보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

마이크로소프트의 고위 임원, 러시아 해커그룹에 이메일 해킹 공격 당했다

입력 : 2024-01-21 23:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
MS 공격한 해커그룹은 ‘미드나잇 블리자드(Midnight Blizzard)’로 밝혀져
비밀번호 무작위 해킹 공격으로 이메일 침투해 고위급 직원 계좌정보 탈취
현재까지 직접적인 피해는 없지만 여전히 조사 진행 중


[보안뉴스 이소미 기자] 미국의 마이크로소프트(이하 MS)사가 러시아 정부의 지원을 받는 정보기관 해커들에 의해 해킹 공격을 받았다고 19일(현지시간) 외신을 통해 전해졌다. 월스트리트저널(WSJ)에 따르면 MS는 지난주 러시아 해커그룹 미드나이트 블리자드(Midnight Blizzard)에 의해 일부 직원의 이메일 계좌에서 정보를 탈취해 간 사실이 밝혀졌다.

[이미지=gettyimagesbank]


문제는 일반 직원들이 아닌 고위 임원급 직원들이 타깃이 됐다는 것이다. 이번 사건으로 해킹 당한 이메일 계정이 보유한 정보 가운데 MS의 사이버 보안 및 법률 담당 직원 계좌도 포함된 것으로 알려졌다.

MS 측은 블로그를 통해 지난해 11월 말부터 비밀번호 해킹 공격을 시도해 침투에 성공한 뒤 MS 회사 이메일 계좌에 접속했다고 전했다. 이어 지난 12일 회사 시스템에 접근한 외부 공격 감지 후 즉각적인 대응으로 13일에 해당 계정을 차단 조치하고 피해 여부 및 범위를 현재까지 조사하고 있다면서, 현재까지 해킹에 의한 실질적인 피해는 아직 발생하지 않았다고 밝혔다.

사실 MS는 기존에도 러시아 해커들의 꾸준히 공격을 받아왔다. 이번 MS 해킹의 주체가 된 미드나이트 블리자드는 일명 ‘노벨리움’이라고도 불리는 러시아 해커 그룹이다. 노벨리움은 2020년 미 정부기관 등에 대한 대규모 해킹 사태를 일으킨 것으로 지목된 단체이기도 하다. 이들은 지난해 8월에도 많은 기업들이 사용하고 있는 ‘마이크로소프트 365 테넌트’를 지속적으로 공격했는데 당시 보고된 바에 따르면, 전 세계적으로 40여 개 기관 등에 영향을 끼쳤으며, 특히 △정부·비정부 기관 △IT서비스·기술 △제조 △미디어 등을 타깃으로 공격을 지속해 온 것으로 드러난 바 있다.

당시 그들은 ‘스파이 활동’에 특화된 공격으로 다양한 초기 액세스 방법을 사용했다. 이들은 정보수집 및 자격 증명 탈취, 공급망 공격, 온-프레미스 환경 등을 활용했으며, 피싱 공격 성공률을 높이기 위해 ‘보안 테마’ 또는 ‘제품명’ 등의 키워드를 활용해 사용자들을 안심시켰다. 또한, 암호화가 되지 않은 사용자 계정을 대상으로 MS 인증 앱(Authenticator application)을 통해 인증 코드 입력을 유도하기도 했다.

해당 사건은 전문적인 지식이 없는 사용자라면 감지가 불가능할 정도로 매우 정교한 공격이었으며, 공격자들이 정품 마이크로소프트 도메인을 사용해 사용자들을 감쪽같이 속였던 것으로 드러났다.

한편, 이번 MS 고위 임원을 타깃으로 한 해킹 사건과 관련해 MS 측은 MS 제품 및 서비스 취약점을 악용한 것이 아니며 사용자 환경이나 소스 코드 및 AI 시스템 접근도 전혀 발견된 바가 없다고 전했다. 또한 미 정부는 미드나이트 블리자드가 러시아 연방 대외정보국과 관계가 있다고 지목하고 있다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)