전체메뉴

[애플경제 김향자 기자] 멀웨어가 클라우드 앱을 통해 가장 많이 확산, 살포되고 있다. 최근 미국의 보안회사 ‘넷스코프’(Netskope)가 언론에 배포한 자체 조사 보고서에 따르면 사이버 범죄자들이 날로 클라우드 앱을 많이 사용하고 있는 가운데, 전체 스피어 피싱 링크의 19%를 차지하는 것으로 나타났다.

클라우드앱 통한 공격, 전체 피싱 링크의 5분의 1 차지

특히 마이크로소프트 원드라이브(Microsoft OneDrive)가 맬웨어를 호스팅하기 위한 전체 클라우드 저장소 앱 사용량의 26%에 달했다. 그 뒤를 이어 MS 파워포인트, 깃허브가 차지하고 있다.

이번 조사는 주로 지난 7~9월의 사례를 대상으로 한 것이다.

이에 따르면 사이버 공격자들은 일단 초기 액세스, 악성 페이로드 실행, 명령 및 제어, 유출의 네 가지 수법을 구사한다. 이를 통해 시스템을 손상시키고, 악성 코드를 실행하고, 감염된 시스템을 통해 멀웨어를 살포한다.

‘넷스코프’는 특히 “공격자가 대상 시스템에 액세스하는 가장 쉬운 방법은 사용자를 이용하는 것”이라며 “이는 대상 조직이 인터넷과 통신하는 모든 시스템에 패치를 적용하여 일반적인 취약점 악용 대상이 아닌 경우 특히 그렇다.”고 주의를 당부했다.

그 통로가 되는 소셜 엔지니어링은 이메일(스피어피싱), 음성(비싱), SMS(스미싱) 또는 소셜 네트워크 등이다.

‘넷스코프’는 또 “사용자가 클릭한 피싱 링크를 분석한 결과, 사용자가 클라우드 앱과 관련된 피싱 링크(19%)를 가장 자주 클릭했다”고 결론을 내렸다. 그 뒤를 아아존, 이베이(eBay), 기타 쇼핑 사이트나 전자상거래 웹사이트가 잇고 있다.

이메일 피싱 여의치않으면서 클라우드앱 악용

주목되는 것은 클라우드 앱을 표적으로 삼은 피싱 활동의 3분의 1은 마이크로소프트 제품에 초점을 맞추고 있다는 사실이다. ‘넷스코프’는 “MS OneDrive가 수많은 기업에서 가장 널리 사용되는 클라우드 앱”이라며 “사이버 공격자가 MS의 팀즈, SharePoint, Outlook과 함께 이를 표적으로 많이 활용하는 것은 놀라운 일이 아니다”고 했다.

MS의 앱에 이어 많이 표적이 된 앱은 어도비(Adobe)(11%)와 구글 앱(8.8%)이다.

공격자들은 여전히 이메일을 사용하여 사용자를 표적으로 삼는 경우가 많긴 하다. 그러나 갈수록 이러한 스피어피싱 작업의 성공률은 낮아지고 있다. 많은 기업들이 피싱 이메일이 사용자에게 도달하기 전에 차단하기 위해 고급 피싱 방지 필터를 사용하는 경우가 많은 것도 한 원인이다.

또 이러한 사이버 공격에 대한 인식을 높이고 사용자에게 스피어피싱 이메일에 대한 경각심을 부단히 심어주고 있다.

이에 대응하여 공격자는 목표에 도달하기 위해 다양한 대체 수법을 구사한다.

그 중 하나가 검색 엔진을 자의적으로 최적화하는 것이다. 인터넷에서 일반적이지 않은 특정 키워드 세트를 기반으로 구축된 웹 페이지를 생성해서, 해당 페이지가 검색 엔진 결과에서 첫 번째로 나오도록 할 수 있다.

또 소셜 미디어 플랫폼이나 메시징 앱을 활용하기도 한다. 페이스북과 같은 유력한 소셜 미디어 플랫폼이나, 왓츠앱과 같은 메시징 앱을 활용, 다양한 미끼를 던진다.

음성 메일 및 문자 메시지도 많이 써먹는다. 피싱 링크를 전파하기 위해 음성 메일(비싱) 또는 SMS(스미싱)를 통해 사용자를 표적으로 삼는 것이다. 이는 컴퓨터보다 보안 수준이 낮은 휴대폰을 대상으로 한다는 이점이 있다.

또한 사용자의 개인 이메일 계정을 표적으로 삼을 수도 있다. 이 계정은 피해자가 업무에 사용하는 것과 동일한 시스템에서 자주 사용되며 민감한 정보에 접근할 수 있다.

피싱 첨부파일, PDF 가장 많아

피싱에 첨부파일을 이용하는 경우, 그 중 90%는 기업에서 흔히 사용되는 형식인 PDF 파일이다. ‘넷스코프’측은 블로그와 보도자료를 통해 “PDF는 청구서, 청구서 및 기타 중요한 서신에 매우 일반적으로 사용되기 때문에 공격자들 사이에서 인기가 있다. 공격자는 가짜 송장을 만들어 피해자에게 보내기도 한다”고 했다.

이에 따르면 또 악성 파일 여부를 판별할 수 있는 유일한 지표는 포함된 URL이나 전화번호뿐인 경우가 많으며, 공격자는 난독화 기술을 사용하여 보안 솔루션에서 이를 숨긴다. 이러한 PDF는 대용량으로 생성되고 변형이 너무 많아 현재 일부 보안 솔루션이 이를 따라잡기가 어렵다. 다른 모든 사이버 공격과 마찬가지로 보안 솔루션이 발달할수록, 이들 범죄자들은 새로운 피싱 기술 세트로 진화하고 있다.

악성 코드 통신 및 데이터 유출

이들 사이버 공격자들은 악성 페이로드와 명령 및 제어 서버 간의 통신에 주로 HTTP나, HTTPS 프로토콜을 사용한다. 두 프로토콜은 인터넷 탐색을 위한 주요 벡터이고 방화벽에 의해 필터링되지 않으므로 일반적으로 사용자들이 무제한 접속이 가능하다.

HTTP와 HTTPS에 훨씬 뒤처지는 도메인 이름 시스템(DNS, Domain Name System) 프로토콜도 맬웨어 살포에 일부 사용되기도 한다. 통신의 5.5%에 사용됩니다. 대부분의 기업에서 DNS프로토콜은 절대 차단하거나 필터링하지 않는다. 그러나 이는 데이터를 전송할 때 HTTP나 HTTPS만큼 은밀하지는 않다.

또한 DNS는 공격자가 조직의 합법적인 트래픽과 혼합하는 것을 더 어렵게 만들고 HTTP나 HTTPS보다 한 번에 전송할 수 있는 데이터의 양이 적다는게 단점이다.

대표적인 공격자 ‘Wizard Spider’

최근 클라우드앱을 통해 멀웨어를 가장 극성스럽게 살포하는 공격자는 ‘Wizard Spider’로 밝혀졌다.

‘넷스코프’가 파악한 ‘Wizard Spider’는 ‘UNC1878’, ‘TEMP.MixMaster’, 또는 ‘Grim Spider’라는 별칭도 사용한다. ‘Wizard Spider’는 원래 ‘뱅킹 트로이목마’였지만 랜섬웨어와 같은 제3자의 악성코드를 추가로 배포하는 복잡한 악성코드인 ‘TrickBot’를 또 다른 무기로 삼고 있다.

‘Wizard Spider’와 ‘TrickBot’는 사실상 제휴 관계라고 해도 과언이 아니다. 이는 “최근 거의 모든 주요 사이버 범죄 그룹들이 자신이 선택한 표적을 공격하기 대해 그룹의 도구를 사용할 수 있는 제휴 모델을 사용하고 있는 경향과도 일치한다”는 것이다.

‘넷스코프’ 보고서에 따르면 금전적 이익을 목적으로 하는 대부분의 사이버 공격자는 러시아와 우크라이나 출신으로 알려졌다. 이들은 대부분 랜섬웨어를 확산시키는데 앞장 서고 있다.

‘넷스코프’는 또 “지정학적 측면에서 가장 큰 사이버 위협은 중국의 ‘menuPass’(APT10, Stone Panda 또는 Red Apollo)와 ‘Aquatic Panda’이라고도 할 수 있다”고 경고했다. 또 가장 주요 표적이 되는 산업은 다양하지만, 굳이 꼽자면 금융 서비스와 의료 분야라고 할 수 있다. 특히 호주와 북미는 금융 범죄의 가장 큰 표적이 되는 두 지역으로 꼽혔다.

클라우드앱 콘텐츠 다운로드 각별히 신중해야

‘넷스코프’는 클라우드 보안 위협에 대처하기 위한 몇 가지 방안을 추천했다. 이에 따르면 우선 첨부 파일과 링크를 분석해, 피싱 및 악성 코드를 탐지할 수 있는 이메일 보안 솔루션을 배포해야 한다. 또 기업은 회사를 위험에 빠뜨릴 수 있는 피싱이나 사회 공학적 계획을 탐지하는 방법을 철저히 교육할 필요가 있다.

“특히 사용자는 클라우드 앱에 저장되어 있더라도 신뢰할 수 있는 연락처가 아닌 콘텐츠를 인터넷에서 다운로드해서는 안 된다”면서 “일반적인 취약점으로 인해 손상되는 것을 방지하려면 모든 소프트웨어와 운영 체제를 최신 상태로 유지하고 패치를 적용할 것”을 당부하기도 했다.