보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[알쓸보안사전] 제로트러스트 약점을 노린 이 방법, ‘사내 협업 도구 공격’

입력 : 2023-08-29 16:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
코로나19 이후 급변한 업무 환경...그 틈을 노리는 공격자들
사내 협업 도구 공격 예방 방법은 역시 ‘제로 트러스트’
안전한 활용 위해서는 편리성·보안성 모두 잡아야...접속자 IP 지정·관리 및 2단계 인증은 필수


알쓸보안사전은 보안뉴스 기자들이 ‘알아두면 쓸모있는’ 보안 용어들을 보다 쉽게 정리해 독자의 이해를 돕고 보안 지식을 넓혀줄 수 있는 코너입니다[편집자주]

[보안뉴스 이소미 기자] 코로나19 이후 비대면 언택트 시대를 맞이하면서, 기업의 업무 환경에도 많은 변화가 생겼다. 더 이상 시간과 공간에 구애받지 않고 유연하게 일하는 하이브리드 워크(Hybrid Work) 문화가 형성된 것이다. 이와 함께 재택근무·외근 등의 업무 형태가 증가하면서 원격 근무가 자연스러워졌다. 또한, PC뿐만 아니라 태블릿·모바일(IOS·안드로이드) 등의 디지털 장비 발달로 이메일·메신저·화상회의 같은 협업 도구로 회사 업무를 처리할 수 있게 됐다.

[이미지=gettyimagesbank]


실제로 협업 도구는 시간·공간·장비 제약 없이 언제 어디서나 사용 가능하다는 장점이 있어 기업들은 업무 능률 향상을 위해 적극 차용하는 추세다. 반면, 업무용 협업 도구의 인기가 높아진 만큼 이를 타깃으로 한 공격도 증가하고 있다. 개인 디바이스 성능 향상과 함께 내부 사용자들이 외부에서도 기업 내 정보 접근 가능하고, 파트너사 등의 외부인과도 파일 공유가 용이해 편리성·보안성 측면에서 이는 양날의 검이라고 볼 수 있다. 업무 편의를 위한 활용 도구가 기업 기밀이 외부로 노출될 수 있는 통로가 되는 또 다른 위협이 된 셈이다. 이에 <보안뉴스>는 ‘업무용 협업 도구’의 위협 요소와 이를 예방할 수 있는 방안들을 알아봤다.

△이 주의 보안 용어
· 사내 협업 도구 공격(In-company Collaboration Tools Attack)

사내 협업 도구는 기업들이 사내 임직원 사이에 원활한 커뮤니케이션과 업무 생산성 향상을 위해 도입하는 요소로 자리 잡았다. 내부 직원뿐만 아니라 파트너 사와도 원활한 업무 교환·공유가 수월하기에 업무 생산성·효율성 두 마리 토끼를 모두 잡을 수 있다. 최근에는 기존 자체 개발(In-House)에서 구독형(SaaS : software as a Service, 유료 프로그램 대여형) 방식까지 다양하게 사용되고 있다. 이러한 사내 협업 도구를 해커가 악용함으로써 주요 정보 탈취·유출하는 공격 기법을 말한다.

사내 협업 도구는 최근 일반 기업뿐 아니라 개발 전문가들 사이에서도 인기다. 개발 전문가들은 보다 빠르고 원활한 개발을 위해 협업 도구를 기반으로 파이프라인을 구축하고 있다. 예를 들면, MS팀즈·줌(Zoom)·슬랙을 필두로 각종 협업 플랫폼들의 활용도가 점점 높아지고 있다. 이처럼 개발을 편리하게 해 주는 도구는 해커의 공격마저도 편하게 만들어 준다.

따라서 대표적인 보안 트렌드 중심으로 자리잡은 ‘제로 트러스트’를 간과한다면 해커에게 여지없이 당할 수 밖에 없는 기법이기도 하다. 사내 협업 도구 특성상 메신저·이메일 사용 시 상대방에 대한 별도 확인 절차 없이 습관적으로 신뢰하고 업무를 수행하게 된다. 신뢰한다는 것은 특별한 경각심 없이 중요 데이터를 전달할 때 민감정보·기밀유출에 대한 위험 소지가 늘 존재한다는 것을 의미하기도 한다.

△이런 일이 있었다
협업 도구에 대한 인기가 높아지는 만큼 해커들의 관심도 높아지면서, 공공·대기업만이 아닌 중소기업들도 타깃이 되고 있다. ‘가져갈 것이 없어 방어할 필요성이 없다’는 말도 이젠 옛말이다. 사내 협업 도구가 대중화된 만큼 기업 내 보안을 위협하는 요소도 곳곳에 존재한다.

· 오픈소스 메시징 및 협업 도구 ‘짐브라(Zimbra)’, 취약점 빈틈 노려 사용자 계정 탈취까지
짐브라는 중소기업들 사이에서 인기 높은 플랫폼으로 이메일·캘린더·파일 공유 등 원격 협업에 필요한 각종 소프트웨어들을 제공하는 도구다. 오픈소스 형태로 널리 사용되고 있는 동시에 해커들의 주요 타깃이 되기도 했다. 지난 7월 발견된 취약점인 ‘CVE-2023-38750’으로 ‘ZCS(Zimbra Collaboration Suite)’의 이메일 서버를 공격하는 데 악용됐다. 실제로 사용자의 쿠키(세션아이디)를 탈취해 위장하는 해킹 기법인 ‘XSS 공격’이 발생하기도 했다. 또한, 해커들은 짐브라 사용자들의 계정 탈취를 목적으로 집중적으로 피싱 메일 공격을 퍼부었다. 주로 ‘짐브라 보안 팀에서 보냅니다’, ‘일시적인 계정 비활성화 요청’, ‘보안 서비스 점검’ 등 긴급함을 조성하는 메일 제목들을 사용했고, ‘짐브라 사장–관리부’라는 서명까지 첨부했다. 피싱 메일에는 가짜 짐브라 페이지로 접속하는 HTML 악성 파일을 첨부해 사용자들의 계정 탈취를 노렸다. 이들이 사용한 공격 기법은 기술적으로 고도화된 방식이 아니었다. 오히려 전통적인 구식 기법으로 공격 성공률이 높았던 건 ‘제로트러스트’를 빗겨갈만큼 사용자들의 신뢰를 얻고 있는 플랫폼이기에 가능했다.

· 화상회의 솔루션 ‘줌(ZOOM)’, ‘줌 바밍’ 이어 보안 취약점으로 감·도청 및 봇넷 구축 가능
줌의 오디오 코드(AudioCodes) 데스크폰과 제로 터치 프로비저닝 기능(ZTP : Zero Touch Provisioning)에서 ‘원격 공격’이 가능한 보안 취약점들이 발견됐다. 이는 회의실·대화 내용 감·도청과 회사 네트워크 공격 및 감염 기기 봇넷 구축도 가능한 것으로 밝혀졌다. 과거에는 이른바 ‘줌 바밍(Zoom Bombing)’이라는 보안이슈가 발생하기도 했다. 줌 바밍은 일선 고교에서 공유된 비대면 원격수업 접속링크·비밀번호를 통해 외부인이 무단침입해 학생들에게 신체부위를 노출한 ‘사이버 바바리맨’사건이다. 이처럼 접속 링크 URL만으로 외부인 무단 침입이 가능할만큼 보안이 취약했다는 것을 의미한다. 이에 줌은 지난 7월 중순부터 신규 고객 대상으로 줌 폰 프로비저닝 템플릿 내 펌웨어에 사용자 지정 URL 사용을 제한해 취약점을 보완하고, 올해 추가적인 보안 강화 조치를 시행할 계획이라고 전한 바 있다.

· 개발자 위한 협업 도구 ‘슬랙’, 역으로 개발자를 위협하는 도구가 되다
요즘 해커들이 가장 좋아하는 표적을 꼽으라면 단번에 ‘개발자들’이라는 답변이 나오곤 한다. 특히 ‘슬랙’은 종단간 암호화 기능이 구축되어있지 않아 해커 침투 시, 회사 전체의 지식 체계까지 열람 가능한 수준으로 취약했다. 해커들은 업무 프로세스 과정에서 개발자들이 비밀번호·API 키와 같은 비밀 정보들을 개발 중인 코드에 넣어 그대로 리포지터리에 올린 것에 주목했다. 그들은 슬랙의 비공개 코드 리포지터리에 침투해 소스코드까지 접근했고, 결국 데이터를 유출했다. 그 결과, 슬릭은 직원용 비밀토큰이 도난 당한 것을 인지하고 즉시 해당 토큰을 무효화시키는 사건이 있었다.

· 그 외 마이크로소프트팀 개발자 계정인 MS 365 테넌트 계정을 노리는 피싱 공격도 등장했다. 주로 암호화 되지 않은 사용자 계정을 타깃으로 MS 인증앱(Authenticator application)을 통해 인증 코드를 입력하게 한 후 정보를 탈취하는 공격을 가했다. 또한, MS 소프트팀즈 취약점을 노려 멀웨어를 심는 공격도 있었다.

△피해는 이렇게 막을 수 있다
그렇다면 사내 협업 도구 공격에는 어떻게 대응할 수 있을까?

첫째, ‘비밀번호는 일방향 암호화’로 이후 다시 복호화해 확인·전달해서는 안된다. 업무상 부득이 비밀번호 공유가 필요한 경우, 담당자 유선(전화) 등 별도의 채널을 통해 초기화 시켜 초기화된 비밀번호만 공유하는 것이 좋다. 또한, 초기화 이후 의무적으로 비밀번호를 변경하도록 설정해야 한다. 이를 통해 해커가 비밀번호를 탈취하거나 초기 비밀번호를 반복적으로 사용하는 행위를 방지할 수 있다.

둘째, ‘다중 인증 체제’ 마련이다. 특히, 사내 업무 시스템 접근 권한이 있는 중요한 계정 정보에 대해서는 ‘별도의 2차 인증’ 등의 보안 절차 마련이 중요하다. 로그인 시 반드시 추가 인증(Multi Factor Authentication, MFA) 의무화를 통해 해커가 계정정보(아이디·비밀번호)만으로는 로그인할 수 없도록 해야 한다. 추가 인증 방법으로 크게 Push 알람 또는 OTP 숫자 입력 방식 등이 있다. 이처럼 추가 인증은 가장 기본적인 보안 장치이지만, 일반적인 암호 설정보다 강력한 보안 무기가 될 수 있다.

셋째, ‘접속자 접근 권한 분리 설정’이다. 사내 협업 도구는 외부 접속이 불가하도록 설정하는 것이 기본이며, 비즈니스 프로세스 상 외부 접속이 필요할 때는 사내·사외 접속자를 분리해 메신저 상에 식별자 표식 기능을 활성화 해 임직원 사칭 위험으로부터 보호해야 한다. 또한, 중요 데이터 격리 등의 기본적인 보안 조치도 잊지 않도록 해야 한다.

넷째, ‘협업 도구 업체의 보안 수준’을 체크하는 것이다. 보안 담당자·전문 부서가 활성화 되어있는 지, 또는 심각한 버그·오류 발생 시 근무 외 시간에도 응대 및 조치가 가능한지 꼼꼼히 점검해야 한다.

마지막으로, 보안에 있어 가장 중요한 것은 ‘예방’이다. 사실상 사내 최고의 보안 솔루션은 보안 규정을 잘 따르는 조직 문화다. 협업 도구 사용에 있어 보안은 ‘공동의 책임’이자 ‘의무’라는 점을 인식해야 한다. 이를 위해 지속적인 사내 직원 보안 교육을 실시해 고의 유출 또는 과실 유출에 대한 경각심을 높이는 게 중요하다. 아무리 강력한 내부 정책을 수립하고 직원의 행동 통제를 위해 막대한 예산을 들여 △매체 제어(DLP, 데이터 유출 방지) △캡처 방지 △DRM(디지털 권리 관리) 적용 등의 보안 기능을 사용하더라도 사람이 업무를 진행하는 이상 악의적인 의도를 막지 못하는 경우가 발생할 수 있다. 따라서 적절한 보안 대책 마련과 절차를 준수함으로써 실제 위기 상황 발생 시 신속 대응할 수 있다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)