Home > 전체기사

오피스 365 노린 ‘노크노크’ 공격이 남긴 교훈

  |  입력 : 2017-11-16 17:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
인기 많은 플랫폼은 해커에게 군침 도는 타깃
관리자 계정 노리고, 내부-내부 피싱 공격도


[보안뉴스 오다인 기자] 보안 종사자들은 사이버 공격으로부터 여러 가지를 배운다. 사이버 범죄자들이 사용하는 최신 공격 기술이나 그들이 노리는 디지털 자산의 유형 등도 그 중 일부다. 몇몇 사이버 공격의 경우, 많이 알려지지 않은 애플리케이션 취약점이나 인프라 취약점 공격에 치중하기도 하고 특정한 보안 기술의 빈틈을 노리기도 한다. 최근 등장한 ‘노크노크(KnockKnock)’ 공격은 워너크라이(WannaCry)나 낫페트야(NotPetya), 또는 배드래빗(BadRabbit) 랜섬웨어만큼 유명세를 치르진 않았지만 모든 사람이 배울 수 있는 중요한 교훈들을 많이 남겼다.

[이미지=iclickart]


공격자들은 오피스 365처럼 광범위하게 사용되는 플랫폼을 노린다
어떤 플랫폼의 인기가 높아질수록 공격자들은 해당 플랫폼에 집중한다. 수요와 공급이라는 기초적인 경제학에 반응하는 것이다. 노크노크의 경우를 보자. 오피스 365가 엄청나게 성공하자 사이버범죄자들이 관심을 가졌다. 그러자 다른 수많은 공격자들 역시 오피스 365에 점점 더 많은 관심을 갖기 시작했다. 예전에는 취약한 윈도우 시스템과 마주칠 가능성이 꽤 높았기 때문에 멀웨어들도 윈도우 플랫폼을 최우선 대상으로 작성됐다. 일반적인 비즈니스 애플리케이션들을 클라우드로 이전시키는 일이 빠르게 진행되는 현재, 취약한 클라우드 사용자를 찾아낼 가능성 역시 가파르게 상승하고 있다.

전 세계에서 가장 인기 있는 클라우드 애플리케이션인 오피스 365는 윈도우 수준의 편재성(ubiquity)을 얻고 있는 중이다. 공격자가 오피스 365의 테스트 환경을 자체적으로 설치하는 데는 아주 미미한 비용만이 들어갈 뿐이라는 사실까지 고려한다면, 오피스 365를 겨냥한 공격 캠페인의 실행 조건들은 사실상 완벽하다고 볼 수 있다.

관리자 계정이나 시스템 계정은 침입 지점으로 좋은 백도어다
공격자는 시스템 관리자 계정과 관련해 조직들이 “설정한 뒤 까먹는다”는 사실을 정확히 예측하고 있다. 이는 오래된 공격 기술로, 클라우드로 이동하는 요즘 시기에도 동일하게 적용된다. 사실 더 쉬워졌다. 이런 계정들은 인터넷으로 접근 가능하기 때문에 찾고, 접근하고, 공격할 수 있을지 ‘두드려보는(knock-on)’ 게 더 쉽다. 얼마나 많은 조직이 비밀번호라는 단 하나의 인증 요소만 갖고 특권 계정(Privileged Accounts)을 보호하고 있을까? 오피스 365 관리자 계정들 다수가 바로 이렇게 운영되고 있다. 다중인증이 가능한데도 말이다.

횡적 움직임은 내부에서 내부로의 피싱 이메일 전파를 가능케 한다
노크노크 공격은 이 부분에서 주목할 만하고 점점 더 흔해지고 있다. 직원들 중 얼마나 많은 사람이 내부 발신자로부터 온 이메일의 링크를 클릭하거나 첨부파일을 여는 것에 대해 경계심을 가질까? 기업의 자체적인 이메일 시스템을 이용해 전파하는 것보다 공격 전파에 더 나은 방법이 있을까? 공격자가 어느 기업의 오피스 365 계정 중 하나를 제어할 수 있게 되면 정확히 이런 일을 수행할 수 있게 된다. 시스템 계정이든 자주 쓰는 사용자 계정 중 하나이든 상관없다. 얼마나 많은 조직들이 내부에서 내부로 발송되는 이메일을 검토하고 있을까? 아니면 이를 위한 이메일 보안 시스템을 갖고 있을까?

대다수 조직들이 외부에서 들어오는 이메일을 우선적으로 검토하는 데 주력한다는 사실은 충분히 이해할 수 있다. 그러나 내부에서 내부로 발송되는 악성 이메일을 방어하는 일도 점점 더 중요해지고 있다. 이 같은 공격의 확산은 최초 감염보다 훨씬 더 조직에 심각한 피해를 일으킬 수 있다.

결론은, 공격자들이 클라우드 기반 서비스를 포함한 기업 전역을 ‘두드리고’ 있다는 사실이다. 이를 깨닫고, 최선의 방어책을 가장 필요한 곳에 배치하는 것이 중요하다. 단지 애플리케이션을 클라우드에 이전시켜 놓았다 해서 보안 위험이나 책임으로부터 자유로워졌다고 안심해선 안 될 일이다.

글 : 매튜 가디너(Matthew Gardiner)
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)