이상한 일은 아니므로, 누구나 실수를 할 수 있고 속을 수 있습니다.” 체크포인트가 보고서를 통해 경고한 말이다.

문제의 PDF 문서를 열고 악성 링크를 누르면 피싱 페이지로 접속해 들어가게 된다. 피해자는 ‘오피스 365’ 혹은 ‘회사에서 사용하는 이메일’ 크리덴셜을 통해 로그인을 하라는 안내를 받게 된다. 크리덴셜을 입력하면 실제 유명 컨설팅 업체가 발표한 보고서 PDF가 열린다. 모든 게 정상적으로 보이며, 중간에 지나간 모든 인터페이스들 역시 의심을 불러일으키기 않는다.

하지만 소스 코드를 분석해보면 이야기가 달라진다. 문서의 자원 대부분이 엉뚱한 사이트에서 오기 때문이다. 이 사이트는 prvtsmtp.com이며 공격자들이 운영하고 있는 것으로 밝혀졌다. 해커들은 구글 클라우드 펑션(Google Cloud Functions)라는 기능을 통해 코드를 클라우에서부터 실행할 수 있었다. 따라서 악성 도메인이 피해자에게 고스란히 노출되는 일이 없었다. 참고로 악성 웹사이트의 IP 주소는 우크라이나에 있는 것으로 조사됐다.

“공격자들은 지난 수년 동안 신기술을 활용하는 방향으로 피싱 공격 등의 악성 행위를 진화시키고 있습니다. 특히 클라우드에 대한 일반 소비자들과 탐지 솔루션의 신뢰도를 적극 악용하는 모습을 보여주고 있습니다.” 체크포인트의 설명이다.

체크포인트는 해커들이 클라우드를 이용하는 경우라면 파일이나 링크의 출처를 확인하는 것만으로는 진위를 확인하기 어렵다며 “메일 내 철자나 문법 오류 등을 확인하는 게 지금으로선 최선의 방법”이라고 강조했다. “어색한 문구나 철자와 같은 건 한 번에 습득되는 게 아닙니다. 공격자들로서도 이런 부분을 금방 보완하기는 힘들 겁니다.”

하지만 이런 ‘어설픈’ 피싱 공격에도 당하는 사람들은 꾸준히 생기고 있으며, “피싱 공격으로 인한 피해가 매달 3000억 달러 수준”이라고 지적하기도 했다.

3줄 요약
1. 구글 클라우드에 호스팅 된 PDF 문서, 악성 링크 통해 크리덴셜 수집.
2. 화면에는 정상 문서 출력되어 피해자들 입장에서는 의심할 만한 것이 아무 것도 없음.
3. 심지어 유명 클라우드 서비스를 통해 악성 행위 실시하기 때문에 탐지도 잘 되지 않음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  팔로알토 네트웍스 방화벽에서 발견된 제로데이...

• 2

  텔레그램, 악성파일 실행할 수 있는 제로데이...

• 3

  팔로알토 네트웍스 방화벽에서 10점 만점 제...

• 4

  앱코, 카카오톡 계정 사칭해 현금 입금 유도...

• 5

  제로트러스트 도입·확산 시범사업, 어떻게 진...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 3

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 4

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 5

  리멤버, 회사 사칭 ‘계정에 대한 탈퇴 요청...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...